圖片來源: 
Intel Security Taiwan資深技術經理沈志明

 作者  Intel Security Taiwan資深技術經理沈志明

對付罕見的鎖定式攻擊行為,資安專家最感到吃力的是哪些部分?根據Intel Security對黑帽大會參加人士的調查結果顯示,除了偵測項目比重較大之外,在誤報、防護、及時回應和修復等項目上,也同樣令安全人員感到挫折,並且表示耗費巨額成本且成效不彰。

造成這些難題的原因,可歸咎於未經整合的傳統深層防禦設計,為了對抗資安威脅,企業建置了各式防禦與偵測機制,不過,儘管已針對各種威脅媒介可能都設有多個防毒引擎與防護機制,但這些產品多半是採取各自為政的作業模式,這種情況會造成兩大問題:成本與風險。

同時,未經整合的安全作業,仍處於被動、複雜的狀態,執行時也可能不夠自動化,以及缺乏最佳化調校。而這種效率不彰的情形,為安全防護的工作裸落實上,帶來昂貴的後續作業成本,同時,資料和網路仍暴露在頑強的攻擊下。在這些未經整合的安全性產品與作業流程當中,使得專業的攻擊者有充足的空間和白雜訊(white noise),得以入侵組織並持續藏匿在系統中。(白雜訊是指過多沒有參考性的資訊,而導致調查困擾)

打造威脅情報交換機制

在現有安全設備中,建立即時通訊機制,以快速分享威脅情報,可協助組織以經濟實惠的方式防止入侵,縮小遭遇攻擊與阻止攻擊之間的防護涵蓋落差。然而,要在眾多產品中,建立即時通訊機制分享威脅情報,談何容易?其實,最大的障礙就是缺乏標準化,無法建立快速有效率的通信協定來傳遞最新發現的威脅,讓眾多資安產品相互溝通,而且,要做到這一點,還不能限於同一廠商的產品整合,如此才能真正達成區域聯防的目標,還可以消除等待安全廠商更新防護的空窗期。

要實現資安機制的交互連結,我們可以:利用整合工作流程與資料的高效能系統,克服孤立無援的作業情形,改用靈活、智慧的威脅防護模式;並且共用沙箱偵測資源,整合分析每個入口點的可疑檔案,將全域、本機及第三方來源,全部納入偵測範圍,以及手動輸入威脅情報。

透過這些做法的搭配,即可更為全面地因應進階鎖定式攻擊,提供完善、全方位的偵測、遏阻及修補功能。

建立資料交換層的共通標準

為了更便於威脅情報的交換,Intel Security研究開發出資料交換層(Data Exchange Layer,DXL),作為標準化通信協定。

這種資料處理的運作原理,就像人體的神經系統,來傳達各感覺器官感應到的訊息到大腦。而且,它不僅善用P2P網路通信速度快又有效率的優點,完全符合中大型企業的效能需求,並能簡化整合的複雜度,有助於減少執行與運作成本。

運作上,你可能會認為,DXL是透過低階API以一對一的方式進行整合,但並非如此,例如ePO提供API供其他產品進行整合,它的整合較為複雜且版本依存性也高,導致開發成本較高,也無法滿足及時威脅情報共享的需求。實際上,資料交換層通訊架構,是利用較有效率的通訊方法,例如:發布/訂閱、推送通知及查詢/回應,來簡化整合負擔,而上述這些功能代表資料交換層支援產品的自動設定功能,可減少錯誤、節省人力。

同時,資料交換層提供即時雙向通訊架構,且架構上的連線元件始終處於運作狀態,端點、閘道與其他安全元件可持續保持連線,因此,無論身在何處皆可即時分享情報。在這個模式下,企業可以透過廣播的方式,在內部環境部署安全性控制項,以及針對位於其他辦公室的遠端節點執行安全性命令與控制,即使位於遠端NAT設備背後的遠端節點,也能含括在內,例如防火牆與家用網路閘道器。

此外,用戶也能透過傳輸層安全性(TLS)的加密通訊協定,強制要求所有參與者,都必須通過強式憑證相互驗證,並將所有網路流量加密,或者利用通信架構執行授權,便可確保通訊安全。而這樣的設計既能確保承載處於安全狀態,又能保護通信架構本身免受外部攻擊或濫用。

DXL資料交換層的特色:DXL資料交換層如同人體的神經系統來傳達各感覺器官感應到的訊息到大腦,它利用點對點的傳輸技術快速分享威脅情報,解決API整合複雜且訊息傳遞不即時的問題,以簡單與開放的方式降低運作成本。(圖片來源/沈志明)

DXL資料交換層架構範例

所有的DXL通訊皆透過DXL Broker來溝通,可以把它看成網路Router的角色,兩個DXL Broker即可組成DXL Hub,而為了符合高可用性的目標,分別部署於企業內部與DMZ區。(圖片來源/沈志明)

以自適性安全為目標的解決方案,已有實際產品

而目前市面上已出現了使用DXL技術的產品,例如,積極主推這項標準的Intel Security,就推出了威脅情報交換平臺McAfee Threat Intelligence Exchange(TIE ) ,它本身也是首款使用DXL資料交換層的解決方案。

TIE所用的威脅資料交換層為雙向通訊架構,可透過產品整合簡化與內容分享,提供安全性情報及自適性安全性。它會收集和分享具有鑑識級的資訊,並即時連線做出防護決策、能夠將整個環境中的擴大情報融入環境中,並即時進行編制、並將威脅防護轉為動態運作。

