資安領域的不同解決方案供應商,近來陸續增添使用者與實體設備行為分析(UEBA或稱為UBA)平台,例如Forcepoint併購RedOwl推出的UEBA方案、Palo Alto Networks併購LightCyber推出的Magnifier雲端服務、微軟甫發布的Azure進階威脅防護(ATP)服務等,皆是藉由蒐集端點與IT基礎架構環境所產生的所有日誌,以及深度封包檢測網路流量,彙整不同資料來源,進而以機器學習分析,讓IT管理者得以透過統一儀表板,以科學數據深入查看,達到風險管控的目的。
國際間重大資料外洩事件經常成為媒體頭版頭條,無論是人為疏失、遭受針對性攻擊、系統出錯或漏洞未修補更新等因素所導致,不僅企業商譽受損、影響市場競爭力、造成營業損失,甚至可能造成高階管理層動盪,例如美國消費者信用報告業者Equifax,去年(2017)因已知的主機漏洞未及時修補導致上億筆消費者個資外洩,最終使得資訊長、安全長、執行長因此下台。
相較於主機漏洞導致的資料外洩事故,更難解的問題卻是來自於辦公室環境,由於內部人員的疏忽、操作錯誤,抑或是遭惡意程式感染,讓攻擊者取得合法存取帳號,來執行機敏資料的盜取,既有配置的事件驅動防禦偵測機制根本無從察覺。
對此,資安領域的不同解決方案供應商,近來陸續增添使用者與實體設備行為分析(UEBA或稱為UBA)平台,例如Forcepoint併購RedOwl推出的UEBA方案、Palo Alto Networks併購LightCyber推出的Magnifier雲端服務、微軟甫發布的Azure進階威脅防護(ATP)服務等,皆是著眼於此。藉由蒐集端點與IT基礎架構環境所產生的所有日誌,以及深度封包檢測網路流量,彙整豐富的東西向與南北向資料來源,進而加以進行關聯與分析,讓IT管理者得以透過統一儀表板,以科學數據深入查看,達到風險管控的目的。
以「人」為中心動態建立風險適應性
先蒐集豐富的資料來源,再基於機器學習演算法運行處理大數據,藉以描繪出使用者正常行為模式的基準線,以便主動分析與判別在不同應用場景中的行為意圖,及早從中發現異常,進而提出告警通知IT管理者進行深入調查,或是透過自動化機制先行處置與回應。上述完整的流程與效益,正是近來在內部威脅防禦領域中,使用者與實體設備行為分析備受關注的主因。
根據Gartner最初在2015年的定義,UEBA主要是來自次世代防火牆廠商、端點防護方案、資安事件管理(SIEM)平台三個領域供應商所演進發展的功能。Forcepoint北亞區技術總監莊添發觀察,儘管不同資安領域供應商各自發展UEBA機制,實際上的目標皆為一致,只是由於不同領域可蒐集取得的資料格式不同,須設計以合適的高階統計學與演算邏輯來解析風險指數。「針對前端蒐集資料來源與偵測進而執行回應的過程,UEBA分析大數據的精準度為重要關鍵,若不同環節的解決方案皆來自相同廠商所研發設計,將更可實現整合式運行。」莊添發強調。
 |
| ▲ 以竊取資料為目的所發動的攻擊活動,即使初期利用漏洞的攻擊無法被及時偵測,但對於尚在橫向移動階段的擴散手法,仍可藉助UEBA技術分析行為意圖,進行資安風險管控。(資料來源:Palo Alto Networks) |
他舉例,假設有警覺心不足的使用者點選釣魚郵件後被植入惡意程式,惡意程式回呼連線到中繼站後,遠端操作執行而成功盜取機敏資料。這起攻擊活動,看似可從日誌中解析釐清軌跡,因為透過網路層解析封包所涵蓋的資訊,確實可偵測到下載惡意程式行為,然而,卻無法得知惡意程式在系統環境中的活動內容,即使可試著搭配沙箱模擬取得滲透系統的入侵指標,但往往僅為片段資訊,無法完整勾勒出所有細節。
對此,Forcepoint Insider Threat輕量化的端點代理程式即可補足盲點,其可蒐集取得更多實際操作行為資訊,交給Forcepoint UEBA運行分析,成為以「人」為中心的洞察呈現,並且依據風險優先等級及早處置,更可搭配最新推出的動態資料保護(Dynamic Data Protection)技術協助,結合資料外洩防護機制,建立具風險適應性的自動化防禦體系。
雲端服務蒐集資料洞察攻擊活動行徑
就攻擊生命週期來看,Palo Alto Networks台灣區技術顧問藍博彥指出,攻擊者利用漏洞成功滲透到內網之後,為了迴避防禦偵測,往往極為低調、隱匿,即便攻擊者遠端控制發送執行指令,開始進行橫向移動,通常也不會持續地執行,因此在達到竊取機敏資料的目的之前,需要潛伏一段時間。
然而,資安領域長期以來發展的技術,大多為事件驅動的防禦機制,就連Palo Alto Networks自家的Traps端點防護,也是先透過偵測發現才執行阻斷。「基於事件驅動偵測機制的最大挑戰,就是檢查單一事件通常都無法發現問題。例如使用者正常的連線行為,目的地卻是從未見過的網頁服務,雖有可能是攻擊者用來派送遠端控制指令的中繼站,卻無法界定為異常行為的證據。這也就是必須更進一步釐清真相的原因。」
畢竟以竊取機敏資料為目的的攻擊活動極具針對性,先滲透並隱藏在裝置系統中,取得驗證資訊掌握控制權後,即可利用合法的端點與帳號在內部網路活動,掩護擴散感染的行徑,最終達到竊取資料的目的。企業或組織往往卻是在損害發生之後,經過事件調查才驚覺攻擊活動潛伏已久。
面對攻擊手法變化多端、防不勝防,愈來愈多企業轉向以提升資安體質為發展主軸,只要發現可疑的行為隨即著手調查,釐清究竟是誤判、員工不小心,抑或是潛伏的滲透程式所為,藉此先一步阻止資安事件發生。「Palo Alto Networks設計的防禦框架中所提出的Magnifier雲端服務,即是協助客戶透過統一蒐集數以萬計的網路與系統環境擷取的日誌資料,運行分析後掌握使用者行為模式,從運算後的數據資料洞察異常行徑。」
釐清異常真相免於遭攻擊不自知
運用先進的演算法分析大數據,不僅可從中挖掘出潛在商機,同樣可協助IT管理者找到問題的根本原因,以及偵測機制無法判別的威脅型態。台灣微軟資深產品行銷協理林敬傑即指出,異常行為、惡意攻擊程式已成為現代企業最常見的威脅型態,也最難以偵測與處置。
微軟既有提供的ATA(Advanced Threat Analytics)方案,即是基於2014年併購取得Aorato技術所提供的UEBA分析平台,以非侵入的部署架構,運用流量複製執行深度封包檢查技術來分析Active Directory連線資訊。日前發布的Azure ATP,可說是ATA的雲端版本,具有相同的技術能力。較特別的是,Azure ATP搭配微軟智慧資安圖表(Intelligent Security Graph)蒐集的情資分析比對,以圖形化方式呈現於儀表板,一旦Azure ATP偵測到異常,會主動告警通知端點的Windows Defender與Office 365,依據事先定義的政策措施執行回應,IT管理者亦可針對事件追蹤調查,來釐清問題真相。