延伸企業資安力
企業內部資安團隊的延伸
歷經多年發展,現今市場上已有SOC、情資中心或MDR / XDR 等多種資安託管服務可供企業選用。但許多企業仍對這些服務心存疑慮,似乎每次都是出現密集告警後,服務團隊才展開事件處理流程,耗時1、2 個月收集和分析大量端點資料,最終針對疑似受感染的主機進行重灌;姑且不論這般方式能否斬斷攻擊來源,時間延宕如此久,其實已對企業造成不小傷害。
迅速有效瓦解APT進階威脅
中芯數據是企業內部資安團隊的延伸,採取截然不同的模式,可一氣呵成執行事件的分析、通報、處理與諮詢,進而與企業共同防禦進階威脅,確保企業不致淪為資料外洩或勒索加密的負面新聞苦主。
我們的MDR服務包括承諾在服務期間內,不限次數協助執行事件處理;我們不等客戶反應,而是反過來主動向客戶通報問題;更重要的,我們遞交給客戶的通報單,也會附上行動方案建議,因此當客戶收到通報單後,平均僅花費幾分鐘即可排除問題,且在多數情況下,上述問題仍處於萌芽階段,尚未開始危害企業。
主動通報客戶,揪出所有受感染主機
中芯數據專業資安團隊成員皆為白帽駭客技術等級,擁有許多競技的專業證照,擅長探索與研究被駭客利用的新漏洞,並試圖重現背後攻擊思路,梳理出當下最值得提防的威脅趨勢。我們的團隊在近年也觀察到,駭客攻擊模式已出現變化,以往對同一企業發動過一次勒索軟體攻擊後,至少先停一陣子,短期內再度攻擊的機會不大;現今駭客為了逼企業繳付贖金, 會反覆施放勒索病毒,導致企業僅是多次重灌電腦都也於事無補。
這對擁有近萬台主機規模的企業,開始遭受勒索攻擊,即便在初期事態尚屬輕微,中芯數據即可在短短數分鐘的調查中,便揪出所有受感染主機,進而完成報告,完整揭露感染範圍、病毒樣本。不僅如此,中芯數據研判駭客除第一波施放了偽裝為防毒軟體的惡意程式外,一定在企業內部藏有為數眾多的不同後門;若企業全面部署IPaaS Agent,爾後不管駭客從哪些主機採取惡意行動,只要一有動靜,將隨即被中芯數據鎖定,適時瓦解攻擊。
利用行為分析技術,事中即時阻斷惡意行為
中芯數據 IPaaS 提供的MDR服務不靠傳統資安人員倚重的閘道型資安設備日誌、網路流量資訊或登出入紀錄,而是靠『行為分析』,電腦的所有運行,背後皆由一支支程式所驅動,IPaaS Agent 可監測這些程式的行為舉止,只要發現異常,哪怕它已注入到記憶體深層,都會被 IPaaS 數據監控室識破。例如上述提到的無檔案類型攻擊,中芯數據即是根據它下達偵搜、橫向擴散等指令,證實它就是威脅無誤;也就是說,中芯數據主要查看惡意程式的行為,至於它是否變種、加殼,抑或有無對應的情資,都不會影響偵測能力。
傳統資安分析流程最大的盲點,在於無從掌握大量端點究竟發生何事,所以只能做事後鑑識,無法在事中即時阻斷;但畢竟端點鑑識是一項耗時費力的龐大作業,所以分析人員只能靠一部份猜測、搭配有限度的資料收集,試圖挖掘惡意程式的藏身處,惟總有很大機率出現缺漏。在IPaaS 服務架構下,不管幾十、幾百、幾千或幾萬台主機的行為資訊,都落入日常監控範疇,根本不需大費周章另啟鑑識程序,在平時只要出現異常活動,無需等到真正發作或釀成災情,便可在事中提前處置,這才是企業真正需要的MDR服務。