近年來攻擊手法持續不斷地創新,傳統防禦機制通常難以及時偵測,大多要仰仗專業資安人員追蹤與研究才得以看出異常,市場上統稱這類型攻擊為「先進資安威脅」。達友科技副總經理林皇興認為,企業或組織欲加快因應威脅變化的腳步,首要任務即是讓威脅情資可快速地融入IT環境,執行自動化檢測與掃描,即時反映出威脅狀態現況,以解決駭客活動的潛伏期高達上百天卻無從發現,直到事件爆發後追蹤才可得知的窘境。
擁有豐富的威脅情資後,資安機制彼此之間亦須建立連動,發揮整合效益。只是以往的解決方案設計較為封閉,往往難以跟第三方廠商介接整合;即便廠商願意免費提供API,多數維運人員也欠缺程式開發經驗,因此須仰仗在地化的技術服務支援,通常為代理商或經銷商實作整合。
運用代理產品強項建置威脅情資平台
隨著駭客攻擊轉型以獲利為目的,為了協助企業或組織建立聯防體系,資安廠商發展趨勢已日漸開放,不僅紛紛提供API介接,甚至以開放原始碼專案模式發布到GitHub社群,讓需求者自行下載研究,勢必有助於推動整合式應用。達友科技也順勢運用代理的端點安全防護方案Carbon Black,以旗下的雲端威脅情資平台為基礎,整合達友科技多年來協助企業客戶處理資安事件所累積的在地威脅情資,提供更多加值性服務。
|
▲達友科技整合代理方案,嚴查攻擊進出管道,縮短先進資安威脅潛伏活動時間。(資料來源:達友科技) |
現階段達友科技代理的資安產品線包含Carbon Black、Forcepoint、Opswat等解決方案,可取得涵蓋端點、閘道、雲端的在地威脅情資。林皇興指出,台灣大約有八成的金融業已導入建置達友科技代理的產品,不管是閘道、端點、DLP等方案,都可成為感知器,在不同IT環境中所發生的狀況,會由達友科技的技術人員協助釐清,服務過程中會帶回惡意攻擊活動資訊,以確認是個案,抑或是同屬性的客戶環境中也有發生。
其中Opswat則主要用於情資資料品質確認。他舉例,在取得惡意樣本時,除了傳送到沙箱環境執行模擬分析以取得入侵指標,亦可藉由Opswat多重防毒引擎的能力,確認追蹤惡意樣本的狀態與變種趨勢,從中掌握最初被用來發動滲透的產業別、已遭受波及的企業或組織數量等資訊,把來自不同領域產生的威脅情資整合成為大數據平台,藉此提供相關的服務。
事件處理累積知識進而提供在地情資
|
▲達友科技副總經理林皇興觀察,不同企業IT建置的資安方案組合皆不同,如今廠商的技術平台之間得以透過開放介面溝通,經由代理商實作整合建立聯防,更可進一步發揮實質上的效益。 |
其實對多數代理商而言,資安服務通常定位於加值,而非核心營運項目,只是隨著客戶端發生的資安事件頻傳,多年來專注於資安的達友科技也藉此累積許多經驗與知識。以近來相當盛行網頁被注入挖礦程式的事件來看,林皇興表示,早在媒體報導之前,就已有客戶遭遇到此問題。
「原本客戶是抱怨內部員工僅執行瀏覽網頁的動作,就跳出警示並執行攔阻,認為是我們的偵測引擎誤判。在技術人員介入查看分析後卻發現,員工瀏覽該網頁當下,真的會背景主動下載JavaScript程式,並且須耗費相當多資源運行,除非關閉瀏覽器,才恢復正常運行。一開始還不知該程式是執行挖礦。」林皇興說。
在挖礦程式被揭露後,短時間內又發現另一起案例,即便使用者關閉瀏覽器仍舊會在背景自動執行,由此不難發現,攻擊程式很快地就找到新方法來達到目的,下一步甚至可能進化到重新開機後仍可重新自動執行,利用全球端點運算能力來協助攻擊者挖礦。
針對這類型資安事件,達友科技的資安工程師利用端點方案解析可疑跡象之後,從最後產出的情資發現,台灣竟然已有許多網站遭掛碼,挖礦程式只是其中之一種,還包括啟用攝影機、麥克風等各種不同目的。網站遭掛碼的主因在於防護措施有疏漏,彙整相同事件的資訊後即可從中解析問題的共通性。
林皇興進一步提到,現階段正在努力的方向是設計更合適的管道,來發布分析後產出的研究成果,取代傳統郵件通知模式。「企業內部建置的資安系統,可能會透過郵件、簡訊等方式通知告警,資料量通常既多且混雜,時間久了之後會逐漸麻痺,不見得會特別重視,因此我們正在積極規畫與設計更有效的威脅情資傳遞模式。初步的構想是成立自家情資中心,讓眾多導入建置代理產品的客戶,除了訂閱原廠提供的情資資料,還可選用我們提供的在地化情資。」
縮短防禦空窗期及時抵禦針對性攻擊
之所以需要在地情資輔助,用意在於縮短防禦空窗期。林皇興說明,國際大廠情資蒐集主力通常是市場較成熟的區域,經由內部專屬研究團隊解析產製特徵碼,以發布更新提升解決方案的偵測能力。實際上,攻擊程式極可能針對本地區域的環境所設計,但通常仍須由本地服務廠商的技術人員到場釐清問題後取得樣本,再轉回給原廠解析,以便發布更新特徵碼來建立防護,往來之間勢必有時間差。再加上廠商內部的研究團隊接收來自全球資安通報,為了避免污染情資的品質,研究人員還得先行釐清與確認,排定優先順序再處理,恐無法達到理想中的快速發布更新,因此在地化情資確有其必要性。
「為了取得最大的利益,現代的駭客攻擊極具針對性。我們客戶導入建置的資安方案也如同偵測器,當新型態攻擊手法出現在特定的產業,最先發現的很可能就是我們到場處理的資安工程師。」畢竟駭客組織特別針對台灣特定產業所設計的攻擊模式,國際廠商第一時間當然無從得知,必須得仰仗在地廠商協助處理。在接連發生資安事件造成商業損失之下,本土企業對於資安服務的思維已逐漸扭轉,正是達友科技可發揮之處。