首页 > 最新消息 >[网管人专访] 侦测、鉴识、回应兼备 端点安全更上层楼

最新消息

2017-11-24

[网管人专访] 侦测、鉴识、回应兼备 端点安全更上层楼


达友科技林皇兴副总接受网管人杂志专访,分享端点安全应兼备侦测、鉴识与即时回应等功能,

以下是网管人杂志专访全文:

尽管IT资源充足的企业会建立可搜集内网环境资料的机制,像是Log管理、SIEM平台,藉此整合关联事件与分析,问题是产出的报告必须是经验丰富的信息安全专家,才有能力从中发掘出异常,因此达友正在推广重新看待端点安全防护的观念,以降低人力门槛、预算可负担为前提,运用新兴技术工具提升信息安全等级。
近期除了台湾发生远银被骇盗转帐事件,国际间信息安全领域亦不平静,全球四大会计师事务所之一的Deloitte(德勤)全球邮件系统遭受渗透入侵,导致部分客户资料外流。就连提供安全与风险控管顾问服务的国际级企业,也无法幸免遭受骇客组织突破盗取资料,因此引起各界高度关注。同样在日前被揭露的美国三大消费者信用报告机构Equifax,则发生超过1.4亿笔个人资料外泄,经过信息安全专家调查与鉴识后,确认被利用的漏洞为Apache Struts2,之后信息长、安全长,甚至执行长皆相继下台。 

经过近两年实际信息安全事件的震撼教育,达友科技副总经理林皇兴观察,台湾企业或组织确实已逐渐建立「无法完全避免被入侵」的观念,甚至更积极地假设端点环境已被恶意程式潜伏,评估可尽早侦测发现的方法,以免酿成无法弥补的损害。 

现阶段企业或组织所面临的端点防护困扰,包含缺乏可视化厘清入侵管道、防护机制影响系统运行效能、被入侵后只重灌无法杜绝后患等方面。「因此我们正在推广重新看待端点安全防护的观念,以减少人力负担、预算可负担为前提,运用新兴技术工具提升信息安全等级。」林皇兴说。 

监看TTP取代特徵码分析 辨识新威胁 

重大信息安全事故的恶意攻击通常会有一段潜伏期,林皇兴指出,主要须掌握三个重要时间点,首先是遭到入侵,主要是由于端点保护措施失效,恶意程式才得以入侵成功;之后是发现攻击活动,可能是经由次世代防火墙、网页闸道器等侦测机制,解析网路封包内容发现连线到已知中继站的行为,才让攻击活动曝光;最后是驱逐攻击者,大多是由事件回应(IR)团队执行调查与鉴识,再协助清除与复原遭变更或损害的档案。 

 
▲ Carbon Black鉴识/事件处置方案基于大数据平台执行机器学习演算分析,让攻击流程以视觉化呈现,以直觉化操作介面进行互动调查。


端点保护之所以失效,林皇兴观察,从重大信息安全事件的分析报告中可发现,目前采用传统特徵比对的侦测模式,在新变种恶意程式出现48小时内能成功辨识的机率不到三成。为因应利用未知型档案、无档案式等攻击手法兴起,除了传统基于防毒引擎提供端点保护平台,国际信息安全市场上开始出现次世代防毒软体(NGAV),达友科技代理的Carbon Black即属于此类方案,以监控系统环境执行的各种活动取代特徵码比对,包括启动执行绪、程式码载入记忆体等行为,是否符合攻击者惯用的策略、技术和活动程序(TTP),为主要的辨识基础,从中取得的入侵指标(IOC),最后纳入EDR方案协助调查与鉴识。 

基于TTP侦测攻击而非仰赖特徵码的方式,林皇兴举例,代理程式透过持续监看作业系统活动,包括档案点选开启当下系统、网路的输出与输入,侦测已知中继站连线、监听连接埠、中止其他程式执行绪、程式码注入等行为,透过标签定义这些攻击手法执行侦查。通常需要大数据情资与资料科学家的技能,长期追踪分析才有能力定义TTP。当然Carbon Black也是由内部的威胁研究团队持续进行威胁猎捕(Threat Hunting),才得以把复杂的TTP活动信息,浓缩不到200种,让端点代理程式得以进行监看与评分。 

事中回应、事后鉴识 控制风险并改善体质 
 
▲达友科技副总经理林皇兴观察,近两年无档案攻击手法持续增加,在2016年达到过半数的死亡交叉,统计报告显示,大约有六成攻击采用的是无档案手法,特别是APT攻击活动,几乎已成主流。

Carbon Black推出的解决方案包含次世代端点防护(Cb Defense)、鉴识/事件处置(Cb Response)、应用程式控制(Cb Protection),共用云端威胁情资汇整平台,且皆可单独部署。至于EDR的功能,在Cb Defense、Cb Response中皆有涵盖;应用程式控制主要是运用传统白名单机制实作,以往担心配置白名单恐加重管理负担,但是在未知型应用程式增长之下,反而被视为最简单且有效降低风险的方法。其中,Cb Response可强化现有信息安全监控中心(SOC)、执行威胁猎捕,协助IR团队提高工作效率,例如政府成立电脑信息安全事件应变团队(CSIRT)即可适用。 

国内企业或组织已使用SOC进行7×24小时监看,不论自建或委外,以往皆未涵盖端点的鉴识,只著重在网路信息安全防护,面对攻击手法的转变,可采用Cb Response来补足端点方面的信息;另一方面,亦可从众多日志记录中快速地厘清信息安全事件最初感染源头,以从中得知现行信息安全机制不足之处,持续不断地改善防护力。CSIRT角色的重要任务,就是执行威胁猎捕,也就是需要更积极主动地挖出内网环境中潜藏的威胁,避免酿成信息安全事件。 

就部署模式来看,Cb Response需要在内部建置一台伺服器介接云端威胁情资汇整平台,端点则安装轻量型代理程式,不会有过多判断逻辑,持续性搜集取得的资料是交由伺服器来执行分析,才不致增添端点运算负担,也因此可支援的技术平台较为广泛,包含嵌入式、工业控制等系统。

蒐集完成的资料经过演算分析,以视觉化方式呈现攻击手法与流程。不具备信息安全专业人力的企业,亦可透过统计分析报告查看威胁状态。例如内部员工遭受感染加密勒索软体,有可能是开启邮件中的附加档所导致,整个攻击流程可透过关联图方式绘出,亦可点选图示查看利用的漏洞名称、恶意程式名称、Hash值等细节,即使IT人员不具备信息安全专业知识,经过自动化工具分析过后,也可清楚厘清事件发生的始末,究竟是漏洞未修补抑或是员工警觉心不足所导致。 

至于Cb Response提出的回应方式,首先是针对高风险端点,IT管理者可执行隔离,仅允许端点连线到统一控管伺服器系统,降低平行感染造成的灾害;其次是即时互动反应,透过伺服器系统远端执行端点的记忆体倾印(Dump)、Kill执行绪等指令;最后可列入黑名单,已确认为威胁活动的Hash值,藉此机制可直接阻挡,防止重复感染或扩散。

全文连结:http://www.netadmin.com.tw/article_content.aspx?sn=1711030003