建立威脅檢測及回應平台 阻斷駭客入侵行為

根據研究報告指出，攻擊手法持續進化下，駭客組織平均入侵時間不到兩個小時，惡意程式即可從初始攻擊點轉向最終目標。在此狀況下，逸盈科技建議企業要建置威脅檢測及回應的新世代安全運營中心，或引進相關服務，才能在惡意程式入侵當下採取合適的作法。

Gartner 最新公布的2019 年前7大安全和風險管理趨勢中，指出隨著安全警報的複雜性和頻率的增加，當前安全投資從威脅預防到威脅檢測的轉變需要對安全運營中心（SOC，Security Operation Center），才能將資安威脅降至最低，以保護企業營運的整體安全，同時避免重要商業機密、客戶個資外洩。

根據資安研究報告指出，企業往往在遭到駭客攻擊數個月或數年之後才得知被入侵，以至於商業損失難以估計。為避免此種憾事持續上演，逸盈科技特別在2019年7月26日舉辦「2019扭轉資安研討會」，期盼協助企業加速引進安全運營中心或相關服務，才能將資安威脅傷害降到最低。

逸盈科技產品部協理石漢成指出，以往企業打造資安機制的傳統做法，都著重在網路閘道端的防護，然而在駭客攻擊手法持續進化下，新型態惡意程式可輕易躲過資安防護設備偵測，透過各種管道入侵到企業內部網路之中。根據統計，企業常用的閘道端防護設備，大約僅能阻擋25%資安威脅，這也代表有高達75％資安威脅源自於公司內部，因此必須仰賴內部網路中的資安設備或SOC平台，才能挖掘出潛在威脅與阻斷，而逸盈科技正可提供企業所需的服務。

SSL加密封包成主流 Gigamon推GigaSECURE SSL/TLS

近年來，企業不斷強化資安防護機制，但仍然無法有效阻擋駭客入侵，如2018年台積電便爆發生產機台被預先植入惡意程式，最終導致生產線停擺。而台北市政府電腦也不斷傳出遭到駭客入侵，導致重要行政公文外洩。目前駭客組織慣用的進階型攻擊手法，大致上是採取先期偵查、釣魚或魚叉攻擊、植入後門程式、內網橫向感染、竊取機密資訊、離開或留存惡意程式等，根據統計約有97％企業中的應用服務，曾出現至少有一次被駭客攻擊的事件。

在駭客攻擊手法進化之外，採用SSL 加密技術的網路流量與日俱增，也是導致資安防護能力下滑的主因。根據Gartner公布調查報告顯示， 2019 年企業資料加密流量將超過 80%，然多數資安工具、資安設備並非針對辨識與解密大量加密流量設計，當需要處理SSL封包時，將使處理性能降低達 80%。因此，目前已有高達33% 惡意程式使用加密方式，企圖運用此漏洞入侵企業網路，進而達到竊取商業機密的目的。

Gigamon台灣區銷售總監錢旭光指出，隨著全球加密流量不斷成長，現今企業更容易遭受駭客組織透過加密封包攻擊，以及在資安人員不知情的狀況下，運用隱藏在加密流量中的指令與控制（C&C），持續竊取高價值資料的目的。尤其當應用程式資料於公司內部傳遞時，SSL加密封包將會不斷被各種資安設備重複解密、加密，此舉除會浪費資安設備資源之外，最終也會導致應用程式服務回應過慢的問題。

為協助企業解決此問題，Gigamon推出的GigaSECURE SSL/TLS 解密方案，具備全新的 inline 處理能力，可經加密的流動資料(data-in-motion)，提供更多可視性加解密功能。該產品除可以協助資安設備檢測是否有隱藏各種惡意威脅之外，還能將經解密後流量進行分類，轉送至適當的資安設備中，以立即進行分析與威脅排除等動作。

