{{indPage.title}} /{{BreadCrumbs}}
中芯數據IPaaS延伸企業資安力,迅速有效瓦解進階威脅
歷經多年發展,現今市場上已有SOC、情資中心或MDR/XDR等多種資安託管服務可供企業選用。但許多企業仍對這些服務心存疑慮,似乎每次都是出現密集告警後,服務團隊才展開事件處理流程,耗時1、2個月收集和分析大量端點資料,最終針對疑似受感染的主機進行重灌;姑且不論這般方式能否斬斷攻擊來源,時間延宕如此久,其實已對企業造成不小傷害。
反觀中芯數據的「IPaaS」MDR服務,採取截然不同的模式。包括承諾在服務期間內,不限次數協助執行事件處理;不等客戶反應,而是反過來主動向客戶通報問題;更重要的,中芯數據遞交給客戶的通報單,也會附上行動方案建議,因此當客戶收到通報單後,平均花費5分鐘內即可排除問題;且在多數情況下,上述問題仍處於萌芽階段,尚未真正危害企業。
中芯數據首席資安顧問孫維嶸強調,IPaaS監控室猶如「企業內部資安團隊的延伸」,可一氣呵成執行事件的分析、通報、處理與諮詢,進而與企業共同防禦進階威脅,確保企業不致淪為資料外洩或勒索加密的負面新聞苦主。
主動通報客戶,接著於5分鐘內排解問題
孫維嶸說,IPaaS團隊成員皆為白帽駭客等級好手,除擁有許多不易取得的專業證照外,更充滿高度的熱忱與好奇心,不斷探索與研究被駭客利用的新漏洞,並試圖重現背後攻擊思路,因而擅於根據服務客戶過程的所見所聞,梳理出當下最值得提防的威脅趨勢。
譬如在近一年來,駭客攻擊模式已出現變化,以往對同一企業發動過一次勒索軟體攻擊後,至少先停一陣子,短期內再度攻擊的機會不大;現今駭客為了逼企業繳付贖金,會反覆施放勒索病毒,所以企業就算多次重灌電腦也於事無補。
近期某家擁有近萬台主機規模的企業,開始遭受勒索攻擊,在初期事態尚屬輕微時,便急忙找來4、5家資安廠商進場援助,中芯數據亦是其中一家。而中芯數據在短短幾十分鐘的調查中,便揪出所有受感染主機,進而在四小時內完成報告,完整揭露感染範圍、病毒樣本;調查效率之高,明顯勝過其餘廠商。不僅如此,中芯數據研判駭客除第一波施放了偽裝為防毒軟體的惡意程式外,一定在企業內部藏有為數眾多的不同後門;若企業全面部署IPaaS Agent,爾後不管駭客從哪些主機採取惡意行動,只要一有動靜,將隨即被中芯數據鎖定,適時瓦解攻擊。
後來該企業決定將內部上萬台主機,全部納入IPaaS監管。結果後來包括第二波的網頁後門攻擊、第三波的無檔案類型攻擊,乃至第四波的DNS通道後門攻擊,都在事發後幾分鐘到幾小時內遭到中芯數據捕獲與清除,迫使駭客一再鎩羽而歸。
「我們不靠傳統資安人員倚重的閘道型資安設備日誌、網路流量資訊或登出入紀錄,而是靠行為分析!」孫維嶸指出,電腦的所有運行,背後皆由一支支程式所驅動,IPaaS Agent可監測這些程式的行為舉止,只要發現異常,哪怕它已注入到記憶體深層,都會被IPaaS數據監控室識破。例如上述提到的無檔案類型攻擊,中芯數據即是根據它下達偵搜、橫向擴散等指令,證實它就是威脅無誤;也就是說,中芯數據主要查看惡意程式的行為,至於它是否變種、加殼,抑或有無對應的情資,都不會影響偵測能力。
利用電腦行為分析技術,事中即時阻斷惡意活動
大致上來說,中芯數據IPaaS監控室與一般SOC的差異,一方面在於資料收集範圍的不同,中芯數據監看電腦底層的行為,SOC主要探查閘道設備的資料;另一方面源自架構的不同,SOC高度仰賴SIEM,而中芯數據則直接將端點資料彙集到IPaaS平台、直接展開行為分析,同時間並不需要客戶端部署其他的資安設備。
更特別的,在組織設計上,中芯數據也不像一般SOC區分為一、二、三線團隊,皆由同一組分析人員協助 同一客戶做調查與回應;係因這組分析人員長期參與此 客戶環境的監控與分析,對客戶資訊架構相對熟悉,故能稱職扮演最後一道防線,在事件發生的當下有效鎖定問題點,在最短時間內解除異狀。
孫維嶸解釋,傳統資安分析流程最大的盲點,在於無從掌握大量端點究竟發生何事,所以只能做事後鑑識,無法在事中即時阻斷;但畢竟端點鑑識是一項耗時費力的龐大作業,所以分析人員只能靠一部份猜測、搭配有限度的資料收集,試圖挖掘惡意程式的藏身處,惟總有很大機率出現缺漏。在IPaaS服務架構下,不管幾十、幾百、幾千或幾萬台主機的行為資訊,都落入日常監控範疇,根本不需大費周章另啟鑑識程序,在平時只要出現異常活動,無需等到真正發作或釀成災情,便可在事中提前處置,這才是企業真正需要的MDR。
按中芯數據的建議,假使企業有預算考量,可優先鎖定主要伺服器、對外服務、高權限人員的電腦來優先部署IPaaS Agent,若行有餘力,針對經常帶進帶出公司的筆電也有必要納入監控,以期將「可能被偷資料的設備」、「有權限偷資料的設備」通通守護住;做好這一步,縱使遇到今年(2022)來出現頻率激增的供應鏈攻擊,都可望有效防範,只因駭客攻擊鏈當中不管第二跳、第三跳或
中芯數據 - 意圖威脅即時鑑識服務團隊
代表專業 02 6636-8889#134
用戶服務諮詢 0809 016 818