【以戰情室統整各項調查資訊】對於攻擊事件的樣貌上,奧義智慧將Xensor收集的資料交由CyCarrier平臺分析後,可在儀表板上同時呈現事件影響的範圍,以及依據時間軸解析經過,而右側的欄位,則是列出受調查的端點電腦細節。(圖片來源/奧義智慧)

市面上,投入端點偵測與回應(EDR)系統的資安業者,可說是相當多元,例如,宣稱能取代傳統防毒、主打次世代防毒(NGAV)的新創公司,還有提供鑑識服務業者,也將他們相關檢測工具產品化;而從端點防毒軟體起家的資安公司,現在幾乎都推出相關的解決方案。正因為如此,雖然這些廠商所推出的產品,都宣稱擁有EDR的功能,實際適用的環境卻相當不同。

從企業導入的角度來看,首要的考量,便是現有的端點防毒機制是否能夠一起保留下來,或者,要由獨立的EDR的端點防護機制來搭配防毒軟體。從目前3款市面上的EDR解決方案來看,其中的趨勢Apex One,核心就是防毒軟體,以包含EDR系統功能的端點防護平臺(EPP)為出發點,因此,企業若要導入Apex One,就要以該套產品來規畫整體端點防護架構。

由奧義智慧與TeamT5杜浦數位安全兩間新創公司所推出的解決方案中,則是以攻擊「事中」和「事後」的偵測為主,因此企業仍要搭配防毒軟體使用。這樣的概念,就好像企業請更專業的私家偵探,來協助調查難以發現的進階攻擊事件,但是,公司同時還是要在大門派駐警衛,先行排除看起來有問題的可疑人士。

其中,奧義智慧所推出的Xensor,比較接近多數EDR系統的做法,必須部署端點的代理程式,但TeamT5杜浦數位安全的ThreatSonar,採用的是非常駐型態的端點掃描軟體,訴求對於生產力影響極低,也不會有系統相容性問題。由於這款產品偏重在找出惡意威脅的能力,而在EDR的回應機制上,主要還是仰賴該公司的因應團隊,以便協助企業進一步排除威脅。

識別威脅的機制上,也是EDR產品的主要賣點之一,因此,這3家業者都主打其分析的方式。

像是奧義智慧,便強調由機器人自行模擬攻防,藉此突破鑑識專家的盲點;而TeamT5杜浦數位安全則是強調能夠由威脅的特徵中,歸納出攻擊者的手法,從而做為企業進行防禦的參考;至於趨勢科技採用了多層次的精準機器學習XGen,利用雜訊消除(Noise Cancellation)技術,增強機器學習識別威脅的準確率。

在呈現威脅的手法上,兩家新創公司也擺脫大多數EDR產品慣用的手法,尤其是奧義智慧最為獨特,採取了戰情室的概念來設計管理主控臺介面——不只以黑色為網頁介面的背景,更能同時提供大量的圖表,讓管理者能以各種層面檢視攻擊事件。

這兩款由新創公司推出的產品,不僅訴求具備EDR的功能,甚至在偵測威脅的手法上,能超越大多數的同類型產品,同時,它們的建議售價並不低,Xensor每臺電腦每年的售價為20,000元(未稅),而ThreatSonar則是在100人的環境下,每臺大約是18,000元,而趨勢Apex One每臺電腦每年為2,236元(未稅)起,選購EDR模組則要另外計價。

奧義智慧推出的Xensor,以戰情室手法,呈現極為詳盡的分析結果

在EDR端點上的偵察,奧義推出的解決方案,主要由Xensor執行相關資料的收集,再交由CyCarrier戰情中心進行分析。而在這樣的架構下,代理程式的執行偵測狀態,與端點電腦威脅情勢解析,分別由Xensor與CyCarrier的管理平臺提供相關的資訊,而這點與國外許多EDR產品試圖進行整合的策略,可說是大異其趣。

不過,該公司還是有其他面向的整合計畫,他們今年打算將上述兩個平臺,以及威脅情資系統CyberTotal,予以串接,目的是打造更為自動化的2.0版資安防護平臺。

從Xensor端點監控的方式來看,這套系統可分析的平臺類型,涵蓋了Windows、macOS,以及Linux等作業系統,此外,該公司也計畫支援iOS與Android等行動裝置的作業系統。而在部署的做法上,奧義智慧也強調Xensor提供了彈性,除了一般EDR常見的代理程式,這套系統也支援以網路掃描的方式,進行鑑識作業之用,對於尚未部署代理程式的電腦,Xensor也能執行初步檢測。不過,若是想要透過Xensor即時監控端點電腦的動態,企業就要安裝代理程式,才能持續收集電腦的狀態。

