透視黑客、遠離駭怕 剖析資安防禦主動
美國銀行首席資安科學家 SounilYu 將美國國家標準暨技術研究院 (Nation Institute of Standards andTechnology, NIST) 所提出的網路安全框架 (Cybersecurity Framework, CSF)結合應被保護的對象,形成一五乘五的網路安全矩陣 (Cybersecurity Defense Matrix, CDM 或稱 OWASP CDM)。在矩陣中,依資安事件進程可對應分類成三種:事前 - 識別與保護、事中 - 偵測與應變、事後 - 復原。
在現今資訊攻擊手法日益進步以及任何人包含內部人員皆是不可信的零信任概念下,針對異常偵測與應變的事中已然成為現行資訊安全中的重要一環。
偵測與應變時至今日已有多種型態的解決方案,依被保護的對象而設計可分為:對於設備、端點 (Device) 的偵測與應變 (Endpoint Detection and Respond, EDR),主要針對端點的行為控管,舉凡軟體安裝盤點、USB 儲存裝置的控管、
惡意程序執行或其他異常的行為等;對於網路 (Network)上的行為偵測與應變 (Network Detection and Respond, NDR),主要針對經由網路所進行的行為,如埠號掃描、釣魚信件或遠端操控等。
因應市場需求,更多偵測與應變的不同型態也應運而生:因資安人力、技術的不足,產生託管第三方協助資訊的偵測與 應變服務 (Managed Detection and Respond, MDR)。
以此型態,企業需要將內部資料傳往廠商所提供的環境,不僅需要面臨資料傳輸與存取風險,在告警需查測時,資安人員還會遇到沒有完整資料,或商提供資訊不完整導致查測上的障礙。在資訊不對稱的機制設計下,易使兩方協作不順利、作業風險成本增加。一個更為優勢的設計應是資料存於企業本身,而廠商在必要時才在受管控下進入產品本身,讀取資訊與協助判讀,此型態相當考驗廠商產品本質與人員技術和臨場應變能力,卻也能展現企業客戶實際所需。
另一衍生型態為結合多種資訊來源進行關聯分析、協助加速防護的拓展偵測與應變 (Expand Detection and Respond, XDR)。在 XDR 的基礎上再進一步拓展,啄木科技 Woodpecker 推出了一個完整可解釋、可視化與應變的資安全面性解 決方案 - XVR (EXplainable Visibility and Response),在接收多種資訊源 ( 端點、網路與其他第三方資訊源 ) 的狀況下,結合多種機器學習模型 (MachineLearning, ML) 進行偵測並回報產生異常行為的紀錄。
一般而言,至此已觸發告警並由資安人力介入處理,然而,啄木科技不滿足於此。在這些被認為可能異常的行為中,再結合使用者和設備行為分析 (Userand Entity Behavior Analytics, UEBA)納入多層次關聯分析的架構中,將一個完整的行為脈絡產出成為一個 “高解釋性且可視化” 的資安告警。
實際上,XVR 不僅是 XDR 基礎衍伸,其同時設計得以成為一個資安維運中心(Security Operation Center, SOC) 的核心,能在單一平台中獲取不同面向資訊以提供完整可視化資安訊息,也能一同將企業內部事件、情資、資產清單進行管理與監控,不需在 NDR、EDR 多種軟體間反覆比對異常,更能一目了然企業內部現況以利於資安管理。
在資訊安全中, XVR 提供富有彈性的合規性政策設定,企業可依自身需求,將不應該出現的行為皆設定於偵測條件之中,並在任何試圖有不合規行為發生時,觸發並即時告警。例如:企業若為防止營運秘密外洩而不允許任何 USB 儲存裝置,便能設定告警條件,如有違反條件行為,XVR Agent 會第一時間阻擋不允許讀取,同時 Server 將馬上發出告警通知進行追查。企業不再處於被動、受擊後防禦,而是能未雨綢繆、自動化協助主動進行防禦。