Nord Security跨入威脅情資領域，整合暗網監控與攻擊面管理

以個人端VPN服務NordVPN著稱，Nord Security持續擴展資安產品版圖，去年上半發表威脅暴露管理平臺（Threat Exposure Management Platform），名為NordStellar，可針對企業面臨的網路威脅、資料外洩、帳號遭劫持、釣魚詐騙等惡意活動，提供偵測與應變的能力，號稱可降低勒索軟體攻擊的風險。今年上半，代理商台灣二版開始推廣這套解決方案。

NordStellar的最大賣點，在於運用自動監控機制，提供廣泛的防護，以及涵蓋員工、品牌、企業的暗網監控能力，可預防使用者帳號遭人冒用與侵入、識別暴露在惡意軟體攻擊威脅的程度，縮短企業偵測資料外洩活動的時間，避免員工身分遭竊取，並且節省投入這些工作所需耗用的人力資源。

及早掌握企業相關資訊是否出現在暗網

去年7月NordStellar開放暗網監控功能的測試，Nord Security表示，這項防護能整合多個來源的網路威脅情報，例如，暗網論壇、深網搜尋引擎、不法市場、駭客社群、Telegram頻道，追蹤與查詢與公司有關聯的多個關鍵字，一旦出現被提及的內容，企業能獲得警示，可提高主動識別相關資安風險來源的能力，進而及早採取保護自身與客戶的行動，預防後續可能發生的資安事故或商譽損失。

一般而言，上述的地下管道可能出現許多重要的威脅情資，像是偽裝合法產品但內嵌惡意軟體的應用軟體、遭竊的顧客帳戶、企業的後門，都會在此進行拍賣，對於企業與資安廠商而言，若能掌握這些來源的相關動向，就有機會早一步降低或緩解相關的風險，同時，也能從攻擊者的角度，了解與釐清企業本身存在的資安防護空隙。

除此之外，企業也能透過NordStellar，確認這些管道是否存在外洩員工資料、惡意軟體活動的信號，並且提供預防顧客帳號遭冒用的解決方案。

提供外部攻擊面管理功能

到了今年2月，NordStellar正式擴增攻擊面管理（Attack Surface Management，ASM）的功能，可針對組織暴露在網際網路環境的數位資產，提供持續監控與評估能力，協助資安團隊發現與管理未經授權且暴露在安全風險下的IT資源，提升「影子IT」狀況的能見度與IT營運效率。

而且，此系統提供的ASM可自動探查組織的資安防護缺口，改善整體資安態勢，確保資安團隊具備足以有效管理攻擊面的洞察分析資訊，對於可能導致的資安風險，也會列出處理的優先順序，促使矯正工作能聚焦在最重大的狀況，如此一來，也便於後續可盡量縮小暴露在外部資安威脅能夠攻擊的部分，抑制攻擊行動得以成功的因素，進而符合弱點評估層面的法規遵循需求。

NordStellar在此提供兩個模組。首先，是資產自動探查，能透過多種處理程序的執行，像是網域名稱列舉、網頁爬取，以及其他可取得開放來源情資的方法，對組織所有可連接網際網路的資產，例如網站伺服器、應用系統、連網設備，進行自動識別與分門別類，產生整個IT基礎架構的具體對應。

第二是外部弱點管理，能對找到的資產執行監控，以及運用被動建立服務指紋（passive service fingerprinting）的方式，與掃描已知漏洞等程序，獲得相關資訊，這些情報將有助於企業提升後續復原的效率。

除此之外，NordStellar的ASM也會根據嚴重程度、濫用可能性，以及潛在的衝擊，評估漏洞處理的優先順序。

若新的漏洞出現、攻擊面有異動，NordStellar的ASM將提供即時警示，以及企業攻擊面與相關風險的全面報告。

結合多種分析技術，持續監督企業網域名稱是否遭人非法註冊

針對網域名稱搶先註冊（cybersquatting或Domain squatting）的威脅，NordStellar開始提供採用AI分析技術而成的偵測功能，由於網路釣魚、散播惡意軟體、寄放詐騙內容等手法，經常搭配這類攻擊，因此，企業也必須具備察覺與預防的能力。

這項功能可自動偵測既有與新登記在案的網域名稱，檢查它們是否非常類似已存在的各個品牌，並且持續追蹤網域名稱的有效期間，以及變更的狀況，協助企業及早得知品牌已遭遇這類攻擊，並從中獲得洞察分析資訊，阻止網路犯罪者繼續冒用這些網域名稱。

Nord Security表示，他們不僅使用基本的字串比較，也搭配能精準識別的演算法，並且運用相似度判定的演算法、威脅情資餵送服務的資料，以及WHOIS這個通用的網域名稱註冊資訊查詢服務，決定網域名稱的風險。

此外，NordStellar也導入基於AI技術而成的解決方案，分析對方這麼做的意圖，進一步檢驗資安威脅的類型、可信程度、嚴重等級、支撐判定的證據，並產生接下來著手處理的建議步驟，例如，更深入調查網域名稱狀態、向網域註冊機構發出移除域名的請求，或是從網路的層級封鎖域名。

若偵測到網域名稱搶先註冊的狀況，NordStellar也提供即時警示與通知，能基於用戶設置的事件類型與風險等級等種種條件，經由電子郵件、協同作業平臺Slack，以及NordStellar平臺本身，發送相關資訊提醒用戶注意。關於調查可疑網域名稱的功能操作上，這套系統除了整合上述的相似度分析與WHOIS資訊整合，也提供螢幕擷圖、網域名稱跳轉鏈追蹤（Redirect Chains）等方式，進行蒐證與解析。

藉由上述功能的使用，Nord Security希望能縮短企業因應這類攻擊行為的時間，在事態嚴重性升級之前，就能採取預防行動。

產品資訊

NordStellar
●代理商：台灣二版
●原廠：Nord Security
●建議售價：基礎版每年3千美元起，5個使用者與1個網域，監控200個資產
●版本區分：基礎版、核心版、企業版
●防護功能：網路威脅監控（資料外洩監控、暗網監控、網域名稱搶先註冊偵測）、外部攻擊面管理（外部弱點掃描）、網路威脅情報
●可預防的資安威脅類型：帳號遭搶走、連線階段遭綁架、網域名稱搶先註冊

【註：規格與價格由廠商提供，因時有異動，正確資訊請洽廠商】