在偵測威脅的做法上,Xensor採取了複合式的做法,都是奧義智慧透過人工智慧訓練出的模型,藉此讓代理程式能採集到最合適的事件軌跡。原廠宣稱,Xensor能夠檢測的面向,包含能發現中性程式執行一連串惡意行為的現象,以及電腦內廣受信任的軟體(擁有合法數位簽章、企業白名單軟體等),執行許多不尋常的行為等等。若是出現合法使用者與駭客同時登入相同電腦的狀況,該系統也會識別為帳號遭到盜用。

雖然,Xensor是透過原廠的機器學習模型識別威脅,但對於能用防毒特徵碼識別的惡意程式,這套EDR代理程式還是能夠找出相關威脅。

但若是想要檢視更為完整的攻擊事件樣貌,企業則要透過CyCarrier執行進階分析,這個分析平臺提供整體關連圖,以及透過時間軸提供事件的軌跡,以供管理者各式面向的資訊。

不論是Xensor還是CyCarrier主控臺,都與大多數的EDR產品的呈現風格差異頗大,最顯著的部分,就是採用黑色頁面為背景。再者,則是在圖表上,大量使用了相當鮮艷的色調,對於管理者來說,相當容易識別,並能更塊找到需要優先調查的事件。

而在CyCarrier的儀表板上,更同時顯示大量的內容。雖然許多EDR可提供攻擊範圍與事件經過的關連分析,但通常都是分開呈現,要像CyCarrier能一併在儀表板列出相關資訊的做法,其實並不多,而且,CyCarrier更提供了其他的內容,讓管理者同時能得知想要了解的面向──包含了攻擊行為與檔案的關連圖表,以及攻擊屬性的雷達分析圖,還有攻擊事件月曆等等,因此,管理者一次能夠得到的資訊更為豐富。

奧義智慧也強調,他們訓練的分析模型,與市面上大多的EDR廠商有顯著的不同。

因為,該公司不光是分析大量的資料,同時為了避免鑑識專家判別威脅可能存在的盲點,他們也讓人工智慧模擬可能的攻擊,以此進行機器學習模型的最佳化。

這樣的概念,就像是人工智慧棋王Alpha Go的策略,藉著自己下棋快速成長,因此,奧義智慧也宣稱,他們系統所採用的人工智慧,不只能識別攻擊行為,還能協助企業調查攻擊案情。

若在威脅反應的作法上,Xensor目前能夠提供的是遠端因應機制,當中主要是終止正在執行的攻擊行為。相較之下,它並未具備國外EDR產品在近期開始提供的進階反應措施,像是阻斷受害電腦的對外通訊,或是恢復遭受攻擊前的正常狀態等。不過,奧義智慧表示,他們已經規畫未來會提供相關功能。

能快速得知端點電腦整體狀態

在Xensor的主控臺上,企業可了解所有端點電腦的安全狀態,這個儀表板列出了特別需要留意的高風險電腦,以及代理程式的運作狀態,是否上線運作,有多少臺電腦正在執行掃描等資訊。圖片來源/奧義智慧

TeamT5杜浦數位安全推出的ThreatSonar,提供進階的偵測

在端點威脅的偵測上,TeamT5杜浦數位安全則是呈現另外一種風格。他們以端點的ThreatSonar鑑識工具為基礎,因此這個工具僅是一個單純的可執行檔(綠色軟體),而不需任何的部署,實際企業在執行這套系統時,大多是透過群組原則的方式派送,並指定啟動掃描的時間。

由於採用獨立執行程式的作法,而不需安裝,因此,TeamT5杜浦數位安全強調,這款產品不會像許多的EDR系統出現相容性的問題,對於企業的影響也相當輕微。也因為這樣的架構,ThreatSonar目前並不支援AD目錄服務的整合。

不過,在能夠保護的端點類型而言,ThreatSonar目前只支援Windows作業系統,而該廠商表示,他們將於今年第2季推出正式版本的Linux掃描程式,macOS版本也在研發當中。

在端點的偵測能力上,雖然ThreatSonar採取的是定期掃描的策略,並不像一般EDR會持續收集端點的行為記錄,檢測軟體也沒有深入系統底層,但該公司宣稱,他們還是能從端點電腦執行的軌跡中,找出大部分EDR系統難以發現的威脅。

而從ThreatSonar主控臺的功能來看,該系統提供的項目相當特別,包含了端點的關連圖、威脅狩獵的調查功能,以及回溯事件過程的時光機等,其中,端點關連圖的用意,便是從使用者與端點電腦之間的存取,讓管理者從概觀的角度,快速得知企業環境內可能出現的異常行為。