值得一提，Gigamon SSL Decryption 解密解決方案透過新增的 GigaSMART 流量智能分析工具，同時支援 inline 與 out-of-band 解密功能，並可管理加密流量，協助檢測出潛伏惡意程式、資料竊取攻擊、指令與控制等威脅。至於支援的加密演算法部分，則包括Diffie-Hellman (DH)、Diffie-Hellman Ephemeral (DHE)、Perfect Forward Secrecy (PFS) 以及橢圓曲線等，可運作於1Gb 至100Gb傳輸率的網路中。

檢測橫向流量封包 首選ExtraHop Reveal (x) Network Detection and Response (NDR)

在各種惡意程式肆虐全球的趨勢下，在用戶端裝置資安防護工具，減少被惡意程式感染的機會，儼然成為多數資安人員的共識。然而在真實的環境中，卻存在許多難以克服的挑戰，首先是物聯網、行動裝置，乃於蘋果電腦、應用伺服器等，根本無法安裝資安軟體的代理程式，形成資安防護上的漏洞。其次，多數公司沒有可深層分析橫向流量的工具，因此當惡意程式透過垃圾郵件、隨身碟等管道，成功感染某一台用戶端裝置之後，便會在內部網路中快速散播，凸顯出引進可分析網路偵測與回應平台的重要性。

ExtraHop Reveal (x) NDR 平台，可對公司內部衡向流量進行即時分析、檢測，進而提供相關處理方式。此舉，不僅可有效防堵駭客、內部員工惡意行為，也能夠察覺一般資安設備無法偵測出來的低速或慢速攻擊手法，達到改善公司資安防護等級的目標。

ExtraHop Reveal (x) NDR 平台支援超過50種以上企業通訊協定，可自動收集與分析公司內部所有封包流量，橫跨多種應用程式網路流量、物聯網設備和BYOD系統。自動將內容上、下文進行比對，進而達到網路流量自動關聯及分析，從中早出潛在的威脅。

ExtraHop 亞太區技術總監朱孟穎說，ExtraHop Reveal (x) NDR 平台擁有獨家研發的Wire data-driven的網路異常偵測功能，可即時察覺企業網路中的任何異常行為，如來自於橫向流量的進階威脅或勒索軟體。該產品最大特色，在於能與 Splunk、Phantom、Palo Alto Networks、ServiceNow 等第三方安全解決方案整合，透過多元資安產品之間的相互合作，降低惡意程式在公司內部網路流竄的可能性。

為降低資安人員負擔、縮短處理資安威脅事件時間的前提下，ExtraHop Reveal (x) NDR 平台提供自動化引導式的調查回應機制，產品內建的優先分析工作流程功能，只要啟用即時洞察與快速威脅功能後，即可將檢測到問題對應到相關封包，節省故障排除時間的目標。尤其產品內建機器學習功能，能在察覺異常威脅事件的當下，立即顯示可疑網路封包來源，透過高效率的自動化流程，協助資安團隊處理資安威脅事件。

CounterTack EDR提供深度監測與分析 保護用戶端設備安全

為協助台灣企業對抗無所不在的威脅，中芯數據以CounterTack EDR(Endpoint Detection and Response)方案為基礎，自主發展的意圖威脅即時鑑識服務，可依據攻擊者滲透入侵電腦後常見的安裝後門、提高權限等動作，判斷與預測其意圖，從而辨識惡意行為。市面上有不少提供EDR服務的品牌，但僅能針對記憶體內執行的特定處理程序進行偵測，並列舉出可能有問題的部分。

中心數據選擇CounterTack EDR的主因，在於該方案不僅只是監視檔案的變動，也會對記憶體內部所有的處理程序，全數進行深度分析，並且判斷應用程式的行為是否合理。一旦發現異常行為時，會立即向管理人員發出警告訊息，將資安威脅衝擊降到最低。

CounterTack 亞太區暨日本區技術總監李子強認為，市面上有眾多主打保護用戶端設備安全的解決方案，如各家資安公司都有推出號稱功能極強的防毒軟體。然而一般用戶端資安軟體，都著重在防護功能上，僅有少部分的監控與回應功能，在現今惡意程式為規避端點電腦的防護機制，都選擇躲藏在記憶體內執行，傳統防毒軟體根本無法察覺異狀。因此，一套符合企業環境使用的用戶端資安防護軟體，除要可偵測記憶體中的應用程式之外，也要兼具防護、監控、回應等三大面向，才能在遭到惡意程式入侵的當下，立即進行阻斷與回報。

