匯聚三大優勢,得以即時發現威脅、加速事件回應
時至今日,ExtraHop 憑藉旗 Reveal(x) NDR 產品,已在全球各產業建立廣泛客戶群。令人好奇 ExtraHop 擁有哪些獨特優勢,得以在競爭激烈的市場闖出一片天?
朱孟穎歸納三項因素。首先 NDR 是收封包的設備,如同人類擁有耳朵,聽得到企業網路流傳的訊息,但每個人對不同語言的辨識度與理解度,高低落差甚大。ExtraHop 能廣泛「認知」逾 75 種眾多網路協定,而非如多數廠商只能做到「識別」層次,猶如 ExtraHop 不僅能聽出有人講俄語、還可完全理解箇中語意。以資料庫應用為例,所有 NDR 產品均能識別「流量暴增」現象,但只代表統計學上的異常,不見得為資安事件;反觀 ExtraHop 24/7 收錄所有封包的 Metadata,並基於對眾多語言與協定的理解,深切掌握存取資料庫的所有用戶名稱、查詢哪些 Table 資料,及針對資料採取讀、寫或刪除動作…等一切細節,故能準確還原當初事件原貌,達到更佳的偵測與回應功效,將誤判機率降至最低。
其次 ExtraHop Reveal(x) 內建 SSL 解密專屬晶片,不需依賴第三方外掛,得以憑藉優異的吞吐效能解析加密封包內容,因而成功攔截諸多頑強的惡意入侵,如近期盛行一時的 PrintNightmare 漏洞攻擊便是一例。
第三,許多 NDR 產品重「D」而輕「R」,普遍缺乏完整的事件回應輔助機制,只是不停偵測、不停發警訊。ExtraHop 考量用戶接收到警訊後,仍需自行處理事件回應,故於 Reveal(x) NDR 內建分析平台,藉以迅速抓取眾多細部資料,以利用戶輕鬆快速地獲得完整佐證,精準判定該警訊是誤判、或真實事件。
附帶一提,ExtraHop 不論流量正常與否,都會全天候收錄所有 Metadata,並且長期保存。好處是萬一有新弱點被揭露,ExtraHop 不只如同其他友商,可保障用戶環境的當下安全,還能幫助用戶回溯反查過去數月的資訊,檢視當時有無設備對外連結惡意 IP,藉以根除駭客埋下的樁腳。去年底(2020)爆發 SolarWinds 供應鏈攻擊之際,ExtraHop 便協助許多用戶成功追查出潛伏許久的毒害。
逸盈科技第二事業處 Cloud Service 部產品經理林孟忠指出,逸盈除致力推廣與銷售 ExtraHop Reveal(x) 產品外,亦將憑藉長年代理資安產品累積的專業素養,一方面協助企業理解特定的資安知識,二方面則善用 ExtraHop 提供的 API、促成Reveal(x) 與第三方工具的整合,例如 Network TAP Switch、防火牆、SIEM、EDR/MDR 或網路存取控制(NAC)等,以發揮資安聯防效果。
事實上就有製造業用戶,曾利用 ExtraHop Reveal(x) 的機器學習演算法,成功捕捉到來自海外據點的 VPN 流量,從夜間至清晨依序執行內部掃瞄、橫向移動、侵入主機的可疑過程,研判風險偏高,故而發出即時告警,驅動 NAC 執行封鎖,讓潛在攻擊行動劃下句點,完美締造了網路偵測與應變的絕佳典範。 |