何謂託管式偵測及回應 ( MDR )?

「託管式偵測及回應」(Managed Detection and Response,簡稱 MDR) 是一種資安委外服務,專為企業提供威脅追蹤及應變服務,其中最重要的就是專業網路資安人才的投入:由資安廠商的研究人員和工程人員來幫 MDR 服務的客戶監控網路、分析事件、回應各種資安狀況。

MDR 能解決什麼挑戰?

MDR 能解決現代化企業面臨的一些重大資安挑戰,最其中最顯而易見的就是填補企業網路資安人才的空缺。一些較大型的企業或許有能力成立並訓練自己的專責網路資安團隊來執行全天候的威脅追蹤監控,但大多數的企業在資源有限的情況下卻很難做到這點。這樣的情況在那些經常成為網路攻擊目標、但卻缺乏充足人力的中大型企業更是如此。

然而,就算企業願意投入這樣的人力和財力,也不容易招募到合適的資安專業人員。根據研究,2016 年全球未填補的網路資安職缺約有 200 萬個,而且預計到 2021 年該數字將成長至 350 萬個。

繼續閱讀

近一半的組織網路安全技術人才短缺,該怎麼辦?

根據(ISC)²,一家網路安全及IT安全專家組織所指出,全球的網路安全技術人員短缺在2018年達到了近300萬。人才短缺問題也反映在趨勢科技委託進行的Opinium調查裡。在1,125名資訊安全長(CISO)中,有近50%的人認為這是他們組織所擔心的重點之一。隨著資安威脅的持續增加(趨勢科技在2018年阻止了超過480億次威脅)且變得更加先進,全球技術人才短缺也讓組織面臨更高的風險。

近一半的組織網路安全技術人才短缺,該怎麼辦?

[延伸閱讀:主動事件回應策略的歷史概述及其對企業的意義]

技術人外短缺是全球性的問題

來自美國、英國、德國、西班牙、義大利、瑞典、芬蘭、法國、荷蘭、波蘭、比利時及捷克的資訊安全長在接受訪談時評估網路安全的挑戰,包括了技術人才短缺。

調查顯示,在人員方面,資訊安全長不僅面臨組織內部缺乏網路安全意識的問題,還面臨著技術人才短缺的問題。有33%的受訪者表示在招聘新人才時面臨問題,49%的受訪者擔心人才短缺會讓自己的組織面臨更大的風險。美國的資訊安全長裡有54%(被調查國家裡的最高比例)承認很難請到熟練的專業人才。

繼續閱讀

採用託管式偵測及回應服務,從資安自動化受惠

過去幾年裡,所謂的自動化,或是將負擔沉重的資安相關作業委派給機器的流程,開始在組織之間得到不少支持度。根據 Ponemon Institute 最近公佈的研究指出,參與研究的組織中有將近 79% 早已開始使用自動化,或有意及早採用自動化,以協助保護企業免於網路威脅。

但採用自動化技術真的是建構有效網路資安堡壘最重要的工作嗎?自動化能適當保護企業,讓企業有能力自己抵禦日益增加的安全威脅嗎?

資安自動化的重責大任

運用自動化這類的進階技術,便能將大量日常的網路資安作業交由機器執行。根據趨勢科技在今年 3 月公佈的 Opinium 調查指出,受訪的資訊安全長 (CISO) 中有 68% 相信,自動化有助於減少業界人才短缺的問題。此外,相當高比例的 CISO 受訪者 (約 59%) 認為,像是機器學習(Machine learning,ML)等許多人工智慧技術,都有可能減緩人才短缺的問題。

[請參閱:困擾半數組織的網路資安人才短缺問題]

但組織若想從自動化和人工智慧技術中獲益,內部必須設有專業人才,協助組織分析結果,提供為了改善組織的網路資安態勢,該採取何種行動或該作何決定的相關認知與見解。

但隨著資安威脅數量不斷增加且持續精進,缺少專業人才來抵禦資安威脅的問題只會日益加劇。截至 2018 年為止,網路資安產業的缺工人數已來到將近 300 萬之多。

根據 Ponemon 的研究指出,56% 的企業內部沒有技術純熟的網路資安專家駐守。這也是多數企業無法採用自動化技術的原因,因為公司內沒有人可以幫他們設定、操作及分析資料。

