託管式偵測及回應 (Managed Detection and Response,簡稱 MDR) 服務可提供主動能力來偵測及徹底分析威脅,同時又能迅速回應資安事件。今日的網路威脅,不論是網路間諜或網路犯罪,其規模和複雜度都相當令人擔憂。研究機構指出,全球網路資安支出越來越高,其原因不外乎法規遵循要求以及企業希望提升偵測和回應威脅的能力。本文探討企業在強化其網路資安策略時所面臨的一些挑戰,以及託管式偵測及回應服務如何協助企業解決這些挑戰。
以下讓我們來仔細探討一下企業強化其網路資安策略時所面臨的三個挑戰:
挑戰一:傳統資安防禦無法有效應付今日威脅情勢
傳統的資安解決方案在面對威脅時大多採取被動回應的作法,而且通常只能監控單一途徑上的威脅,所以無法有效應付今日廣泛多樣的威脅情勢。2018 上半年,趨勢科技就攔截了 204 億次以上的威脅。其中,光虛擬加密貨幣挖礦惡意程式就成長了 141%。此外,一些近期的威脅也顯示,駭客會結合各種功能與躲避技巧,再配合一些惡意程式工具來提升其長期潛伏能力,例如:在銀行木馬程式與挖礦( coinmining )程式當中加入檔案加密功能、長期潛伏於企業內或者利用一些其他裝置 (路由器、印表機、掃描器或其他萬物聯網(IoT ,Internet of Thing)裝置) 來入侵企業系統或伺服器。
根據 SANS Institute 的報告指出,主動追蹤威脅 (也就是持續偵測及分析威脅和入侵跡象),可有效提升資訊安全以及事件應變的速度與準度,至少對大型企業來說是如此。
然而,許多企業機構或許並無主動追蹤威脅的資源或能力。要成立一個所謂的「資安營運中心」(SOC) 或是妥善運用「端點偵測及回應」(EDR) 工具,還是需要一些專業能力。
即使大型企業或許具備成立 SOC或採購相關工具的財力和能力,但也無法保證能夠有效提升其資訊安全與風險管理。
MDR 如何解決這項挑戰?
MDR 提供了企業所需的能力來揪出隱藏在企業內部的威脅並發掘其相關活動,例如:幕後操縱 (C&C) 通訊、企業內橫向移動,以及一些能夠避開標準資安防禦的躲避技巧。
MDR 可提供全企業威脅追蹤服務,掃瞄駭客入侵或攻擊跡象,進而提升防範類似威脅的能力。此外,MDR 還能讓企業善用資安廠商的深度研究和威脅情報,取得特定威脅的相關資訊與可採取行動的分析,讓企業迅速發掘並回應威脅。
好的 MDR 服務廠商應有能力分析系統與網路層次的行為與事件 (包括系統核心與使用者層次) 以及網路的 Metadata,讓企業很容易掌握並追蹤威脅的攻擊過程。
挑戰二:網路資安人才缺口讓企業暴露於威脅當中
許多企業在成長過程當中不免會採用或添購一些新的技術。對歹徒來說,這意味著他們有更多可利用的管道來竊取企業的敏感資訊或營運關鍵資料。這些威脅可能以令人難以預料的方式影響企業。
企業的需求與人員所具備的能力之間存在著相當的落差,而且這段落差正在逐漸擴大。根據一項估計,至 2022 年全球將有 180 萬個網路資安職缺。而且,儘管資安已是大家認知的一項優先要務,卻僅有 65% 的受訪企業確實具備網路資安相關的專業人員。而那些規模不足、無法負擔專責網路資安人員的企業就更不用說。
確保企業安全的重責大任,讓 IT 人員備感壓力,因為他們還要負責管理每天的日常營運:監控網路、伺服器及系統,好讓它們隨時維持運作。
至於採用 EDR 解決方案的企業,其挑戰則在於如何徹底發揮或有效率運用這類工具,這同樣需要一些技術。儘管一些進階的解決方案 (如以機器學習為基礎的解決方案與 EDR 技術) 或許有些幫助,但仍非萬靈丹。因為這些技術的成效需視技術的使用者而定。
MDR 如何解決這項挑戰?
