iThome

對於針對性的攻擊手法,端點電腦光是倚賴防毒軟體的把關,企業可能無法完全根除問題,近年來,如雨後春筍般推出的端點偵測與反制系統(Endpoint Detection and Response,EDR),便是能夠找出在端點電腦的潛在威脅,並加以阻斷、清除惡意軟體的解決方案。

這種強調針對端點提供偵察與反制功能的產品,愈來愈多,根據最早提出EDR一詞的市調公司Gartner,他們在市場分析所列舉出的代表性廠商數量變化,就可看出端倪──在2015年5月發布的內容中,已有12家,而最近2016年11月底新發表的報告大幅增加為33家,顯示越來越多的廠商投入這塊領域,提供相關的解決方案,讓想要找出潛在威脅的企業用戶使用。

值得留意的是,現在不只許多知名的資安廠商都有提供EDR產品,也有其他廠商推出相關的解決方案。

此外,市面上的端點偵測與防護產品,也隨著願意投入的廠商增加,變得相當多元。例如,部分產品像Sophos Intercept X、微軟WDATP,它們採用雲端平臺機制,因此企業不需前期投資大量的硬體設備,就能快速建置,也適合人數規模不多、預算較為有限的企業選購;而有些產品如CylanceProtect,則著重在威脅行為初期活動時,就具有主動偵測與阻擋攻擊的能力,甚至強調能取代一般的端點防毒軟體。不過,雖然這些廠商都聲稱他們提供的是端點威脅偵測與反制功能產品,但產品功能與適用的企業類型,存在相當大的差異。

一般而言,企業若是選購需自行架設的EDR產品,無可避免的,需要準備具有足夠處理能力的伺服器,因應分析運算的龐大硬體資源,才能架設,而有些產品則是必須購買指定的硬體設備。現在,有些產品直接採用雲端平臺,主打能夠快速建置,用戶只需部署端點的代理程式,即可上線運作。

協助管理者找出威脅事件的全貌

打破以往端點防護的做法,EDR產品針對可疑的威脅行為加以分析,並能串連受影響的端點電腦、檔案、登錄檔,以圖中Sophos Intercept X的分析為例,它指出中間帶有紅點的處理程序是攻擊事件的源頭,並影響了那些檔案和登錄檔。

採用雲端分析平臺架構產品出現,大幅降低企業導入門檻

以採用雲端平臺的產品而言,端點的集中管控介面,也同樣以雲端型式提供,因此,只要有網際網路連線,管理者就能調查攻擊事件的全貌,並採取反制的措施。對於人數規模較小、或是不想自行維護分析平臺的企業來說,選購提供雲端平臺的端點偵防系統,也許是較為省時省力的解決方案。

而這種透過雲端平臺進行控管與分析的端點偵防產品,也代表分析系統的維護、更新都由廠商執行,因此管理者只需專注在找出威脅事件的全貌即可,不過,採用這類架構的產品,對於無法對外連線、只允許內部存取的端點電腦,便毫無用武之地。我們這次介紹的產品中,Sophos Intercept X與微軟WDATP都屬於這種類型,端點電腦必須倚賴網際網路傳送執行記錄到分析平臺,才能運作。

而CylanceProtect雖然也是採用雲端管理介面,但是基本的識別惡意程式的機制與阻斷能力,都包含在端點代理程式,因此端點電腦若是沒有網路連線,主要影響的是各端點後續的情資統整,以及無法直接透過管理平臺派送公司政策。

在自行建置分析與管理平臺的產品當中,有些也能提供租用的選擇,例如,我們這次測試的CounterTack Sentinel,原本必須至少購買250個端點授權,使用門檻高,而代理商中芯數據也推出類似雲端服務租用的代管模式,由代理商負責架設,並提供每個用戶專屬的管理介面。

端點偵防系統即將成為企業對付進階威脅的情資統整中心

EDR端點偵測與防護系統最主要訴求,就是在端點電腦上藉由可疑行為,找出潛在的威脅事件,這個機制,與我們之前介紹內部使用者行為監控系統(UBA或UEBA)概念有些類似。

UBA/UEBA的對象是內部使用者,收集資料的範圍則是整個企業內部環境(包含端點電腦與網路設備等)。相對來說,EDR只針對端點電腦來收集威脅事件,單靠本身收集到的情資,想要拼湊出事件的樣貌,可能資訊就不夠全面。

值得一提的是,許多廠商開始將端點偵防系統與其他防護產品進行整合,例如,Sophos Intercept X就採用Sophos Central雲端主控臺控管,而這個主控臺也能同時管理其他Sophos產品,包含防毒軟體、網頁安全閘道,以及電子郵件防護。

像是CounterTack Sentinel則可與Blue Coat Security Analytics沙箱連結,此外,它還能接收由同廠牌的Active Defense軟體,檢查記憶體內執行處理程序的掃描結果。

至於WDATP,目前只有與端點電腦的防毒軟體Windows Defender整合,以及可搭配端點電腦管理軟體System Center Configuration Manager、Intune等,但微軟計畫在2017年初,匯整內部使用者威脅監控產品Advanced Threat Analytics,與電子郵件防護Office 365 ATP,企圖將這兩款產品收集到的情資,供WDATP進行更為精確的分析。

提供全域性隔離等反制措施

針對攻擊事件發現的檔案,在EDR系統裡,通常也會進行初步分析,檢查執行過程是否有異於一般流程的行為。基本上,這些產品提供遠端初步處置的功能,像CylanceProtect就能針對全公司的端點電腦,強制封鎖所發現的惡意軟體。

未來的攻擊手法可能看起來無害,必須倚賴相關記錄拼湊出攻擊意圖

由於在許多攻擊事件中,端點電腦是其中重要的目標,加上這些電腦主要依賴防毒軟體保護,駭客攻擊時,便會繞過相關偵測機制,例如,針對目標企業編寫專用的攻擊工具,防毒軟體便無法直接依據檔案特徵碼判斷為惡意軟體。

此外,未來的攻擊手法會越趨於中性,例如使用系統內建的工具,像是PowerShell,下達像是下載惡意攻擊軟體的指令;而對外連線的部分,則可能會利用Google Drive、Dropbox等常見的雲端空間,因此,企業想要調查中繼站與檔案來源,將會更加困難。由於無論是這些內建應用程式,還是公有雲網域,企業都不太可能直接設定為黑名單,因此非黑即白的過濾措施,也受到嚴重的挑戰。

因此,針對新型態攻擊,企業可能必須面臨到的,是如何在端點執行處理程序中,找到疑似攻擊事件的意圖。

臺灣威端特系統科技總經理吳明蔚認為,在端點防護產品之外,EDR將是企業重要的資安投資。特別是現在攻擊工具取得相當容易,有心人士要發動針對性攻擊的門檻大幅降低,企業若沒有透過EDR自動化找出潛在威脅,並加以反制,取代過往極為費時、以人工判讀SIEM記錄的作法,很可能會延誤處理的時效,也難以找到事件源頭,並加以根除。

能總覽整體端點安全狀態

與防毒軟體的報表類似,在EDR產品的儀表板中,可讓管理者快速得知企業內部整體概況,而像圖中的CounterTack Sentinel,可快速切換最近60分鐘、24小時、7天等時間內,代理程式收集到的事件數量,並且歸納不同作業系統版本與各群組的端點狀態,以供調整預防措施參考。

 

 相關報導 「企業級端點進階威脅偵防系統採購大特輯」


Advertisement

更多 iThome相關內容