資安委外服務並非只有典型的7╳24小時專業人力維運的資安監控中心(SOC)而已。針對常成為攻擊目標的端點環境,亦有業者專門打造了內網威脅監控(APT SOC)服務,透過代理程式蒐集取得執行程序、註冊機碼、檔案行為、記憶體、網路連線等活動資料,即時分析與偵測異常行為,一旦發現問題不僅立刻觸發告警,亦可由資安服務委外廠商(MSSP)提供遠端即時事件處理與鑑識。
過去的資安委外代管服務,中芯數據資深資安顧問吳耿宏不諱言,在台灣推廣狀況大多被拒於門外,但近兩年資安事件新聞持續不斷,尤其是2016年第一銀行ATM遭國際犯罪集團盜領案,不僅是APT攻擊的經典案例,且調查入侵活動後所取得的資訊,公開揭露還原整起攻擊程序,成為資安業界最佳教學案例,也讓APT攻擊的危害程度再度受到企業所關注。
「近來發現拜訪的企業已經不再排斥資安委外服務,也願意進行概念驗證。在實際安裝CounterTack程式後,多數環境確實可從中偵測發現威脅程式的軌跡,因此相信中芯數據的技術能量,開始採用內網威脅監控服務。」吳耿宏說。
還原攻擊活動真相 改善被利用的弱點
以往台灣企業發生資安攻擊事件後,都會盡力封鎖消息,避免外界得知損及企業形象,因而少有人知,直到第一銀行ATM盜領案在發生當下即驚動警察,加上媒體持續追蹤報導,才得以讓大眾深刻明白,原來現代的APT攻擊活動,完全能夠繞過多重資安防禦措施。吳耿宏觀察,發生資安事件後通報警察處理,或許可免費交由調查局以人力方式還原硬碟磁區的資料,追蹤到攻擊源頭與惡意程式,但多數企業仍舊會盡量避免驚動檢調,畢竟如此一來,受駭消息勢必得曝光,對於商譽損害將難以估量。
|
▲ 中芯數據提供內網威脅監控服務(APT SOC),可持續監控端點及主機的惡意程式行為,並提供客戶通報與即時回應服務。(資料來源:中芯數據) |
由前述第一銀行案例來看,經過調查局數位鑑識結論是來自倫敦分行連線到總行的派送主機,跳板到多台ATM機器,過程中經過多重控管環節與關卡,卻沒有偵測發現任何惡意程式,才讓盜領案活動成功。調查局之所以能夠還原整起事件的真相,即代表攻擊活動的行徑實際上可透過推論、追蹤,查探到最初期被滲透成功的環節,這也是數位鑑識主要的意義,在於釐清整起事件的來龍去脈、攻擊活動的執行策略,以便事後調整防禦措施,或改善脆弱點,才有能力防範二次攻擊,而非只是逕行阻斷或刪除惡意程式,根本無法幫助提升資安防護能力。
「若能夠透過工具機制協助,在主機被滲透入侵成功的當下立即啟動鑑識功能,即可降低事件實際發生的機率,近年來資安界興起的EDR(Endpoint Detection and Response)市場,即是為了輔助鑑識調查所設計的工具。」吳耿宏說。
EDR輔助資安專家 提升事件調查效率
|
▲中芯數據資深資安顧問吳耿宏強調,EDR蒐集端點日誌、分析指出可疑行為的主要目的,是為了輔助專業資安人員執行鑑識,取得攻擊入侵活動指標,才能用以防範類似事件再次上演。 |
為避免資安事件消息公諸於世,受駭企業就得投資經費請資安服務廠商來執行調查與處理,這也是近兩年資安服務業興盛的原因之一。弔詭的是,資安事件已造成損失的情況下,還必須請業界的資安專家執行實作,以人天計價方式通常所費不貲,對於採預算制度為主的本土公司而言,這筆額外花費取得的方式難度不低。
因此,中芯數據所設計的內網威脅監控服務,搭配自動化工具協助,也就是屬於EDR市場領域的CounterTack於端點環境持續不斷地蒐集,包含執行程序狀態、註冊機碼的異動、檔案執行活動、網路存取行為等資料,進而基於惡意程式特有的指標執行比對,判定為異常行為的同時亦觸發執行追蹤機制,以確保攻擊活動所有資訊不致被消滅,最後才由資安專家人工判讀分析後的資訊,如此一來,才可提升事件調查的效率、縮減服務費用。
承接資安委外服務專案的廠商,可能必須調查成千上萬台電腦數量的環境,勢必得運用工具協助,也就是先行大量部署EDR工具,並且定義惡意程式指標條件,一旦發現立即提出警報,再由資安專家解讀資訊判斷威脅性。
此外,多數事件回應與處理通常是一次性的服務,在大規模端點環境中,必須完整掌握所有遭受感染的主機,才不致出現遺漏,讓類似的資安事件重複地發生。事實上,即便是資安專家也無法保證惡意程式已完全被清除,仍舊必須持續地監看與分析行為模式是否出現異常,此時部署EDR工具即可發揮功效,依據入侵指標辨識,一旦發現立即執行鑑識。
統整端點資料 增添資安監控可視性
既然現代攻擊活動執行的惡意程式,有能力繞過各種資安防禦措施,若7╳24小時資安監控中心的專家,僅能就SIEM平台所蒐集取得的設備日誌進行分析,勢必會有盲點,必須也要具備蒐集端點系統資料的能力,例如採用EDR來執行,才能以全面性的視野深入探查資安防禦措施無法偵測的攻擊活動。
「現階段資安市場上的EDR產品範圍相當廣泛,我們評估輔助工具時鎖定的要點是能夠錄下所有端點活動,至於事件分析條件,我們可以自行定義,畢竟惡意程式為了免於被偵測發現,手法會經常改變,須具備可隨之調整定義的機制。」吳耿宏說。
實際上,運用系統與軟體的弱點執行滲透攻擊的攔截率相當高,因為攻擊手法已被完整解析,資安防禦措施只要快速跟進,即可協助大多數客戶辨識,因此,攻擊活動主流手法是採用社交工程郵件誘騙使用者點選檔案,如此一來,惡意程式即可運行。若端點具備EDR工具持續搜集資料,並整合到SIEM平台供資安人員監看,藉此及早發現或許可免於釀成更大危害。