MDR ( Managed Detection and Response)託管式偵測及回應服務 - 資安趨勢部落格

託管式偵測及回應服務( MDR)如何協助解決持續性的威脅?

2019 年 04 月 01 日2019 年 04 月 01 日趨勢科技 TrendMicro

我們將會介紹2018年美洲最常見的資訊竊取病毒、勒索病毒Ransomware (勒索軟體/綁架病毒)和挖礦( coinmining )病毒，以及這些威脅讓我們了解主動式威脅偵測和事件回應能力的重要。

2018年的威脅情勢凸顯出威脅偵測和主動式事件回應能力的重要。在我們的威脅情勢評估中，根據趨勢科技Smart Protection Suites的反饋資料加上偵測及回應託管式服務（managed detection and response,MDR）感知器的監測資訊將威脅分類為資料竊取病毒、勒索病毒及虛擬貨幣挖礦病毒，並提出以下見解：

資料竊取病毒是2018年北美最常見的威脅。拉丁美洲則是勒索病毒。
Emotet、Powload及惡意版Coothive是最常見的威脅，我們預期這些作者還會繼續進行開發。
勒索病毒數量下降但在策略及技術上變得多樣化。
虛擬貨幣挖礦病毒成為網路犯罪分子替代勒索病毒的方案。但勒索病毒不會被完全放棄，因為虛擬貨幣挖礦病毒屬於被動的模式，不像勒索病毒那樣容易賺錢（或帶來同樣大的損害）。
2018年遭受漏洞攻擊最嚴重的產業是銀行、科技業、醫療產業、製造業和媒體。
最常被嵌入惡意軟體的檔案類型是Microsoft Office、Java和Adobe相關檔案。
在拉丁美洲，銀行惡意軟體對巴西影響最大，因為該國很依賴網路銀行。
根據趨勢科技MDR服務的反饋資料，北美地區大多數的資料竊取病毒（即Ursnif和Emotet）透過電子郵件閘道、網路或端點到來。

北美地區的常見威脅

趨勢科技的Smart Protection Network資料顯示出資料竊取病毒仍是北美最常見的惡意軟體。虛擬貨幣挖礦病毒的散播可能是因為虛擬貨幣的流行，而勒索病毒的下降可能是因為網路犯罪分子發現可以用挖礦劫持或虛擬貨幣挖礦病毒作為替代方案。

繼續閱讀

企業資安面臨的三個挑戰,如何採用託管式偵測及回應 ( MDR ) 服務來防堵網路資安缺口?

2018 年 10 月 22 日2018 年 10 月 23 日趨勢科技 TrendMicro

託管式偵測及回應 (Managed Detection and Response，簡稱 MDR) 服務可提供主動能力來偵測及徹底分析威脅，同時又能迅速回應資安事件。今日的網路威脅，不論是網路間諜或網路犯罪，其規模和複雜度都相當令人擔憂。研究機構指出，全球網路資安支出越來越高，其原因不外乎法規遵循要求以及企業希望提升偵測和回應威脅的能力。本文探討企業在強化其網路資安策略時所面臨的一些挑戰，以及託管式偵測及回應服務如何協助企業解決這些挑戰。

以下讓我們來仔細探討一下企業強化其網路資安策略時所面臨的三個挑戰：

挑戰一:傳統資安防禦無法有效應付今日威脅情勢

傳統的資安解決方案在面對威脅時大多採取被動回應的作法，而且通常只能監控單一途徑上的威脅，所以無法有效應付今日廣泛多樣的威脅情勢。2018 上半年，趨勢科技就攔截了 204 億次以上的威脅。其中，光虛擬加密貨幣挖礦惡意程式就成長了 141%。此外，一些近期的威脅也顯示，駭客會結合各種功能與躲避技巧，再配合一些惡意程式工具來提升其長期潛伏能力，例如：在銀行木馬程式與挖礦( coinmining )程式當中加入檔案加密功能、長期潛伏於企業內或者利用一些其他裝置 (路由器、印表機、掃描器或其他萬物聯網（IoT ,Internet of Thing ）裝置) 來入侵企業系統或伺服器。

根據 SANS Institute 的報告指出，主動追蹤威脅 (也就是持續偵測及分析威脅和入侵跡象)，可有效提升資訊安全以及事件應變的速度與準度，至少對大型企業來說是如此。

然而，許多企業機構或許並無主動追蹤威脅的資源或能力。要成立一個所謂的「資安營運中心」(SOC) 或是妥善運用「端點偵測及回應」(EDR) 工具，還是需要一些專業能力。

