根據研究報告指出,攻擊手法持續進化下,駭客組織平均入侵時間不到兩個小時,惡意程式即可從初始攻擊點轉向最終目標。在此狀況下,逸盈科技建議企業要建置威脅檢測及回應的新世代安全運營中心,或引進相關服務,才能在惡意程式入侵當下採取合適的作法。

Gartner 最新公布的2019 年前7大安全和風險管理趨勢中,指出隨著安全警報的複雜性和頻率的增加,當前安全投資從威脅預防到威脅檢測的轉變需要對安全運營中心(SOC,Security Operation Center),才能將資安威脅降至最低,以保護企業營運的整體安全,同時避免重要商業機密、客戶個資外洩。

根據資安研究報告指出,企業往往在遭到駭客攻擊數個月或數年之後才得知被入侵,以至於商業損失難以估計。為避免此種憾事持續上演,逸盈科技特別在2019年7月26日舉辦「2019扭轉資安研討會」,期盼協助企業加速引進安全運營中心或相關服務,才能將資安威脅傷害降到最低。

逸盈科技產品部協理石漢成指出,以往企業打造資安機制的傳統做法,都著重在網路閘道端的防護,然而在駭客攻擊手法持續進化下,新型態惡意程式可輕易躲過資安防護設備偵測,透過各種管道入侵到企業內部網路之中。根據統計,企業常用的閘道端防護設備,大約僅能阻擋25%資安威脅,這也代表有高達75%資安威脅源自於公司內部,因此必須仰賴內部網路中的資安設備或SOC平台,才能挖掘出潛在威脅與阻斷,而逸盈科技正可提供企業所需的服務。

SSL加密封包成主流 Gigamon推GigaSECURE SSL/TLS

近年來,企業不斷強化資安防護機制,但仍然無法有效阻擋駭客入侵,如2018年台積電便爆發生產機台被預先植入惡意程式,最終導致生產線停擺。而台北市政府電腦也不斷傳出遭到駭客入侵,導致重要行政公文外洩。目前駭客組織慣用的進階型攻擊手法,大致上是採取先期偵查、釣魚或魚叉攻擊、植入後門程式、內網橫向感染、竊取機密資訊、離開或留存惡意程式等,根據統計約有97%企業中的應用服務,曾出現至少有一次被駭客攻擊的事件。

在駭客攻擊手法進化之外,採用SSL 加密技術的網路流量與日俱增,也是導致資安防護能力下滑的主因。根據Gartner公布調查報告顯示, 2019 年企業資料加密流量將超過 80%,然多數資安工具、資安設備並非針對辨識與解密大量加密流量設計,當需要處理SSL封包時,將使處理性能降低達 80%。因此,目前已有高達33% 惡意程式使用加密方式,企圖運用此漏洞入侵企業網路,進而達到竊取商業機密的目的。

Gigamon台灣區銷售總監錢旭光指出,隨著全球加密流量不斷成長,現今企業更容易遭受駭客組織透過加密封包攻擊,以及在資安人員不知情的狀況下,運用隱藏在加密流量中的指令與控制(C&C),持續竊取高價值資料的目的。尤其當應用程式資料於公司內部傳遞時,SSL加密封包將會不斷被各種資安設備重複解密、加密,此舉除會浪費資安設備資源之外,最終也會導致應用程式服務回應過慢的問題。

為協助企業解決此問題,Gigamon推出的GigaSECURE SSL/TLS 解密方案,具備全新的 inline 處理能力,可經加密的流動資料(data-in-motion),提供更多可視性加解密功能。該產品除可以協助資安設備檢測是否有隱藏各種惡意威脅之外,還能將經解密後流量進行分類,轉送至適當的資安設備中,以立即進行分析與威脅排除等動作。

值得一提,Gigamon SSL Decryption 解密解決方案透過新增的 GigaSMART 流量智能分析工具,同時支援 inline 與 out-of-band 解密功能,並可管理加密流量,協助檢測出潛伏惡意程式、資料竊取攻擊、指令與控制等威脅。至於支援的加密演算法部分,則包括Diffie-Hellman (DH)、Diffie-Hellman Ephemeral (DHE)、Perfect Forward Secrecy (PFS) 以及橢圓曲線等,可運作於1Gb 至100Gb傳輸率的網路中。