而在調查功能裡,ThreatSonar透過鮮明的事件顏色標籤,突顯所偵測到的風險程度與異常行為類別。值得一提的是,時光機不只提供能易於解讀的記錄,也清楚標識其風險等級等資訊,因此能做為管理者判斷是否需要加以深入調查的依據。

整體而言,則是這套解決方案偏重於找出威脅的能力,並未提供能夠遠端執行因應的措施,而原廠指出,這個部分會透過專屬的團隊,協助企業執行所需的處理程序。

呈現使用者與電腦之間的關連

對於企業內部環境的狀態,ThreatSonar透過了關連圖的型式,彙整使用者與端點電腦之間的存取關係,因此IT人員便能從這樣的資訊中,檢視是否出現異常存取的情形。圖片來源/TeamT5杜浦數位安全

提供事件記錄與回溯功能

針對單一處理程序執行,ThreatSonar透過名為時光機的功能,依據時間排序,條列出所有的記錄,並指出各項行為的風險程度等級。管理者可對於特別需要調查的項目,檢視更進一步的資訊。圖片來源/TeamT5杜浦數位安全

趨勢推出的Apex One深度結合EDR功能,並提供多種選用模組

論及最早推出相關產品的趨勢科技,他們原先採取EDR系統Trend Micro Endpoint Sensor獨立發展的策略,雖然已能與企業防毒產品OfficeScan XG搭配運用,但企業導入這兩套產品時,仍需要部署各自的端點代理程式,而且,IT人員也要透過不同的主控臺進行管理。直到去年底,該公司終於將EDR與端點防護平臺緊密整合,將這樣的系統納入其中,並命名為Apex One。

在防護的機制上,Apex One延續OfficeScan的做法,提供多種選用功能,包含了漏洞防護、應用程式控管、資料外洩防治(DLP),以及磁碟資料加密等。而Apex One與先前版本最大的不同,便是趨勢將EDR機制(Endpoint Sensor)列為正式的選用功能。

在偵測威脅的做法上,Apex One延續前一版Office XG開始,所採用的XGen技術,將高準度機器學習與其他偵測機制結合,並強調統整了多種非特徵比對的做法,包含了行為分析、惡意軟體的變種識別、應用程式控管、漏洞攻擊防治等,同時,偵測流程中也結合檔案和網站的信譽評等的分析機制。

這裡的高準度機器學習,指的是在端點電腦上的處理程序執行之前,先進行靜態的檔案檢查,在執行的過程中,也對處理程序運作的行為加以分析,藉此從中找出可能潛藏的惡意行為。

而針對機器學習分析所面臨的誤判情形,Apex One在每一層檢測機制中,也運用了雜訊消除的做法,包含了白名單與普查(Census)等兩大措施。

對於攻擊事件的調查,這套系統則是收集系統與使用者的行為記錄,以及通訊記錄等資訊,將其Metadata存放在Apex One的主控臺(Apex Central),以供IT人員日後事件調查運用。Apex One採用與Trend Micro Endpoint Sensor相同的方式,在儀表板裡以時間排序,呈現出近期所需優先調查的重大事件。

管理者若是想要進一步了解的事件內容,Apex One則是提供了根本原因分析(Root Cause Analysis)頁面,透過關連圖顯示整個攻擊的樣貌,並且列出受害電腦的IP位址,與最近一次登入的使用者名稱等資料。再者,Apex One也列出管理者應該特別調查的標的。而在反制的措施上,這套系統則是提供了遠端隔離端點電腦與終止處理程序等做法,若是管理者認為是可疑的檔案,也可將其標示是惡意軟體,或是列為每次掃描必須要檢查的項目。

不過,這款解決方案也是3款產品之中,唯一只提供雲端主控臺型態的產品,趨勢科技表示,他們計畫將在3月開始,提供能夠在企業內部建置版本。

從端點防毒統合整體安全態勢

在主控臺上,Apex One彙集了企業所有端點的狀態,同時,這裡也依據政策執行與重大威脅的比例,歸納出企業各分公司的態勢分布,讓管理者能夠得知那些地點的辦公室需要優先檢查。圖片來源/趨勢科技

以攻擊鏈進行事件調查與反制

對於事件的調查,管理者可透過Apex One的根本原因分析工具執行,該頁面列出了摘要,包含了首度偵到的物件,以及符合比對與需要特別留意的標的等,並能將管理者判別有問題的處理程序加到可疑物件列表。圖片來源/趨勢科技

 相關報導  國產EDR展現臺灣資安研發能量


Advertisement

更多 iThome相關內容