【面對未知的進階威脅,人工智慧的應用,為整個資安產業帶來前所未有的識別能力】從端點電腦找出進階威脅的方法中,EDR系統廣泛運用機器學習,因此能突破人類鑑識專家既有的觀念,找出未知的攻擊手法。在奧義CyCarrier分析平臺中,就採取了類似Alpha Go與自己下圍旗的做法,由分析平臺的機器人同時扮演攻擊者與守備者,模擬各種攻擊,最終再由奧義的鑑識團隊最終確認其結果的合理性。(圖片來源/奧義智慧)

長期以來,臺灣面臨來自中國各式的網路威脅,在防護的措施上,長期仰賴許多國外廠商提供的解決方案,雖然許多類型的產品已有國產品牌可選,然而,產品在防護能力的展現上,卻很有可能礙於業者研發資源有限,導致多年來,國產資安廠商僅能不斷追趕外國的腳步,被企業當成經濟實惠的次要選擇,若要更為進階的防護功能,企業最終還是採購外商解決方案。

但這樣的現象,從國產品牌的端點偵測與回應(Endpoint Detection and Response,EDR)系統出現之後,終於有所突破,從防毒業者趨勢科技開始打頭陣,提供相關產品,接著還有在2017年先後成立的2間新創公司──TeamT5杜浦數位安全和奧義智慧(CyCarrier),也相繼投入EDR防護的領域。這3間公司,在採用機器學習或是人工智慧的技術上,都強調具備其獨道的方法,能夠更為精確找出進階威脅,減少誤判的情況。

端點防護產品的發展面臨劇烈變化

在EDR這類產品出現之前,曾經不少資安專家提出了「防毒軟體已死」的看法,最常被提起的,是Symantec資訊安全副總裁Brian Dye的觀點,他指出防毒軟體只能攔截大約45%的網路攻擊,因此,端點防護不能再完全倚賴傳統防毒偵測機制,於是,他們正在研發能對抗新型網路攻擊的防護措施。

直到2年多前,端點防護領域出現重大的變化,不少廠商強調防毒軟體難以防範進階威脅,必須透過更多端點的事件行為分析,才能找出這些攻擊。為此,他們開始推出新型態防護產品,稱為端點偵測與回應系統,而且,不只是推出次世代端點防護的新創公司投入,連帶使得不少資安業者,也相繼發展這種類型的產品或是服務。

當時,防毒軟體廠商看法不一,有些以原本針對進階持續性威脅提供防禦的產品,因應這樣的情勢,也有些防毒大廠一度堅持,不打算推出端點偵測與回應型態的解決方案。但直到去年,還是有許多防毒業者相繼推出有關產品。

這樣的現象,顯示端點上的偵測與回應型態措施,市場上仍有需求──即使去年市調公司Gartner曾在報告中強調,他們打算不再推出有關EDR的市場指南,甚至產業分析師Zeus Kerravala也認為「EDR已死」。但怪異的是,這類解決方案至今,仍然如不斷出現新產品,難道是分析師與產業脫節了嗎?

其實,在端點偵測與反制解決方案不斷推陳出新的同時,有些資安業者也提出了另一種說法,那就是企業在偵測威脅與採取反制措施上,不能只局限於端點電腦,所以,開始也有Palo Alto等業者,提出了XDR一詞,強調於端點的事件分析之餘,也要結合網路流量的過濾,以及威脅情報的統合。

這樣的概念,固然是為了免於企業在調查事件時,只聚焦在端點電腦,而造成「以偏概全」的可能性。但是,端點上的事件採集,仍然是企業找出各種已知與未知攻擊的重要依據與環節。

特別是許多駭客為了回避各式的防護措施,可能會在傳送的過程中,將作案工具切割,直到到端點電腦要執行時,才組裝起來,發動攻擊。因此,企業便往往難以在網路流量上,找出上述型態的潛在威脅,相形之下,端點電腦所提供的跡證,變得至為關鍵,成為企業必須著重的面向之一。

從部署的架構上,EDR可分為2種型態:獨立產品與防毒軟體整合

隨著XDR一詞的出現,也代表著幾年發展下來,鎖定端點電腦的EDR產業,可說是日益成熟。

以往,只要能夠與機器學習和人工智慧結合的端點防護系統,許多廠商便會宣稱他們的產品能取代傳統防毒軟體,或是具備EDR相關功能。

但是,如今各家資安廠商大都提供相關產品的情況下,這種類型的解決方案,不只要考量到偵測威脅的能力與準確度,予以改善,並且先行過濾出必須優先處理的事項,更要提供極為容易判讀的資訊和操作介面,以供企業IT人員能夠快速上手,甚至是進一步進行遠端反制作業。

