[网管人专访达友科技] 累积服务经验开花结果　在地情资中心具优势

洪羿涟

近年来攻击手法持续不断地创新，传统防御机制通常难以及时侦测，大多要仰仗专业资安人员追踪与研究才得以看出异常，市场上统称这类型攻击为「先进信息安全威胁」。达友科技副总经理林皇兴认为，企业或组织欲加快因应威胁变化的脚步，首要任务即是让威胁情资可快速地融入IT环境，执行自动化检测与扫描，即时反映出威胁状态现况，以解决骇客活动的潜伏期高达上百天却无从发现，直到事件爆发后追踪才可得知的窘境。

拥有丰富的威胁情资后，信息安全机制彼此之间亦须建立连动，发挥整合效益。只是以往的解决方案设计较为封闭，往往难以跟第三方厂商介接整合；即便厂商愿意免费提供API，多数维运人员也欠缺程式开发经验，因此须仰仗在地化的技术服务支援，通常为代理商或经销商实作整合。 

运用代理产品强项建置威胁情资平台 

随著骇客攻击转型以获利为目的，为了协助企业或组织建立联防体系，信息安全厂商发展趋势已日渐开放，不仅纷纷提供API介接，甚至以开放原始码专案模式发布到GitHub社群，让需求者自行下载研究，势必有助于推动整合式应用。达友科技也顺势运用代理的端点安全防护方案Carbon Black，以旗下的云端威胁情资平台为基础，整合达友科技多年来协助企业客户处理信息安全事件所累积的在地威胁情资，提供更多加值性服务。 

 

▲达友科技整合代理方案，严查攻击进出管道，缩短先进信息安全威胁潜伏活动时间。（资料来源：达友科技）

现阶段达友科技代理的信息安全产品线包含Carbon Black、Forcepoint、Opswat等解决方案，可取得涵盖端点、闸道、云端的在地威胁情资。林皇兴指出，台湾大约有八成的金融业已导入建置达友科技代理的产品，不管是闸道、端点、DLP等方案，都可成为感知器，在不同IT环境中所发生的状况，会由达友科技的技术人员协助厘清，服务过程中会带回恶意攻击活动信息，以确认是个案，抑或是同属性的客户环境中也有发生。 

其中Opswat则主要用于情资资料品质确认。他举例，在取得恶意样本时，除了传送到沙箱环境执行模拟分析以取得入侵指标，亦可藉由Opswat多重防毒引擎的能力，确认追踪恶意样本的状态与变种趋势，从中掌握最初被用来发动渗透的产业别、已遭受波及的企业或组织数量等信息，把来自不同领域产生的威胁情资整合成为大数据平台，藉此提供相关的服务。 

事件处理累积知识进而提供在地情资 
 

▲达友科技副总经理林皇兴观察，不同企业IT建置的信息安全方案组合皆不同，如今厂商的技术平台之间得以透过开放介面沟通，经由代理商实作整合建立联防，更可进一步发挥实质上的效益。

其实对多数代理商而言，信息安全服务通常定位于加值，而非核心营运项目，只是随著客户端发生的信息安全事件频传，多年来专注于信息安全的达友科技也藉此累积许多经验与知识。以近来相当盛行网页被注入挖矿程式的事件来看，林皇兴表示，早在媒体报导之前，就已有客户遭遇到此问题。 

「原本客户是抱怨内部员工仅执行浏览网页的动作，就跳出警示并执行拦阻，认为是我们的侦测引擎误判。在技术人员介入查看分析后却发现，员工浏览该网页当下，真的会背景主动下载JavaScript程式，并且须耗费相当多资源运行，除非关闭浏览器，才恢复正常运行。一开始还不知该程式是执行挖矿。」林皇兴说。 

在挖矿程式被揭露后，短时间内又发现另一起案例，即便使用者关闭浏览器仍旧会在背景自动执行，由此不难发现，攻击程式很快地就找到新方法来达到目的，下一步甚至可能进化到重新开机后仍可重新自动执行，利用全球端点运算能力来协助攻击者挖矿。 

针对这类型信息安全事件，达友科技的信息安全工程师利用端点方案解析可疑迹象之后，从最后产出的情资发现，台湾竟然已有许多网站遭挂码，挖矿程式只是其中之一种，还包括启用摄影机、麦克风等各种不同目的。网站遭挂码的主因在于防护措施有疏漏，汇整相同事件的信息后即可从中解析问题的共通性。 

林皇兴进一步提到，现阶段正在努力的方向是设计更合适的管道，来发布分析后产出的研究成果，取代传统邮件通知模式。「企业内部建置的信息安全系统，可能会透过邮件、简讯等方式通知告警，资料量通常既多且混杂，时间久了之后会逐渐麻痹，不见得会特别重视，因此我们正在积极规画与设计更有效的威胁情资传递模式。初步的构想是成立自家情资中心，让众多导入建置代理产品的客户，除了订阅原厂提供的情资资料，还可选用我们提供的在地化情资。」 

缩短防御空窗期及时抵御针对性攻击 

之所以需要在地情资辅助，用意在于缩短防御空窗期。林皇兴说明，国际大厂情资蒐集主力通常是市场较成熟的区域，经由内部专属研究团队解析产制特徵码，以发布更新提升解决方案的侦测能力。实际上，攻击程式极可能针对本地区域的环境所设计，但通常仍须由本地服务厂商的技术人员到场厘清问题后取得样本，再转回给原厂解析，以便发布更新特徵码来建立防护，往来之间势必有时间差。再加上厂商内部的研究团队接收来自全球信息安全通报，为了避免污染情资的品质，研究人员还得先行厘清与确认，排定优先顺序再处理，恐无法达到理想中的快速发布更新，因此在地化情资确有其必要性。 

「为了取得最大的利益，现代的骇客攻击极具针对性。我们客户导入建置的信息安全方案也如同侦测器，当新型态攻击手法出现在特定的产业，最先发现的很可能就是我们到场处理的信息安全工程师。」毕竟骇客组织特别针对台湾特定产业所设计的攻击模式，国际厂商第一时间当然无从得知，必须得仰仗在地厂商协助处理。在接连发生信息安全事件造成商业损失之下，本土企业对于信息安全服务的思维已逐渐扭转，正是达友科技可发挥之处。 

网管人全文连结：http://www.netadmin.com.tw/article_content.aspx?sn=1801310006