近期本土COVID-19疫情爆發社區傳播,全台實施三級警戒管制,所幸多數企業自去年(2020)年初全球大流行起,已陸續制定居家辦公或異地辦公政策,IT部門緊急啟動應變措施,讓員工透過VPN連線回到企業內網存取資源,團隊採用雲端服務協同工作、視訊開會,以維持正常營運。
對於企業IT而言,騰曜網路科技(NEITHNET)總經理林岳鋒指出,最大的挑戰莫過於疫情期間,居家辦公的員工多數採用私人桌機或筆電處理公務,作業系統環境的資安風險根本難以控管,再加上為了讓各部門同仁得以順利透過VPN連線存取內網應用系統與資料,原本嚴謹的控管措施被迫放寬,極可能遭攻擊者利用漏洞進行滲透。
騰曜網路科技(NEITHNET)總經理林岳鋒提醒,疫情終將過去,待解除警戒回到辦公室後,IT人員仍須嚴肅面對各式終端裝置,乃至於整體IT基礎架構中潛藏的威脅,以免遭APT攻擊得逞。
他強調,疫情再嚴峻終將會過去,待解除警戒回到辦公室後,IT人員仍須嚴肅面對各式終端裝置,乃至於整體IT基礎架構中潛藏的威脅,以免遭APT攻擊得逞,導致機敏資料外洩或關鍵應用系統被勒索軟體感染,釀成財務與商譽的損害。
掌握高活躍度情資 提高洞察威脅精準度
成立於2020年的騰曜網路科技,創辦人與資安團隊成員皆為台灣資安界長年負責研發資安產品技術的專家,設有專責資安實驗室(NEITHCyber Security Lab)專精研究網路攻擊行為,基於自建的流量清洗中心,不僅可即時掌握網際網路正在發生的攻擊活動行為模式,亦協同國內大型遊戲平台商交換情資,擁有豐富的在地化網路威脅情報(Cyber Threat Intelligence,CTI),可更精準地勾勒出攻擊活動最新軌跡。
以今年(2021)年初最受企業關注的微軟Exchange郵件系統漏洞來看,林岳鋒指出,儘管微軟在第一時間就已發布修補更新,但許多本土企業卻因內部Exchange版本過於老舊而無法安裝。騰曜網路科技的資安實驗室早在去年Exchange漏洞被揭露之前,就已發現網路流量中出現自動化工具產生的非典型攻擊活動,且是針對特定連接埠湧入大量流量,當下已解析取得入侵威脅指標(IOC),並藉此情資撰寫出特徵碼,讓客戶端既有部署的資安設備運用虛擬補丁來防禦。
奠基於在地化網路威脅情報,騰曜網路科技自主研發「鐵三角」的防護架構:首先是NEITHInsight網路威脅情資,其蒐集在地化的情報以建立IOC資料庫,並由資安實驗室的專家自主打造演算模型分析;其次,NEITHSeeker提供MDR(Managed Detection and Response)服務,藉由客戶端部署EDR(Endpoint Detection and Response)代理程式,持續不斷地蒐集Windows、Linux、macOS等終端系統產生的日誌;第三則是由NEITHViewer打造安全資訊與事件管理平台,提高可視化能力,並運行AIOps分析大數據,輔助資安專家深入洞察、先發制敵。
騰曜網路科技自主研發的鐵三角防護架構,包含NEITHInsight、NEITHSeeker、NEITHViewer,運用AIOps分析大數據輔助資安專家洞察先機,主動出擊遏制非典型攻擊。
MDR服務救援 解決資安人才荒
針對內部網路威脅監控,多數企業皆認同部署EDR代理程式的價值,因其可持續地蒐集端點環境產生的日誌與執行程序,提高能見度,故能在攻擊狙殺鏈(Kill Chain)活動進入橫向擴散階段時,及早發現異常,逕行阻斷,才不至於爆發資料外洩或檔案被加密勒索事故。
問題是,市場上眾多EDR工具,主要皆是用於輔助資安專家分析風險指標,一般IT人員通常難以熟練地運用。為此,騰曜網路科技自主研發了NEITHSeeker,提供MDR服務,搭配NEITHViewer平台掌握活躍度最高的網路威脅情報,進行全面監控,就連企業內網存在少數無法部署代理程式的裝置,亦可納入監控範圍,從網路封包解析亦可偵測發現活動狀態,以避免成為攻擊者跳板而不自知。
MDR服務提供企業IT藉由NEITHViewer平台設計的拓樸圖監控,萬一發生資安事件,IR(Incident Response)團隊可藉此匡列感染範圍,進而逐一盤查與排除惡意程式。除了提高IR團隊工作效率,亦可由騰曜網路科技資安專家撰寫的腳本及機器學習演算模型,運用AI(人工智慧)來輔助判斷威脅風險值。
林岳鋒說,掌握本土網路威脅情報可說是騰曜網路科技的核心優勢,其資安團隊是研究網路攻擊起家,基於自主研發NEITHViewer打造的平台,提供AIOps的入口網。多數本土廠商較擅長於解析惡意攻擊樣本,運用沙箱模擬運行環境來擷取攻擊活動相關資料,則不易如同NEITHViewer般達到主動式防禦。