根據CounterTack提供資料顯示，CounterTack EDR採用兩個關鍵技術，第一是採用大數據分析平台，即便要同時監視上萬台用戶端設備，也能即時分析所有用戶端電腦的網路封包。其次，透過自行研發的獨家技術，為各種應用程式與作業系統建構相對應的模型，可針對每種應用程序建立獨特樣貌，所以代理程式不需要傳送所有的應用活動紀錄，只需要將可疑行為送回後台分析即可，有助於快資料分析速度。

值得一提，CounterTack EDR能蒐集相當齊全的日誌資料外，對於系統效能影響卻很小，方便資安團隊將資料彙整到大數據平台集中保存，以便進行基本分析與統計。對於需要打造SOC平台的企業而言，亦可透過API客製化方式進行進階式分析，以交叉比對機制來篩選正常的行為資料，讓誤判率降到最低，同時降低IT維運負擔。

意圖威脅即時鑑識服務 中芯數據助企業快速阻斷入侵

回顧過去幾年爆發的重大資安事件，從2013年的Dark Soul、Target與Sony，到近來台灣發生的第一銀行、遠東銀行遭到駭客入侵等事件，所有遭到攻擊的企業，都是預算充足的大型企業。

此種狀況呈現出值得關注的3個重要訊息，首先是沒有任何資安設備可以百分百防禦，只要駭客攻擊次數夠多，就可能成功突破資安防護網。其次，即便是透過多個資安設備打造縱深防禦機制，恐怕還是無法達到 100% 防禦的目標。最後，則是在駭客攻擊穿透資安設備是必然發生的事件，企業應該要做好被入侵後的準備工作。

中芯數據技術長吳耿宏說，現今駭客組織採取的攻擊手法，大致上可分成7個階段，分別是情蒐攻擊對象、入侵工具研製、傳遞入侵工具、執行弱點攻擊、安裝後門程式、指揮與管制、資料竊取與運送等。在資安設備無法防堵所有惡意程式下，企業只要在攻擊入侵當下立即阻斷，即可達到降低公司損失的目的。中芯數據提供的意圖威脅即時鑑識服務，正可以協助企業對抗來自四面八方的威脅。

在台灣眾多資安服務公司中，中芯數據是唯一可提偵測、分析，以及後續處理的MDR廠商，在合約期限內可提供不限次數的資安事件處理與報告，協助客戶進行惡意程式分析。中芯數據MDR服務有3項主要特色，首先是提供端點威脅即時檢測服務，在現今資安攻擊朝向「針對性」及「持續性」發展下，許多攻擊行為已可繞過傳統的資安設備防線，該服務可以減少端點裝置被入侵的機率。

第2項特色為提供持續性的檢測、監控及分析服務，傳統常見的一次性或定期檢測方式，存在「時間差」及「漏網之魚」等問題，因此無法在災損出現或擴大前即時發現或阻斷，更無法針對軌跡進行追蹤與全面阻絕，該項服務可提供最即時的檢測服務。

中芯數據服務的第3項特色，即提供資安事件回應及遠端處理服務，因為資安事件具「時效性」及「迫切性」，因此需在災損出現或擴大前予以即時處理。該公司技術服務團隊擁有專業技術團隊，搭配專業的遠端處理機制與能力，可在最短時間完成事件處理並降低災損影響。

在數位轉型推動下，需要被保護的範圍更加擴大，逸盈科技從接觸客戶的經驗，台灣許多產業已有投入建置安全方案，遭遇的問題非功能性問題，而是配置在企業的網路、端點必要的威脅檢測及回應平台。我們期能協助客戶因應無所不在的檢測及回應，經過NDR 網路偵測及回應與EDR 端點偵測及回應，完全重建來自端點到網路的攻擊，並深度取證事件處理主動威脅獵狩，再識別根本原因預防它再次發生，即可有效保護網路安全最後一哩路。