託管式偵測及回應服務如何協助組織

隨著網路資安人才短缺的問題持續擴大,組織暴露在各種資安威脅之下,營運、財務和聲譽都有可能受損。但只要部署像託管式偵測及回應(Managed Detection and Response,簡稱MDR)  這類的資安服務,公司便能受到由威脅分析師、調查員和事件回應專家所組成,全天候待命的網路資安人員的保護。MDR 專家能讓自動化工具運行,提供威脅獵捕與調查、分析結果等。

[請參閱:透過託管式偵測及回應服務發現 Emotet 散播的 Nozelesn 勒索軟體載入程式]

MDR 服務讓企業在彈指間就能輕鬆找出進階威脅之間的關聯。儘管監控和偵測惡意軟體的龐大工作量都可交由自動化完成,但仍能透過 MDR 取得每次攻擊的詳細資料,MDR 團隊可提供分析,指出攻擊來源、其感染鏈,以及是否感染了組織的網路或系統。最重要的是,團隊可提供建議的減緩策略。

趨勢科技的託管式偵測及回應服務團隊除了提供資安事件的即時回應,還能彈性運用資安解決方案,揭露該類事件,將進階 AI 和自動化技術的運用範圍最大化,有效關聯資料,說明資安警示並找出其優先順序,同時協助鞏固組織的網路資安防禦。

資料來源: Benefiting From Security Automation With Managed Detection and Response

趨勢科技MDR(託管式偵測及回應服務)發現Emotet散播的Nozelesn勒索病毒載入程式

透過趨勢科技的託管式偵測及回應(Managed Detection and Response,簡稱MDR) 監控,我們發現了模組化的Emotet惡意軟體在散播Nymaim惡意軟體,後者接著會載入Nozelesn勒索病毒。我們2019年2月在一間飯店的監控端點上偵測到了這隻Emotet變種。為了近一步調查,我們取得了580個類似的Emotet附件檔,並收集從2019年1月9日到2019年2月7日間的資料。

威脅調查

在2月11日,我們開始調查在MDR監控端點所看到的一起Emotet偵測事件。為了便於分析,我們將此端點稱為EP01。在初步調查時我們注意到下列可疑檔案:

繼續閱讀

透過 MDR ( 託管式偵測及回應服務)檢視Ryuk勒索病毒-專攻擊大企業勒索超過60萬美元

趨勢科技的偵測及回應託管式服務(managed detection and response,MDR)及事件回應團隊調查了兩起似乎是獨立事件的Ryuk勒索病毒攻擊。

勒索病毒  (勒索軟體/綁架病毒)儘管數量明顯地​​減少了,但仍持續使用多樣化的新技術持續造成威脅。一個明顯的例子是Ryuk勒索病毒(偵測為 Ransom_RYUK.THHBAAI),它在2018年12月造成美國幾家主流報紙運作中斷而惡名遠播。早先在2018年8月的Checkpoint分析指出,Ryuk專門被用在針對性攻擊,主要目標是受害者的重要資產。在12月攻擊事件前的幾個月,Ryuk攻擊了數間大企業來勒索價值超過60萬美元的比特幣

趨勢科技的託管式偵測及回應(MDR)及事件回應團隊調查了兩起似乎是獨立事件的Ryuk攻擊。第一起經由以MikroTik路由器作為C&C伺服器的TrickBot營運商散播Ryuk,第二起則是攻擊者入侵管理員帳號來在網路內部散播Ryuk。加上2018年的事件,這些新攻擊可以看出惡意軟體背後黑手在擴大其範圍的強烈意圖。

案例1:利用被入侵的MikroTik路由器在組織內散播Ryuk和Trickbot

在第一起案例中,使用TrickBot的攻擊者透過Eternal Blue漏洞及收穫的帳密來進行橫向移動和散播Ryuk。

繼續閱讀