網路犯罪集團和駭客會不斷變換攻擊手法、技巧及程序來提高其入侵企業並躲過資安人員及防護產品偵測的機率。改用針對性攻擊,儼然是當今網路犯罪集團之間最新的流行趨勢。企業必須提升掌握駭客攻擊完整生命週期的能力,因為,以端點裝置為唯一攻擊目標的時代已經過去,因此一套環環相扣的威脅防禦至關重要。
今日,許多企業機構皆已採用所謂的 EDR (Endpoint Detection & Response)端點偵測及回應 來深入了解端點所遭受的攻擊。但正如我們所見,就連勒索病毒近來也越來越少將端點裝置當成唯一攻擊目標,它們會在企業內部橫向移動,試圖發掘並挾持企業的關鍵系統來提高企業支付贖金的機率。
繼續閱讀作者:Greg Young (趨勢科技網路資安副總裁)
在趨勢科技部落格這篇文章中對於端點偵測及回應 (EDR) 如何邁向全面偵測及回應(XDR) 有相當詳盡的闡述。簡單來說,作者 Jon Clay 認為 EDR 固然很棒,但若有辦法加入端點以外的資訊來源,那應該會更好。「 XDR 」一詞中的「X」泛指為了提供更廣泛、更可靠的偵測及回應所能涵蓋的所有來源。
聽到這裡,很多人的第一個反應可能是:「這聽起來怎麼跟資安事件管理系統 (SIEM) 以及平台很像,因為同樣都是將眾多來源的資訊集中彙整」。在此請容我稍微解釋一下兩者之間的差異,以及為何這些差異會帶來巨大、真實且實際的影響。
我們先從 SIEM 來看。很多人都會苛責 SIEM,但考慮到人們對它的要求,其實 SIEM 已經很棒。將數十種甚至數百種廠商的產品記錄檔蒐集在一起,然後試圖從中發掘資安線索,進而發出有意義的警示通知。不過 SIEM 的問題是涵蓋範圍很廣,但卻深度不足。它的資訊來源很多,但蒐集的資訊卻很有限。
SIEM 無法迫使特定類型的產品 (如端點防護平台) 提供超出通用、標準格式以外的進一步資訊。當端點防護平台新增了一些獨家的偵查能力時,SIEM 能妥善運用這些最新資料來源的情況和能力都相當有限。很重要的原因是,SIEM 並未內建回應機制,它只是一項偵測工具,如同一個未與自動灑水器相連的消防警報器。不過,SIEM 可涵蓋的產品與廠牌非常廣泛,因此 SIEM 不管在當下或未來都其自己的價值定位,無法被 XDR 所取代。其實,SIEM 若能搭配 XDR 來運用,會更彰顯其價值。
下圖是我心目中的 SIEM:
繼續閱讀
作者:Ian Loe(NTUC Enterprise Co-operative Limited網路安全資深副總)
先進的網路罪犯經過長時間的鍥而不捨加上自身的聰明機智,正在跨過傳統的安全防禦來入侵機密資料。認識到這一點後,我們NTUC Enterprise一直在研究新的安全技術來協助解決這些日益嚴重的問題。我們確認的關鍵之一是需要更好地保護端點系統,並且提高對這些裝置狀況的能見度。
因為集團內有超過2萬個端點(個人電腦和物聯網設備)需要防護,而且在不久的將來可能會成長到3萬個,我們意識到事件偵測及回應變得至關緊要。由於有了這些考量,我們需要一種能夠持續監控的解決方案(就像是監控攝影機)來識別惡意分子在進行的可疑活動。
進入了可以在端點系統記錄和儲存查詢、行為和事件的端點偵測及回應(EDR)技術。想像一下:監控攝影機會捕捉建築物每個角落及入口的活動。如果有人偷偷地破壞門鎖、關掉安全警報或侵害了商業財產,安全人員會從這些監控攝影機收到警報。
繼續閱讀美國國土安全部網路安全局 (CISA) 提出警告,由於小型飛機元件存在漏洞,如果攻擊者能夠實際接觸,就可改變航空器的遙測功能。
這項漏洞位於小型飛機的控制器區域網路 (CAN) 匯流排;CAN 匯流排可讓航空器 (或任何其他類型載具) 內部的各種裝置及元件互相通訊。
如果要利用這項漏洞,就必須實際接觸航空器。由於必須實際接觸,潛在攻擊者可裝設裝置,將偽造資料注入航空電子設備的 CAN 匯流排,導致航空器航空電子設備的讀數錯誤。
繼續閱讀駭客透過無檔案式威脅,利用系統上原有的應用程式來攻擊系統。本文探討一些值得關注的攻擊事件和技巧,以及可偵測無檔案式威脅並防範相關攻擊的最佳實務原則。
在傳統的資安威脅中,駭客大多經由電子郵件、檔案或網站在受害系統上安裝惡意程式。但無檔案式威脅有別傳統惡意程式,不會透過惡意軟體或執行檔來感染系統,而是利用系統內建的工具和應用程式來發動攻擊,也就是利用系統工具來攻擊系統。
無檔案式威脅並無可辨識的特徵碼來觸發傳統資安軟體的偵測機制,所以才能越過傳統的資安防護,並且濫用了原本正當用途的工具。
無檔案式攻擊是一種利用系統內建應用程式來攻擊系統的惡意手法,有別於在系統上偷偷安裝惡意軟體的攻擊。無檔案式攻擊,基本上是濫用了系統原本受到信賴的應用程式、軟體或通訊協定,所以不需仰賴惡意程式來執行攻擊。