檢測橫向流量封包 首選ExtraHop Reveal (x) Network Detection and Response (NDR)

在各種惡意程式肆虐全球的趨勢下,在用戶端裝置資安防護工具,減少被惡意程式感染的機會,儼然成為多數資安人員的共識。然而在真實的環境中,卻存在許多難以克服的挑戰,首先是物聯網、行動裝置,乃於蘋果電腦、應用伺服器等,根本無法安裝資安軟體的代理程式,形成資安防護上的漏洞。其次,多數公司沒有可深層分析橫向流量的工具,因此當惡意程式透過垃圾郵件、隨身碟等管道,成功感染某一台用戶端裝置之後,便會在內部網路中快速散播,凸顯出引進可分析網路偵測與回應平台的重要性。

ExtraHop Reveal (x) NDR 平台,可對公司內部衡向流量進行即時分析、檢測,進而提供相關處理方式。此舉,不僅可有效防堵駭客、內部員工惡意行為,也能夠察覺一般資安設備無法偵測出來的低速或慢速攻擊手法,達到改善公司資安防護等級的目標。

ExtraHop Reveal (x) NDR 平台支援超過50種以上企業通訊協定,可自動收集與分析公司內部所有封包流量,橫跨多種應用程式網路流量、物聯網設備和BYOD系統。自動將內容上、下文進行比對,進而達到網路流量自動關聯及分析,從中早出潛在的威脅。

ExtraHop 亞太區技術總監朱孟穎說,ExtraHop Reveal (x) NDR 平台擁有獨家研發的Wire data-driven的網路異常偵測功能,可即時察覺企業網路中的任何異常行為,如來自於橫向流量的進階威脅或勒索軟體。該產品最大特色,在於能與 Splunk、Phantom、Palo Alto Networks、ServiceNow 等第三方安全解決方案整合,透過多元資安產品之間的相互合作,降低惡意程式在公司內部網路流竄的可能性。

為降低資安人員負擔、縮短處理資安威脅事件時間的前提下,ExtraHop Reveal (x) NDR 平台提供自動化引導式的調查回應機制,產品內建的優先分析工作流程功能,只要啟用即時洞察與快速威脅功能後,即可將檢測到問題對應到相關封包,節省故障排除時間的目標。尤其產品內建機器學習功能,能在察覺異常威脅事件的當下,立即顯示可疑網路封包來源,透過高效率的自動化流程,協助資安團隊處理資安威脅事件。

CounterTack EDR提供深度監測與分析 保護用戶端設備安全

為協助台灣企業對抗無所不在的威脅,中芯數據以CounterTack EDR(Endpoint Detection and Response)方案為基礎,自主發展的意圖威脅即時鑑識服務,可依據攻擊者滲透入侵電腦後常見的安裝後門、提高權限等動作,判斷與預測其意圖,從而辨識惡意行為。市面上有不少提供EDR服務的品牌,但僅能針對記憶體內執行的特定處理程序進行偵測,並列舉出可能有問題的部分。

中心數據選擇CounterTack EDR的主因,在於該方案不僅只是監視檔案的變動,也會對記憶體內部所有的處理程序,全數進行深度分析,並且判斷應用程式的行為是否合理。一旦發現異常行為時,會立即向管理人員發出警告訊息,將資安威脅衝擊降到最低。

CounterTack 亞太區暨日本區技術總監李子強認為,市面上有眾多主打保護用戶端設備安全的解決方案,如各家資安公司都有推出號稱功能極強的防毒軟體。然而一般用戶端資安軟體,都著重在防護功能上,僅有少部分的監控與回應功能,在現今惡意程式為規避端點電腦的防護機制,都選擇躲藏在記憶體內執行,傳統防毒軟體根本無法察覺異狀。因此,一套符合企業環境使用的用戶端資安防護軟體,除要可偵測記憶體中的應用程式之外,也要兼具防護、監控、回應等三大面向,才能在遭到惡意程式入侵的當下,立即進行阻斷與回報。