對於企業的安全團隊而言,我們認為,將可以在本機系統當中,輕鬆地控制潛在惡意軟體及威脅分類,同時,安全性元件也能立即分享樣本分析,並視情況升級強制的保護規則。一旦,企業將既有的網路防護系統加入McAfee TIE,之後,便能運用資料交換層,將端點、閘道及其他安全性元件併入發展成熟的進階鎖定式攻擊防禦系統中,協助降低風險、提升防護,以便抵禦日後威脅,發揮最大效能。同時,因為做到了共同聯防,不僅消除了原本孤立的進階鎖定式攻擊的防護系統,也進一步降低作業成本及負擔。

以McAfee TIE元件的角度來看,它能以統一的運作方式,與網路、端點、資料、應用程式和其他第三方安全性解決方案,即時共享安全情報,而能進一步落實安全性的自動調適。因此,用戶從遭受進階鎖定式攻擊到阻止攻擊之間時間差距,也將有效縮短——從數日、數週、數年之久,可望降低到毫秒之間。

Intel Security提出的自適性安全互聯架構

所有參與DXL生態系統的安全解決方案,皆能透過TIE情報交換平臺,分享或接收最新發現的進階威脅,協助企業組織快速免除進階威脅衝擊。(圖片來源/沈志明)

強化現有端點保護

相較於傳統進階鑑識需要專門的工具和訓練,以及大量手動作業,McAfee TIE的特色是將威脅情報轉換,成為以IT規則驅動的自動化保護,以其中的端點安全應用而言,企業可用它來搭配防毒或白名單模組,協助做出正確的檔案執行決定,將端點防護功能提升至新的層次。

在該項防護中,企業在配置的規則引擎時,可根據本機端點內容 (檔案、程序與環境屬性) ,以及目前可用的綜合威脅情報 (組織的普遍性、年齡及聲譽) ,彼此整合之後,協助落實不同層級的風險容忍需求,提供更多彈性。

現在,McAfee TIE的端點防護機制可利用多種安全性詳細資料,來協助制定偵測與防護決策。

以執行檔案時的過程為例:

1. TIE的端點防護模組會查詢TIE伺服器,確認是否有該檔案的相關中繼資料。

2. 如果找不到任何有關此檔案的記錄,TIE伺服器會查詢McAfee GTI 的雲端資料庫,並將全球信用評價傳回查詢主機。

3. TIE伺服器會利用儲存的檔案中繼資料,來回覆查詢。所提供的內容包括企業的專屬資料,例如公司的信用評價、普遍性及經營年數。

4. 接著,TIE模組會使用可配置的規則引擎,整合在本機觀察到的內容 (檔案、程序與環境屬性),以及目前可用的綜合威脅情報,以決定是否執行檔案。

企業可利用規則來自訂端點的風險容忍度層級,藉此定義各種執行狀況。例如,訂定一個嚴格的規則,將未知或「灰色」的檔案,設為零容忍度,即完成訂定此規則,限定使用者只能存取具備特定信用評價的檔案。

事實上,對於檔案應允許存取或予以隔離並刪除的風險範圍界定,每家公司可能有不同的看法。而且,通常會因不同系統的等級與業務重要性,而使得容忍度有異。

如果管理員日後判定檔案安全無虞,則可將封鎖的應用程式新增至白名單,然後繼續進行下一步驟。管理員也可以決定讓一般使用者根據提示,允許檔案執行。

除此之外,覬覦組織資料的攻擊者為了達到目的,還會使用難以察覺的隱匿程式設計技術與零時差入侵。這樣一來,惡意軟體檔案可能就不曾重複,或者只被發現過幾次。由於這種稀少存取的特性,使得傳統使用特徵碼或信用評價的對策,無法更準確地偵測到威脅。以McAfee TIE而言,如果遇到憑藉既有情報無法判定可疑檔案時,該技術可將檔案傳遞至 McAfee Advanced Threat Defense(ATD),進行更深入的沙箱分析,藉此消除不確定性。

ATD可透過分層方法,運用特有的惡意軟體即時解構功能,來偵測進階鎖定式攻擊――裡面結合了即時靜態程式碼解構技術與動態沙箱分析,透過反組譯技術取得原始程式碼並比對惡意程式家族相似度,能有效偵測出那些具沙箱廻避能力的進階威脅。

不像有些惡意軟體僅以非常簡單的編碼策略,就輕鬆騙過沙箱技術的檢測。

構築具有自動調適安全性的生態系統

早在DXL的應用之前,過去,Intel Security不斷致力於安全互連的整合工作。例如,將所有的端點有關的產品,包含防毒、主機防入侵、主機防資料外洩、白名單等,整合於一個主控臺當中,幫助企業降低管理複雜度與建置成本。

而且,我們也成功地以網路入侵防護主控台為核心,連結端點主控臺、弱點管理、進階威脅防禦、企業安全管理等眾多自有產品,讓管理者可以分析網路入侵事件時,快速取得攻擊端或受害者的主機資訊、防護狀態、弱點資訊等。

如今,藉由威脅情報交換平臺的建立,將資料交換層標準化,整合的層面更為廣泛,擴及眾多第三方解決方案,例如,ForeScout公司的NAC解決方案、TITUS公司的DLP解決方案、CyberArk的權限管理解決方案等,讓自適性安全的概念擴及企業已經投資的廠商解決方案,增加進階威脅的偵測速度與回應速度。

專欄作者

熱門新聞

Advertisement