從資訊安全角度而論,2014年無疑是特別的一年,只因攻擊事件密集度、嚴重性超乎以往,其中尤以SONY機敏資料外洩事件最駭人聽聞,也迫使該公司砸下數千萬美元來全面清理更換電腦系統。
同樣在2014年,某家執防毒業界牛耳的廠商,竟自承偵測率僅及45%,時值APT等惡意攻擊活動肆虐之際,更不乏雪上加霜效應;意謂現今對於資安事故的處理,明顯欠缺良善機制,因此任何企業只要握有具價值的資訊,將無可避免遭受駭客實施針對性攻擊。
有鑑於APT問題嚴重,Gartner體認企業資安防護不宜僅偏重閘道端,遂於2014年5月提出「端點偵測與反應解決方案」(Endpoint Detection and Response Solutions;EDR)定義,預估待至2017年,全球將有三成企業建置EDR方案,為2013年的6倍之多。著眼於此,中芯數據公司積極研究評估相關方案,終至引進CounterTack的Sentinel產品,據此鋪陳APT端點監控服務,以協助企業有效降低資料外洩風險。
APT端點監控服務 有助降低資料洩漏風險
中芯數據資安顧問吳耿宏指出,所謂EDR,同時包含「偵測」與「反應」兩大重點,而企業一向僅側重於佈建偵測工具,面對事件的處理反應,卻往往礙於鑑識設備操作門檻過高、相關服務代價昂貴,故而鮮少投入,寧可傾向重灌或更換系統,但此舉不僅導致資源與生產力耗損,也淪於治標不治本,病灶猶在,日後依然可能復發。
吳耿宏強調,其運用EDR加上專業資安服務所設計的APT端點監控機制,正是為了補強上述缺憾。在偵測部份,以現今風行的閘道端沙箱技術來看,一來難以有效剖析加密檔案,二來採權重計分原則來評斷惡意程式,也可能出現盲點,但儘管如此,仍被各方寄予厚望,只因是探索未知攻擊的相對有效手段;為此中芯數據採取自動化行為分析技術,並允許置入客製化監控規則,旨在有效找出可穿越現有防禦機制的未知惡意程式,據此填補閘道端沙箱之不足。
而在反應部份,中芯數據透過APT端點監控服務,平時即持續不斷從所有納管端點回收資訊,再以Sentinel關聯性分析引擎進行判讀,一旦察覺可疑跡象,旋即發出警報,並動員監控人員執行蒐證,所以不僅能在攻擊的初期階段掌握大致狀況,後續也無需翻查一台台端點,便可利用最短時間釐清「惡意程式何時進入系統」、「惡意程式透過什麼管道入侵系統」、「遭受攻擊的範圍多大」等關鍵問題之答案,從而縮短處理時效,排除該事故復發的根源,協助企業將傷害降至最低。
熱門新聞
2024-04-24
2024-04-22
2024-04-22
2024-04-22
2024-04-22
2024-04-22