MDR 結合了適當的人員、流程與技術。MDR 藉由全年無休的威脅分析師、調查人員與事件應變專家來協助您解決人力和成本上的挑戰。
資安警示、記錄檔及資料本身無法提供真正有用的資訊。他們或許能針對資安事件發出警訊,但企業及企業資安團隊必須從中理出頭緒、找出問題,並且判斷該如何處理。MDR 能幫您分擔威脅追蹤、調查與矯正、記錄檔彙整、警示分類,以及資安資料分析的工作。良好的 MDR 服務廠商能持續監控事件並發出警示,並且在事件或案件確認之後立即展開調查。
其服務內容必須包括定期檢討來發掘重大事件或案件,並微調偵測與回應能力的部署方式。MDR 服務廠商與客戶必須彼此配合,例如,一同檢討防火牆或入侵防護系統所擷取到的網路封包,或是找出無檔案式虛擬加密貨幣挖礦惡意程式從何入侵企業伺服器。
挑戰三:對警示感到麻痺,反而讓企業忽略了駭客入侵的警訊
資安警示或許可以在端點發現惡意程式時發出警訊,但卻無法明確指出惡意程式是來自漏洞攻擊、垃圾郵件或是惡意網站;是否被注入到系統執行程序當中;是否已經擴散至網路上其他系統。
警示的確認需花費相當的時間和人力,此外,資安團隊還可能搞錯警示的輕重緩急,被一些不重要的假警報搞得團團轉,或者不斷過濾來自不同資安產品的重複警示。
隨著警示的數量增加,想要立即判斷哪些需要優先處理,有時相當困難。例如,根據一項調查,有 37% 的受訪銀行資安主管指出他們的銀行每天都要處理大約 20 萬筆以上的資安警示。而最近的一項調查也指出,有 79% 的受訪網路資安人員覺得自己已經被資安警示通知所淹沒,更不用說還必須管理 IT 基礎架構的漏洞。
美國連鎖零售業者 Target 資料外洩的案例讓我們深刻體認解決資安人員警示麻痺問題的重要性,在該事件中,駭客竊取了 7,000 萬筆信用卡資料。儘管該事件的過程當中曾經出現多次警訊,但這些警訊好幾個月來都遭到忽略,原因是資安團隊早就收到過類似的警訊,但卻證實只是假警報。該事件的代價是:2.92 億美元的財務損失。
MDR 如何解決這項挑戰?
MDR 會交叉關聯多筆不同警示來發掘真正需要優先處理及解決的問題,消除警示麻痺的問題。
MDR 提供了進階威脅交叉關聯,可分析來自端點與網路的威脅資料,描繪出更清楚的攻擊輪廓:來自何處、如何擴散、是否已經波及相連的網路和系統。此外,經過確認的威脅警示,也不該只是一則簡單的通知訊息。好的 MDR 服務廠商會針對案件提供相關的入侵或攻擊指標、受影響的主機以及建議的矯正措施等等。
一個實際的例子就是:MDR 自動化威脅交叉關聯分析可能會判斷某個警示相對上無害,但事實上卻是某項更大攻擊的一環。好的服務可以縮短威脅的「逗留時間」,判斷某個通常不具備資安機制的裝置 (如印表機和掃描器) 是否感染了惡意程式或出現異常行為。
減輕了處理警示的負擔之後,企業的 IT 或資安團隊就能專心處理真正重要的工作,那就是:防範風險並迅速回應威脅。
MDR 有助於減輕網路資安人才不足的問題
企業還必須面對一些可能降低其資安工作成效的挑戰:威脅日益精密、IT 基礎架構管理日益複雜、網路資安人才短缺,以及排山倒海的資安警示。託管式偵測及回應能有助於解決企業的網路資安缺口,提供完整的技術,並由專門的研究人員和分析師來提供服務。
趨勢科技解決方案
趨勢科技託管式偵測及回應(managed detection and response,MDR)服務提供了警示監控、警示優先次序判斷、事件調查以及威脅追蹤服務。該服務會根據客戶的端點資料、網路資料與伺服器資訊來套用人工智慧模型,進而交叉關聯進階威脅並判斷威脅的優先次序。威脅研究人員會針對優先次序較高的威脅進行調查來判斷攻擊的範圍和擴散情況。他們會與客戶配合來提供詳細的矯正計畫。有了這項服務,客戶就不需自行聘僱合適的事件應變人力來深入調查資安警示。
趨勢科技 MDR 服務是以趨勢科技 30 年來的威脅研究為基礎,並由熟悉事件即時應變的專家為您服務。由於他們非常熟悉產品,因此能正確解讀企業與產業所發生的事件狀況。趨勢科技 MDR 服務專家藉由完整的資安技術來保護企業的 IT 環境,我們的專家皆擁有必要的工具和技術來分析威脅,協助企業隨時確保資訊安全。
原文出處:Bridging Cybersecurity Gaps with Managed Detection and Response