APT(Advanced Persistent Threat)的攻擊手法一直持續演進,變化更多的規避手法,並更趨向複雜化,以目前的APT防禦方案來說,只要偵測率夠高,相對都會產生非常龐大海量的事件。每日都須檢視上百筆甚至上千筆的事件,對無論是使用者或是專業服務廠商都是相當大的負荷。當然也可以採購昂貴的關聯式分析系統加上專業顧問的知識去產生整理過的關聯式報表,但這方案是所有的使用者或是專業服務廠商所能夠負擔的成本嗎?
前陣子才有一個實際案例,來自路透社針對美國Target資料外洩事件做了報導,內容重點表示,Target 並不是沒有採購APT防禦系統,但每天產生海量的資安事件最多只是做歸類動作,該公司的使用者與資安團隊對相似的告警已經麻木,而且常使得該公司的E-mail以及Web流量受到影響,而導致在被駭客攻擊前,該公司的資安團隊就已把相關的阻擋功能給關閉了。某位專家下了這樣的結語「它需要愛與關懷,你要一直看著並監控它」。
Lastline解決方案的其中一項特點,它會將單一攻擊產生的幾百筆事件,不斷的做自動關聯演算,將其收斂為重點式的威脅行為報告。每種行為以顏色區分並給予分數,讓使用者於第一時間可知道這幾百筆的事件代表的是那些的威脅行為,並利用顏色與分數方便快速做優先順序的判斷及處置。