另一方面,面臨企業相關的資安人員嚴重短缺,可能難以自行判讀EDR系統所找到的異常現象,所以當中也有許多廠商,同時提供代為監控的服務,稱為MDR(Managed Detection and Response)。

因此,這也突顯了企業採用EDR系統之後,廠商所能提供的相關技術支援,極有可能左右這套防護系統的成效。

這種類型的產品發展多年以來,我們大致可區分成2大型態,一種是偏重提供進階偵測能力,與防毒軟體各司其職;另一種則是與端點防護平臺(Endpoint Protection Platform,EPP)高度整合,成為現有防護平臺的延伸,成為端點防護重要的一環。

不過,在防護的原理上來看,EDR採取行為特徵的彙整,與傳統防毒發展而成的EPP防護平臺裡,採取非黑即白的特徵碼識別機制,做法可說是存在極大的差異,但是,兩者所防護的標的,卻是相同,都是確保企業環境裡端點電腦的安全。

為此,多年前EDR一詞出現時,曾經引發能否取代防毒軟體的熱烈討論,不過,時至今日,我們可以看到,若是強調能夠取代防毒軟體的EDR系統,其端點的代理程式(Agent),也都具備攔截威脅的功能。

從防護的範圍來看,EDR應該隸屬於端點防護的領域,因此,Gartner在去年的端點防護魔力象限中,將這樣的防護系統,納入EPP平臺的評估項目之中。

不過,企業在實務建置上,可能基於避免影響現有防毒軟體運作等考量,選擇專屬的EDR系統,而非已經與EPP平臺深度整合的產品。

因此,在EDR解決方案中,不少廠商提供了2款以上的產品線。以本土出身的國際資安廠商──趨勢科技為例,他們最初推出的解決方案,是名為Trend Micro Endpoint Sensor的獨立EDR。該公司去年底則進一步與現行的企業級防毒軟體整合,以長期發展的端點防護系統OfficeScan為基礎,結合EDR系統,更名為Apex One。

以前述的Trend Micro Endpoint Sensor而言,企業可延用現有的端點防毒軟體,與之搭配使用,至於Apex One,則是將EDR列為端點防護的選用功能,因此管理者能在同一個主控臺中,執行防毒軟體的管理,或是攻擊事件的調查。

EDR端點代理程式與主控臺相互合作,各自負責情蒐與分析

在奧義智慧的EDR系統中,端點的Xensor代理程式所執行的任務,主要包含遠端電腦掃描與事件的因應,而掃描結果送交後端主控臺後,則是CyCarrier進階分析平臺和CyberTotal情資中心兩者執行,經由人工智慧分析,最終企業的SOC團隊再次確認,分析結果是否為正確。圖片來源/奧義智慧

臺灣出現多款自主研發的EDR產品

在臺灣,我們相當仰賴國際上的資安廠商提供前述的解決方案,而臺灣本土業者所能著墨的面向,便是因為國內不斷面臨來自中國的威脅,發展找出威脅的經驗,結合機器學習分析,打造出的端點偵測與回應系統。

在防毒領域長期深耕的趨勢科技,最早推出EDR解決方案,到了2017年時,杜浦數位科技與奧義智慧科技等2家新創公司,先後於4月和11月成立,投入相關系統的研發。

最早提供相關系統的趨勢科技,他們起初推出了Deep Discovery Endpoint Sensor,並且在2016年發布的1.6版,更名為Trend Micro Endpoint Sensor。

直到去年,該公司更強調EDR與端點防毒軟體之間的整合,於企業端點防護產品OfficeScan XG的後繼版本Apex One上,將Endpoint Sensor的功能,與防毒軟體兩者之間,從端點代理程式到管理平臺,進一步整合,以便管理者不只能在主控臺得知防毒軟體的狀態,也可同時進行攻擊事件的調查。

另一家提供EDR的臺灣資安廠商,則是TeamT5杜浦數位安全,該公司是蔡松廷(TT)於2017年4月成立,前身是以資安研究為業務,提供客戶威脅情資服務的Team T5團隊。後來,他們將評估企業受害程度的工具ThreatSonar,進行產品化,並成立了公司,也就是杜浦數位安全(Doppler Digital Security)。

