企業要做好端點防護,大多透過部署到個人電腦上的代理程式,整合執行病毒或惡意檔案與程式的特徵比對,以及個人防火牆或主機型IPS的網路存取限制,並延伸至周邊裝置與應用程式白名單的控管,同時,這些產品也整合基於雲服務而成的網路信譽評等機制,強化即時偵測與阻擋能力。不過,近幾年來,市面上,開始出現以次世代端點防護為主要訴求的新創公司,像是Cylance、Tanium,以及目前有幾家經銷商引進臺灣的CrowdStrike。

以CrowdStrike為例,該公司旗下主要對應這類應用的產品是Falcon Host,提供進階威脅的偵測、預防、監控與搜尋的能力,當中所採用的惡意程式防護,涵蓋了基於機器學習技術的判斷能力、漏洞濫用存取行為阻擋功能,以及攻擊指標(Indicators of Attacks,IOA)等方法,藉以攔截運用零時差漏洞的惡意程式、勒索軟體,或是其他類型的攻擊行為。

除此之外,Falcon Host也搭配了入侵指標。

上述的攻擊指標特別值得一提,因為相關防護能奏效,主要是基於即時的端點行為記錄收集與分析,並將這些情報存放於CrowdStrike所維運的雲端服務平臺,使得系統得以更快掌握攻擊者所用的戰術、伎倆與程序。換言之,IOA會擷取事件發生的時間點,並且將其與端點相關活動之間的脈絡建立起來,隨後進行相叉比對、關聯,如此即可協助Falcon Host即時擋住攻擊。

在Falcon Host所採用的IOA攻擊特徵偵測技術當中,能偵測對方採取的策略、技巧與步驟,以圖中為例,攻擊者是透過Windows的PowerShell這類合法的環境,來執行相關的使用者帳號與密碼破解工具,Falcon Host能將可偵測到的可疑活動過程,詳細呈現出來。

能做到端點偵測與回應(Endpoint Detection and Response,EDR),也是Falcon Host的賣點之一。CrowdStrike透過部署在端點的感測器程式,能持續監控、記錄端點與主機所發生的事件,以及具備快速搜尋的能力,因此系統可在幾秒內探查端點當前與過去的活動,並且將相關資料予以活用,主動產生出IOA攻擊指標,提高及早預警的程度。

Falcon Host能將發動攻擊者所屬的駭客團體分析出來,例如,來自中國的Deep Panda,以及俄羅斯的Fancy Bear。

 

圖中是Falcon Host對於Deep Panda駭客團體的介紹,以及CrowdStrike所追蹤到的攻擊鏈。

除了這些位於端點上的感測,以及後端的威脅資料分析處理,CrowdStrike也配備了一個全球資安團隊Falcon Overwatch,以7天24小時的持續運作,主動幫忙企業找出各種資料外洩的行為,一旦發現「獵物」,就會主動發出警告,告知用戶該採取的行動。

整體而言,Falcon Host的基本運作架構,包含了:部署在端點電腦上的小型感測器程式,以及CrowdStrike的雲端威脅分析平臺Threat Graph。感測器程式主要負責的工作,在於收集端點系統上的事件資料,而且具有主動偵測的機制之餘,也能採取預防的動作;而感測器所擷取的資料,會源源不絕地傳送到Threat Graph,比對整個Falcon Host感測器網路所獲得的資料,進而分析與描繪事件之間的關聯性。Threat Graph本身採用了複雜與功能強大的圖形資料模型,能夠持續解析資料,建立新興攻擊的行為模式,不論當中是否運用惡意程式的方式,皆可透過這種方式指認出攻擊樣貌。

產品資訊

●產品名稱): CrowdStrike Falcon Host
●經銷商:瑞奇數碼(02)2658-1786
●建議售價:廠商未提供
●支援作業系統:Windows:Server 2008 R2以上、Windows 7 SP1以上,Mac : OS X 10.8以上,Linux : RHEL/CentOS 6/7、Ubuntu 14、SUSE 11/12以上
●端點感測器程式大小:低於5MB

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商】


Advertisement

更多 iThome相關內容