即使大型企業或許具備成立 SOC或採購相關工具的財力和能力，但也無法保證能夠有效提升其資訊安全與風險管理。

MDR 如何解決這項挑戰？

MDR 提供了企業所需的能力來揪出隱藏在企業內部的威脅並發掘其相關活動，例如：幕後操縱 (C&C) 通訊、企業內橫向移動，以及一些能夠避開標準資安防禦的躲避技巧。

MDR 可提供全企業威脅追蹤服務，掃瞄駭客入侵或攻擊跡象，進而提升防範類似威脅的能力。此外，MDR 還能讓企業善用資安廠商的深度研究和威脅情報，取得特定威脅的相關資訊與可採取行動的分析，讓企業迅速發掘並回應威脅。繼續閱讀

會自我隱藏的DanaBot銀行木馬,竊取帳密並劫持受感染系統

2018 年 10 月 04 日2018 年 10 月 02 日趨勢科技 TrendMicro

偽裝成收據形式的銀行木馬DanaBot，是個具有隱藏能力的模組化惡意軟體。模組化惡意軟體難以偵測。比方說，一個組件可以設計成在另一組件沒有運行時就停止或不運作，因此可以讓惡意軟體組件長時間駐留在中毒系統內直到被執行起來。攻擊者也可以將組件設計成不需依賴其他組件就能自行執行。此時惡意軟體可以進行資料竊取，但同時讓其他功能組件保持隱藏狀態。

資安研究人員最近發現一隻名為DanaBot的銀行木馬（趨勢科技偵測為TROJ_BANLOAD.THFOAAH）會經由垃圾郵件在歐洲國家散播。以下是關於此威脅的資訊，使用者和企業該如何抵禦此威脅的作法，以及託管式偵測及回應（managed detection and response）服務如何協助對抗此威脅。

DanaBot 銀行木馬偽裝收據經郵件散播

DanaBot是用Delphi程式語言開發的銀行木馬，能夠竊取帳密並劫持受感染的系統。它會偽裝成收據檔案來透過垃圾郵件夾帶散播出去，執行時會利用PowerShell（一種系統管理工具）及名為BrushaLoader的Visual Basic腳本（VBScript）來取回和執行組件。

DanaBot第一次出現時會利用內嵌惡意巨集的Word文件檔，開啟時會透過PowerShell下載DanaBot。資安研究人員指出最新的垃圾郵件活動則開始會利用BrushaLoader，並且DanaBot本身也進行了更新。

[相關新聞：不斷進化的Trickbot加入躲避偵測和鎖住螢幕的功能]

繼續閱讀

您的託管式偵測及回應服務能做到這點嗎？

2018 年 06 月 25 日2018 年 06 月 22 日趨勢科技 TrendMicro

趨勢科技在北美地區推出了自家的「託管式偵測及回應」(Managed Detection and Response，簡稱 MDR) 服務。我趁著和 ESG 的 Jon Oltsik 碰面的機會，討論了一下我們的方案內容以及為何選擇在這時候推出。

隨著駭客攻擊越來越高明，企業必須改用一些更進階的偵測及回應技術來因應。有時候，一套偵測方法要能奏效，必須要能交叉關聯來自網路、伺服器及端點的威脅才能清楚掌握針對性攻擊的完整樣貌。很不幸的，由於網路資安人才的短缺或人員編制的不足，企業在分析大量資安警示及資料時常顯得力不從心。

趨勢科技託管式偵測及回應能為趨勢科技客戶提供進階威脅追蹤服務。客戶只需部署一套整合式端點解決方案就能記錄系統層次的活動。這些記錄資料會持續傳送至趨勢科技服務中心。客戶也可部署 (或已部署) 一套 Deep Discovery Inspector 裝置。這套裝置可記錄網路層次的活動與警示，並將資訊傳送至趨勢科技的 MDR 服務。趨勢科技的 MDR 分析師會利用這些資料來描繪出進階威脅的完整樣貌，包括威脅如何入侵企業、如何躲藏、如何在企業內蔓延。藉由交叉關聯這些資訊，MDR 服務還可發掘可能受到攻擊的工業 IoT 裝置。

這項服務提供了上線支援、7 天 24 小時警示監控、警示優先順序判斷與調查，以及威脅追蹤服務。趨勢科技將監控客戶的 Deep Discovery 和 OfficeScan 環境、查看資安事件來判斷威脅的根源/入侵點，並且可能的話，透過追蹤和調查來提供更完整的事件警示。此外，趨勢科技分析師還會協調客戶採取必要的矯正措施，提供建議的變更來遵從最佳實務原則以防範威脅。必要時，客戶也會與趨勢科技資安營運中心的資安分析師透過線上或電話直接聯繫配合。