而今年初該公司重新調整了對外的名稱,在中文名稱加上TeamT5,英文的公司名稱則改為TeamT5 Inc.。而在採用該公司端點威脅鑑識系統的案例上,目前有臺北市政府與公路總局等單位。

接著,也能提供EDR解決方案的臺灣資安廠商,是晚近成立的奧義智慧科技,由邱銘彰(Birdman)、吳明蔚(Benson)、叢培侃(PK)等3人共同創辦,他們的解決方案於2018年6月正式推出1.0版,由EDR系統Xensor、威脅情資整合平臺CyberTotal,以及人工智慧分析平臺CyCarrier等組成。該公司的解決方案已有不少採用案例,包含了聯發科技、電信技術中心、金融聯合徵信中心、臺灣銀行、富邦銀行,而在公部門的部分,也有國防部、外交部,以及警政署等。

將威脅彙整為易於判讀的資訊

EDR系統所能呈現的攻擊事件樣貌,不僅資訊要詳盡,更要能夠易於讓IT人員快速判讀。以ThreatSonar的主控臺為例,便以多種顏色的字串標籤,列出疑似攻擊行為的特徵,包含了識別出這是APT攻擊者所使用的惡意軟體,並發現異常的記憶體存取行為等。圖片來源/TeamT5杜浦數位安全

透過自行開發或與其他業者合作,其他臺灣資安廠商也能推出EDR

國內已有上述3家端點防護廠商與新創公司,投入EDR領域,然而就全球市場而言,原本許多其他類型的IT業者,也將產品線擴及到端點偵測上,最為顯著的情形,就是網路防護設備業者跨足推出這種型態的解決方案。

例如,WatchGuard提供了Threat Detection and Response,將UTM設備與端點電腦代理程式的情資統整,進而訴求在現有的端點防護架構下,增強企業防範進階持續性威脅的能力。

而次世代防火牆業者Palo Alto於2016年首度提供次世代端點防護軟體Traps,2018年則再度買下Secdo,強化端點偵測與回應領域的產品線。因此,國內提供網路防護設備的品牌,甚至是網路設備廠商,都很有機會依循這樣的模式,踏入這塊市場。

像是合勤科技近年來,便主打網路流量進階分析平臺CNM SecuReporter、威脅情資平臺Zyxel Security Cloud,今年初,在臺灣推出次世代防火牆設備ZyWall ATP系列,強調與上述防護系統緊密結合,未來,若要進軍端點防護領域,也不會太讓人意外。

再者,國內品牌的次世代防火牆設備業者,還有眾至資訊,以及從上網監控起家的利基網路等。以利基的次世代防火牆InstantArray為例,便強調結合雲端存取安全代理程式(CASB)功能,若是為了能更精確追蹤端點的資料流向與安全性,便相當有機會向端點延伸,發展出可搭配的EDR系統。

除了企業的IT環境,若要廣義定義端點設備,近年來興起的物聯網(IoT)裝置,也是需要相關防護的範圍。

隨著這類設備的廣泛應用,國內推出這類設備的廠商,也出現與資安業者合作的情形,在裝置中內建端點防護措施。例如華碩和晶睿通訊(Vivotek),分別推出內建趨勢科技防護功能的產品,若能基於已經在裝置內的防毒元件,延伸納入相關的偵測與回應機制,也有助於了解攻擊事件的全貌。

提供調查事件受影響範圍

在事件調查的做法上,趨勢科技Apex One提供了兩種處理方式,首先是能從根源分析的關連圖中,檢視可能有問題的地方,再者則是可透過快速搜尋的機制,找出存在相同威脅特徵的電腦,然後進一步處理。圖片來源/趨勢科技

臺灣EDR系統功能比較表

3款國產EDR平臺最為明顯不同的地方,在於產品型態組成,趨勢Apex One以端點防護為重心,延伸提供相關的功能,而奧義Xensor結合了次世代端點防毒的特性,至於杜浦ThreatSonar,則是偏重偵測能力,若要攔截或是清理威脅,可透過該公司的應變團隊協助,進行處置。

圖示:紅色打勾代表具備相關功能;╳代表無此功能

註1:需搭配奧義智慧CyberTotal雲端沙箱服務

註2:由杜浦處理應變團隊協助客戶因應

註3:需搭配趨勢Deep Discovery Analyzer或雲端沙箱服務 註4:需搭配趨勢MDR服務

註5:需搭配趨勢Deep Security

資料來源:奧義智慧、TeamT5杜浦數位安全、趨勢科技,iThome整理,2019年3月


Advertisement

更多 iThome相關內容