隨著資安事件持續爆發,既有專精於網路安全防禦方案的供應商,近年來大多已補足端點方案,例如FireEye收購Mandiant取得EDR產品線,整合原本擅長的沙箱技術成為Endpoint Security(HX系列)解決方案,在今年新發布的4.0版本中,更首度整合內建了合作夥伴的防毒引擎,強化Endpoint Security的偵測與預防能力。
FireEye大中華區首席技術顧問蕭松瀛說明,傳統基於防毒引擎所整合的端點保護平台(EPP)著重於預防資安事件發生,因此較強調的是偵測與阻斷能力;端點偵測與回應(EDR)則偏重於鑑識軌跡。在事件(Incident)發生當下,防毒引擎的作法是立即阻斷惡意程式執行,但鑑識軌跡需要的是取得惡意程式行為資訊,通常會透過傾印(Dump)記憶體蒐集執行細節,藉由入侵指標釐清影響範圍。兩種方案各有其擅長解決問題的機制,但皆有助於端點安全控管,因此勢必會朝相互結合的方向發展,以達成安裝單一方案即可同時具備事前偵測、事中阻斷及事後處置。
Dump記憶體程序 持續記錄以便採證
面對資安事件發生後,必須先行調查與鑑識再執行重新安裝作業系統,以修補現有資安弱點,蕭松瀛觀察,IT規模較大的客戶確實已具備此觀念,會尋求本地端的資安服務供應商到現場執行調查與鑑識,而非僅是運用防毒引擎執行清除的病毒處置程序。
對於有設置專屬IT人力的企業或組織而言,甚至僅須諮詢資安專家事件處置的流程與方法,內部IT人員就能自行實作調查與鑑識,此時EDR工具即可協助降低技術門檻,縮短耗費的時間。只是端點環境複雜度高,考量重點大多為相容性、運行效能,通常必須經過審慎評估、測試後才會實際部署。
畢竟端點可說是資安的最後一哩路,當網路行為被資安設備解析偵測發現連線中繼站等攻擊活動,即代表該端點系統已遭滲透,阻斷該連線行為之後,仍必須深入調查端點的所有行為資訊,從中取得入侵指標,以便於查找內網影響範圍,同時也藉此增強企業的資安免疫力。
「FireEye提供的Exploit Guard功能,可在資安機制執行阻斷前,已先行掌握完整行為資訊,位於端點的代理程式可擷取事件發生前後十分鐘記憶體內存放的程式,Dump到伺服器端,事後若需要追查點選開啟文件檔案時,前後時間有哪些執行程序是因此被呼叫啟動,便可逐層追蹤下去。」蕭松瀛說。代理程式監看檔案啟動執行程序的技術,主要是在記憶體內部維護一個空間,當使用者開啟瀏覽器、郵件、文件類型應用程式,例如瀏覽網頁經常會載入JavaScript,代理程式隨即被觸發持續記錄,藉此方式取得前後十分鐘的採證資料。
|
▲FireEye Endpoint Security 4.0新版本內建第三方防毒引擎,毋須額外授權,在部署代理程式時,可依據需求選擇啟用,即可基於單一代理程式建立端點安全偵測、分析、事件調查與鑑識。 |
代理程式所蒐集的資訊,IT管理者可透過HX統一控管平台查看。FireEye方案設計以Malware為核心,依據動態威脅情報(DTI)餵入的惡意程式行為資訊,或全球駭客組織慣用的策略、技術和活動程序(TTP),分析各個系統環境的行為模式。
IT管理者可藉由系統環境變更分析報告監看各個端點的狀態資訊,並且依據不同顏色標示的風險等級高低優先處理。例如鎖定銀行業發動的APT攻擊,惡意程式甚至會確認電腦名稱後才執行發作,這類攻擊手法的細節,皆可透過行為模式分析完整掌握。
「行為模式的判別就像是信譽評等,我們就曾經看過Excel檔案,啟動時確實會連線到外部網站下載資料,經常被判定為高風險行為,IT管理者可自行選擇是否執行攔阻。不論是阻斷或放行,該端點的記憶體程式執行細節資訊皆會被取回,以掌握完整行為。」蕭松瀛說。
他進一步以實際案例說明,曾遇到銀行業客戶自行開發的系統,在修補更新程式上線前,被FireEye偵測到惡意行為,開發團隊勢必會捍衛自主開發的程式,此時即可提出分析報告為證,明確指出被判定為惡意的程式碼位置、呼叫的函數,以及夾帶側錄鍵盤程式的行為。其實這類的狀況並非個案,因為開發人員常會採用免費下載的開放原始碼套件,經過修改後整合成為系統功能項目,若開放套件內夾帶惡意程式,唯有實際運行時啟動發作才得以被偵測。
代理程式整合防毒引擎 輔助偵測已知威脅
|
▲FireEye大中華區首席技術顧問蕭松瀛建議,面對資安事件時,重新安裝作業系統或清除惡意程式確實是正常程序,唯獨在進行之前,必須有能力先行取得相關的採證資料,以利事後調查分析。 |
甫於九月發布的FireEye Endpoint Security 4.0新版本,代理程式正式納入防毒引擎,蕭松瀛強調,此為FireEye偕同合作夥伴提供的技術,用戶無須額外授權,企業用戶在部署代理程式時,可依據需求選擇啟用。「我們的確整合防毒引擎機制,但是作法並非以防毒引擎為核心,而是基於FireEye擅長的沙箱技術整合實作。」
他進一步指出,代理程式納入防毒引擎的用意,主要是可藉由特徵碼比對已知的威脅。Endpoint Security著重於行為分析偵測,黑名單的用途是以入侵威脅指標(IOC)情資攔阻,如今再搭配特徵碼比對能力,可在惡意檔案進入端點系統當下直接攔阻,無須再透過監看行為模式偵測。
畢竟主流的滲透入侵管道大多以郵件發送,若直接夾帶執行檔,在閘道端就可被識破,可順利穿透的主要是Word、PDF等常見的文件檔,欲執行偵測,仍舊必須要開啟查看內容或監看行為,否則一旦文件經修改後,即無法被特徵碼偵測機制發現,因此勢必需要APT解決方案輔助。市面上防毒引擎的偵測能力大約落後APT偵測兩週,除非像是日前引起各方關注WannaCry襲擊,才有可能在短時間內立即發布更新特徵碼。一旦Word、PDF文件檔,以及收發郵件、瀏覽器等常見的應用程式可藉由防毒引擎檢測後,執行活動則交由代理程式監看,藉此提升運行效率,同時兼顧預防與修復功能。