著眼於資安攻擊頻傳、勒索病毒猖獗,運算網通及儲存方案知名品牌QNAP(威聯通)自主研發推出主動防禦快篩設備ADRA-3010P,融合網路偵測與回應(Network Detection and Response,NDR)與Layer 2交換器技術,讓辦公室、工廠、小型工作室等應用場域提高安全等級,降低IT人員控管風險負擔。
當前主流的針對性攻擊手法,不外乎駭客利用社交工程郵件滲透員工筆電、桌機環境漏洞取得灘頭堡,隨即開始潛伏並掃描內網中存在相同漏洞的系統,低調隱匿地橫向移動擴大感染範圍,待竊取得到機敏資料後,受感染的端點再同時執行惡意加密,迫使企業不得不支付贖金。
上述攻擊流程之所以常易得逞,QNAP產品經理廖宜岑觀察,主要在於應用場域欠缺東西向網路流量的偵測能力。過去企業IT重心皆投資在增進防火牆、端點防護(EPP/EDR)等資安技術,防堵南北向網路流量夾帶惡意程式。隨著勒索病毒資安事件逐年增多,儘管端點防護方案也演進到最新的擴展式偵測與回應(XDR),可透過雲端平台執行管控以增進橫向溝通偵測與回應能力,但卻常限於非公務配發私人裝置、資訊系統過於老舊等因素,無法安裝代理程式又疏於控管讓惡意程式有機可趁。透過部署在最接近用戶位置的NDR設備持續地偵測與回應,則可有效解決難題,及早應變降低損害。
ADRA-3010P設備結合Layer 2交換器進行偵測,只要發現終端裝置對內網發動掃描或者存取高風險網站連結,ADRA-3010P控管操作介面上即會完整呈現,並且IT維運人員可設定阻斷交換器連接埠服務嚴加管控,避免惡意程式擴散到內網其他裝置。
廖宜岑指出,QNAP設計的ADRA-3010P核心理念在於降低企業IT人員維運負擔,不需改變既有網路架構,基於Layer 2交換器與PoE供電設備,即可提高應用場域的安全等級。再加上以NAS產品聞名的QNAP原就擅長以用戶為核心的研發設計,把偵測與回應程序轉化為簡單易懂的圖形介面,讓IT人員得以直覺地控管,降低資安維運門檻。
他進一步說明,採購QNAP的NAS設備客群,有許多小型企業、個人工作室,辦公室電腦可能不到10台,也很適合藉由ADRA-3010P設備內建Layer 2交換器與資安技術,以快篩方式偵測網路攻擊活動,且主動回應阻絕,如此才有機會讓災損風險降到最低且這類的用戶,通常公司沒有專職的IT人員,ADRA這種透過layer 2的行為偵測,搭配容易操作的介面,也可以減輕管理負擔。
ADRA-3010P韌體搭載Hypervisor技術,啟用NDR虛擬主機後,接取ADRA-3010P設備的連線封包即可透過Mirror方式完整蒐集,經過深度封包檢測(DPI)解析內容,運用內建的快篩機制Threat Watch,依照條件過濾可疑網路活動並加以分析,並根據IT人員事先設定的應變原則做出反應,例如予以停止連接埠服務,當用戶發現網路中斷勢必得報修,此時IT人員即可順理成章介入調查,釐清來龍去脈。
Threat Watch威脅比對基礎為收集公開的威脅情資,再藉由QNAP全球部署誘捕系統(Honeypot)蒐集取得的攻擊手法,經由QNAP資安專家團隊彙整,讓ADRA-3010P設備可手動或自動更新特徵碼增進辨識度。
值得一提的是ADRA-3010P具備威脅陷阱Threat Trap機制,借助誘捕系統模擬正常運行環境,誘使針對性勒索病毒誤認已抵達目標而開始攻擊程序,便能精準地加以隔離,連難以判讀為異常的橫向擴散行為都能反制,連難以判讀為異常的橫向擴散行為都能偵測阻絕,ADRA-3010P還可透過深度分析進行威脅的類型及威脅程度比對,並將不同時間點的偵測事件交互進行關聯分析,作為判斷風險等級的進一步條件,鞏固內網保護。