{{indPage.title}} /{{BreadCrumbs}}
ExtraHop 2021/10/07
ExtraHop 助力消除企業網路的可視性盲點,逼使入侵者形跡敗露、無從藏匿!
隨著入侵攻擊手法進化,近年時常可見駭客輕易跨過傳統邊界防禦、直接滲入受害企業內網,釀成可觀災情。使越來越多企業意識到內部環境分析的重要性,著手導入各類型「偵測與回應」(Detection and Response)解決方案;期初像是 EDR、XDR 等產品,或者 MDR 服務,相繼蔚為風潮。
然而近年 NDR(網路偵測與回應)展現後發先至氣勢,在全球市場的成長率節節攀升,風頭逐漸壓過 EDR、XDR 或 MDR。著眼於此,身為 NDR 領導廠商的 ExtraHop,決定攜手代理夥伴逸盈科技展開積極推廣作為,期望協助臺灣企業跟上 NDR 佈建熱潮,一舉破解隱含於企業環境的種種盲點,讓駭客難以繼續隱身在陰暗角落。
互補其他偵測與回應產品,破解企業環境的盲點
ExtraHop 亞太區技術總監朱孟穎表示, NDR、EDR、XDR 之所以不同,源自資料蒐集點的差異,如 EDR 取決於端點,XDR 取決於端點加上日誌(Log),NDR 取決於網路。至於 MDR意指 Managed Detection and Response,為專業托管服務性質,服務商透過用戶環境的端點、網路或日誌資料,協助進行事件辨識與判別。
「NDR 能與其他偵測與回應產品形成互補,破解企業內部環境的盲點,」朱孟穎說,現今許多企業佈建印表機、網路攝影機、數位電話機等大量 IoT 設備,但無法為它們植入 Agent,也難以進行 Logging,因而成為 EDR、XDR 偵測死角;又或者,譬如金融業或電信業都將資料庫視為關鍵資產,基於穩定運行考量,不傾向安裝 EDR 或 SIEM的Log來耗損系統資源,避免衍生風險。此時便可利用 NDR 的網路側錄方式,再搭配機器學習演算法來監測企業網路中 User、Active Directory、Application、Database、Storage 之間所有互動,進而針對異常事件展開響應,避免上述盲點淪為資安破口。
以往談到網路偵測,企業較為重視防火牆、Proxy、IDS/IPS 等邊界防禦系統,利用它們來分析縱向(南北)流量,雖不乏防護功效,但容易錯失發覺入侵者的黃金時間。假設攻擊鏈當中含有 A 到 Z 程序,依序代表駭客執行內部掃瞄、掌握關鍵資產,探索關鍵資產的漏洞、橫向移動、入侵、抓取資料…等步驟,最終 Y 到 Z 才是攻擊鏈的最後一哩,意指駭客往外拋資料;唯有走到這一步,防火牆、IDS/IPS才有機會發現敵人蹤跡。但從 A 到 Z 之間往往歷經數個月、數週或數小時,企業當然不樂見重點投資的防禦設備,竟然僅能守護從 Y 到 Z一小段,更希望及早掌握駭客入侵及橫向移動等行徑,因而需要借重內部網路的橫向(東西)流量分析來填補偌大缺口。
匯聚三大優勢,得以即時發現威脅、加速事件回應
時至今日,ExtraHop 憑藉旗 Reveal(x) NDR 產品,已在全球各產業建立廣泛客戶群。令人好奇 ExtraHop 擁有哪些獨特優勢,得以在競爭激烈的市場闖出一片天?
朱孟穎歸納三項因素。首先 NDR 是收封包的設備,如同人類擁有耳朵,聽得到企業網路流傳的訊息,但每個人對不同語言的辨識度與理解度,高低落差甚大。ExtraHop 能廣泛「認知」逾 75 種眾多網路協定,而非如多數廠商只能做到「識別」層次,猶如 ExtraHop 不僅能聽出有人講俄語、還可完全理解箇中語意。以資料庫應用為例,所有 NDR 產品均能識別「流量暴增」現象,但只代表統計學上的異常,不見得為資安事件;反觀 ExtraHop 24/7 收錄所有封包的 Metadata,並基於對眾多語言與協定的理解,深切掌握存取資料庫的所有用戶名稱、查詢哪些 Table 資料,及針對資料採取讀、寫或刪除動作…等一切細節,故能準確還原當初事件原貌,達到更佳的偵測與回應功效,將誤判機率降至最低。
其次 ExtraHop Reveal(x) 內建 SSL 解密專屬晶片,不需依賴第三方外掛,得以憑藉優異的吞吐效能解析加密封包內容,因而成功攔截諸多頑強的惡意入侵,如近期盛行一時的 PrintNightmare 漏洞攻擊便是一例。
第三,許多 NDR 產品重「D」而輕「R」,普遍缺乏完整的事件回應輔助機制,只是不停偵測、不停發警訊。ExtraHop 考量用戶接收到警訊後,仍需自行處理事件回應,故於 Reveal(x) NDR 內建分析平台,藉以迅速抓取眾多細部資料,以利用戶輕鬆快速地獲得完整佐證,精準判定該警訊是誤判、或真實事件。
附帶一提,ExtraHop 不論流量正常與否,都會全天候收錄所有 Metadata,並且長期保存。好處是萬一有新弱點被揭露,ExtraHop 不只如同其他友商,可保障用戶環境的當下安全,還能幫助用戶回溯反查過去數月的資訊,檢視當時有無設備對外連結惡意 IP,藉以根除駭客埋下的樁腳。去年底(2020)爆發 SolarWinds 供應鏈攻擊之際,ExtraHop 便協助許多用戶成功追查出潛伏許久的毒害。
逸盈科技第二事業處 Cloud Service 部產品經理林孟忠指出,逸盈除致力推廣與銷售 ExtraHop Reveal(x) 產品外,亦將憑藉長年代理資安產品累積的專業素養,一方面協助企業理解特定的資安知識,二方面則善用 ExtraHop 提供的 API、促成Reveal(x) 與第三方工具的整合,例如 Network TAP Switch、防火牆、SIEM、EDR/MDR 或網路存取控制(NAC)等,以發揮資安聯防效果。
事實上就有製造業用戶,曾利用 ExtraHop Reveal(x) 的機器學習演算法,成功捕捉到來自海外據點的 VPN 流量,從夜間至清晨依序執行內部掃瞄、橫向移動、侵入主機的可疑過程,研判風險偏高,故而發出即時告警,驅動 NAC 執行封鎖,讓潛在攻擊行動劃下句點,完美締造了網路偵測與應變的絕佳典範。
