以Omicron變種為主的疫情正方興未艾,與此同時,以獲利為目的的網路攻擊卻趁著企業員工採取分流、異地、居家辦公期間,大舉利用社交工程手法發動釣魚郵件,依據台灣本土文化、習慣用語、熱門時事議題設計郵件主旨與內文,吸引用戶點選夾帶惡意程式的附加檔,抑或是內文中嵌入導向釣魚網站的連結,導致資安事故自疫情以來持續激增,讓企業損失慘重。
!此為分頁標誌前台不顯示!
當前企業IT環境的資安防禦都由異質供應商的軟硬體組成,至少也包含防火牆與防毒軟體等,但就算建置了SIEM(資安事件管理)平台蒐集日誌,其關聯分析仍偏重於南北向網路傳輸行為,缺乏內網環境的東西向活動可視性。Peter指出,針對這個痛點,NEITHViewer解決方案採用Netflow與Traffic Mirroring,有效補足了內網環境的監控能力。也難怪在NEITHNET騰曜網路科技提供的三大解決方案中,NEITHViewer最令企業有感。
部署NEITHViewer若採IT人員熟知的連接埠Mirror方式,通常必須要拉實體網路線接取交換器連接埠,蒐集該交換器進出的網路封包。Netflow實作方式則較為單純,把網路設備設置日誌拋送的位址指向NEITHViewer即可彙整所有資料。之後即可基於NEITHInsight網路威脅情資運行分析比對,一旦發現惡意IP位址,可進一步針對發起連線的端點橫向行為深入解析,釐清感染範圍。
值得一提的是NEITHViewer近期再增添機器學習演算模型實作分析引擎,有助於判讀Netflow資料,掌握Layer 4以下的連線細節,釐清擴散感染的行為。相較之下,過去企業IT人員監控網路流量主要是預先設定臨界值(Threshold),超過點位則發出告警,但因難以準確計算每個應用伺服器的正常流量水準,只能依靠經驗配置參數值。
如今隨著機器學習演算法日漸成熟易用,企業IT長期累積的大數據正可用於訓練分析模型,以科學方式得到正常連線行為常態分布數值,並且依據企業IT環境微調降低誤差,提高偵測的準確度。
NEITHViewer原本的機器學習演算模型最初是用於辨識DDoS攻擊封包進行清洗,近期再擴展實作範圍,讓內網環境的溝通也得以提高辨識度。從近幾年企業爆發的重大資安事故可發現,攻擊者滲透成功取得灘頭堡後,下一步即是橫向移動,伺機竊取高經濟價值的機敏資料並回傳到中繼站,NEITHViewer便可在此時輔助監控與判讀攻擊活動。
駭客竊取機敏資料後,除了在暗網兜售,最新手法是以「雙重勒索」方式直接獲取利益,也就是先以郵件通知受駭企業,若期限內未支付贖金則公開機敏資料內容,同時觸發加密勒索軟體執行,關鍵應用系統因此停擺,迫使企業不得不付款以恢復正常營運,危險程度更甚以往。也因此,企業必須有能力及早偵查發現並從中阻斷攻擊,才能免於重大風險與損失,這亦是近兩年愈來愈多企業主動找NEITHNET騰曜網路協助的原因之一。
NEITHNET騰曜網路科技整體解決方案以NEITHInsight情資萃取平台為核心,除了達到前述NEITHViewer輔助偵測東西向網路流量的異常活動,另一個關鍵組成要素即為提供MDR(Managed Detection and Response)服務的NEITHSeeker。Peter說明,不同於坊間外商單純只用端點偵測與回應(EDR)工具產出調查報告的「半套式」MDR服務,騰曜網路科技完全掌握自有技術的NEITHSeeker,所提供的MDR服務模式,可引導非資安專業的IT人員立即對高風險事件採取行動。
他強調,NEITHSeeker的核心設計理念,是降低企業IT管理者維運端點安全的負擔。當騰曜網路科技全天候待命的資安專家收到NEITHSeeker偵測出高風險異常活動的告警,便會隨即產生調查報告,IT人員只要收取報告即可立即點擊採取必要行動回應異常活動,甚至無須登入系統查看,也不必具備高深技能,同樣可有效降低潛藏的資安風險。