新型態的數位化應用情境中,雲端工作負載已是不可或缺的一環。儘管目前地端與雲端皆有相對應的防禦技術可協助,但是面對現代威脅行為變得相當難以辨識,甚至合法地存取竊取機敏資料,為了更深入地掌握工作流程、強化可視化能力,以確保應用場域安全性,趨勢科技日前提出以XDR雲端服務平台,統合來自端點、郵件、網路層,以及雲端工作負載所產生的資料來源到Data Lake(資料湖),搭配Smart Protection Network全球威脅情報、進階機器學習輔助運算分析,輔助資安專家從細微的變化中挖掘出異常狀況。
趨勢科技台灣區大型事業部業務協理楊肇謙指出,企業原本對於資安的概念,主要著重偵測與攔阻(Detection and Response,DR)惡意攻擊。隨著滲透手法變遷,資安市場才增添採用沙箱模擬分析檢查威脅入侵、擴大蒐集威脅情資範圍,進而出現資安協調、自動化與回應(Security Orchestration, Automation and Response,SOAR)平台。此外,針對APT攻擊威脅,業界近來興起參考MITER框架指出駭客攻擊的真實行為,幾乎已成為資安市場的主流,凡是偵測機制的技術供應商都會依循MITER技術框架的定義。
「如今趨勢科技提出XDR,主要用意並非為了創造新市場,而是發現了解決問題必須走的路。現階段最大的瓶頸是有效地找到真正問題,例如每天可能收到上萬筆告警,也許僅有1%機率有資安疑慮,如何萃取才是困難之處。」楊肇謙說。現代企業需要的是有能力搜集到更多型態資料,藉此來提升精準度,這也是各家資安廠商一致認同的發展方向。
以前可能單純阻斷並刪除病毒檔案即可滿足企業需求,之後為了調查攻擊活動背後的目的,市場上開始出現EDR(Endpoint Detection and Response)完整記錄端點環境檔案執行所產生的資料,主要用意在於還原惡意程式活動行徑,但必須蒐集足夠大量的資料才得以從中找到蛛絲馬跡。實際上,只靠部署EDR蒐集資料尚不足進行判讀,還必須整合網路端,甚至是第三方技術所取得的資料,才可有效地降低誤判率。
跨領域整合資料強化OT環境控管力
對於趨勢科技而言,XDR不僅只是雲端服務項目,更是未來十年戰略性發展的方向。不管是研發團隊、行銷業務、市場溝通等部門都得從思維面開始轉換,這是趨勢科技團隊的未來工作執行目標。「之所以稱為『X』,是取Cross的發音與意涵,目標是達到跨越,以後再也不是產品、研發、行銷等部門各自為政,得跨越多重領域。」楊肇謙強調。
XDR首要做到的是跨層級,範圍涵蓋網路端、閘道端、主機端、用戶端,甚至是第三方技術。趨勢科技過去擅長於網路與端點的整合運行,如今要推動的是全方面的整合,解決方案必須提供可整合第三方合作夥伴的機制,也就是運用API介接實作,才有能力因應未來更多新型態應用情境。
以物聯網為例,在安全性方面的挑戰是相關控管措施不知如何著手,也意味著,傳統資安廠商得以有較大的發揮空間,大家原本都是從IT的角度思考OT環境安全控管政策,但是實際接觸過後才發現,OT的思維跟IT落差相當大,應用場景也迥異,實難直接套用。
過去OT環境中建置的基礎設施皆為專用機器,根本不可能發生資安事件。除非是國家級的油、水、電、交通等關鍵基礎設施,遭到國際駭客組織鎖定,可能收買內賊或間諜,以USB連接埠等實體管道載入攻擊程式。自從產業朝向數位化轉型,以工業4.0為發展目標,現在整個OT環境,可大致歸類為前端操作端、機械手臂端、控制與管理端,以及後端的ERP等系統,其實整個OT環境,除了機械手臂端以外,控管系統大多為Windows作業系統。「畢竟工業4.0強調的是一脈相承,工作流程中的訂單、備料、製作、品管等環節,勢必得藉由網路串連整合運行,但同時也衍生出以往從未想像過的風險。」
事實上,趨勢科技近兩年來協助企業建置OT環境的資安控管措施,面臨不少的挑戰,既有的資安產品根本無法直接部署在OT環境,可能因為控管OT環境的作業系統版本過於老舊無法支援,或實體資源不足以運行新開發的軟體。
應用場域機台與辦公室軟體的操作邏輯完全不同,亦是IT資安控管機制導入OT環境的障礙之一。例如IT人員經常在離峰時段安裝更新,應用場域必須待歲休時期進行,諸如此類,只有現場工作者才能掌握所有實務操作上的細節。對此,趨勢科技勢必得重新思考提出適合於OT應用環境的防護機制,以及解決方案不論是交由OT或IT負責控管皆可輕易上手。舉例,IT環境的SOC(資安監控中心)也要具備同時監控OT的能力,達到跨領域的資料整合,這也是趨勢科技積極努力發展的方向。
擴展Playbook建立自動回應處置
近年來本土企業開始出現跨地端與雲端的應用需求,儘管國際企業採用混合雲模式已相當常見,但是在台灣,最關注資安的金融、政府,在法規框架下,近兩年才逐步開放允許採用雲端服務,需求才剛浮現,既有資安技術供應商自然隨之朝向雲端發展。
趨勢科技設計的XDR雲端服務平台其中一項任務,即在於蒐集更多資料與提升判斷的精準度,藉由雲端平台來實作,才可因應龐大資料容量、便於隨需擴充,以整合趨勢科技自家解決方案蒐集取得的資料,進而整合第三方廠商的技術。楊肇謙指出,中大型企業現有的IT環境中,平均約部署了25種資安相關產品,當然趨勢科技現階段難以具體提出合作廠商清單,但是整合第三方廠商技術已成為發展藍圖中的要項,讓彼此之間得以運用開放的API介接,實作資料傳遞、事件處理等自動化工作流程。
初期會先整合網路、防火牆設備,由趨勢科技的解決方案餵入資料,觸發執行攔阻或隔離,下一步則是把蒐集取得的記錄檔案遞送到SIEM,或是近來受到關注的SOAR平台,運行演算分析,讓SOAR平台建立的Playbook,從偵測發現異常,到後續處理流程,得以依據標準作業程序先行處置,藉此縮短事件應變與回復的時間。