根據CounterTack提供資料顯示,CounterTack EDR採用兩個關鍵技術,第一是採用大數據分析平台,即便要同時監視上萬台用戶端設備,也能即時分析所有用戶端電腦的網路封包。其次,透過自行研發的獨家技術,為各種應用程式與作業系統建構相對應的模型,可針對每種應用程序建立獨特樣貌,所以代理程式不需要傳送所有的應用活動紀錄,只需要將可疑行為送回後台分析即可,有助於快資料分析速度。

值得一提,CounterTack EDR能蒐集相當齊全的日誌資料外,對於系統效能影響卻很小,方便資安團隊將資料彙整到大數據平台集中保存,以便進行基本分析與統計。對於需要打造SOC平台的企業而言,亦可透過API客製化方式進行進階式分析,以交叉比對機制來篩選正常的行為資料,讓誤判率降到最低,同時降低IT維運負擔。

意圖威脅即時鑑識服務 中芯數據助企業快速阻斷入侵

回顧過去幾年爆發的重大資安事件,從2013年的Dark Soul、Target與Sony,到近來台灣發生的第一銀行、遠東銀行遭到駭客入侵等事件,所有遭到攻擊的企業,都是預算充足的大型企業。

此種狀況呈現出值得關注的3個重要訊息,首先是沒有任何資安設備可以百分百防禦,只要駭客攻擊次數夠多,就可能成功突破資安防護網。其次,即便是透過多個資安設備打造縱深防禦機制,恐怕還是無法達到 100% 防禦的目標。最後,則是在駭客攻擊穿透資安設備是必然發生的事件,企業應該要做好被入侵後的準備工作。

中芯數據技術長吳耿宏說,現今駭客組織採取的攻擊手法,大致上可分成7個階段,分別是情蒐攻擊對象、入侵工具研製、傳遞入侵工具、執行弱點攻擊、安裝後門程式、指揮與管制、資料竊取與運送等。在資安設備無法防堵所有惡意程式下,企業只要在攻擊入侵當下立即阻斷,即可達到降低公司損失的目的。中芯數據提供的意圖威脅即時鑑識服務,正可以協助企業對抗來自四面八方的威脅。

在台灣眾多資安服務公司中,中芯數據是唯一可提偵測、分析,以及後續處理的MDR廠商,在合約期限內可提供不限次數的資安事件處理與報告,協助客戶進行惡意程式分析。中芯數據MDR服務有3項主要特色,首先是提供端點威脅即時檢測服務,在現今資安攻擊朝向「針對性」及「持續性」發展下,許多攻擊行為已可繞過傳統的資安設備防線,該服務可以減少端點裝置被入侵的機率。

第2項特色為提供持續性的檢測、監控及分析服務,傳統常見的一次性或定期檢測方式,存在「時間差」及「漏網之魚」等問題,因此無法在災損出現或擴大前即時發現或阻斷,更無法針對軌跡進行追蹤與全面阻絕,該項服務可提供最即時的檢測服務。

中芯數據服務的第3項特色,即提供資安事件回應及遠端處理服務,因為資安事件具「時效性」及「迫切性」,因此需在災損出現或擴大前予以即時處理。該公司技術服務團隊擁有專業技術團隊,搭配專業的遠端處理機制與能力,可在最短時間完成事件處理並降低災損影響。

在數位轉型推動下,需要被保護的範圍更加擴大,逸盈科技從接觸客戶的經驗,台灣許多產業已有投入建置安全方案,遭遇的問題非功能性問題,而是配置在企業的網路、端點必要的威脅檢測及回應平台。我們期能協助客戶因應無所不在的檢測及回應,經過NDR 網路偵測及回應與EDR 端點偵測及回應,完全重建來自端點到網路的攻擊,並深度取證事件處理主動威脅獵狩,再識別根本原因預防它再次發生,即可有效保護網路安全最後一哩路。


Advertisement

更多 iThome相關內容