每天都有許多未知的威脅會觸動端點偵測及回應 (EDR) 工具發出警示通知。這些處於灰色地帶的警示代表什麼意義,而所謂的託管式偵測及回應 (MDR) 又能提供什麼協助?
在網路資安的領域,事物向來黑白分明、界限明確,不是好就是壞。數十年來,資安領域的事務不是已知無害、就是已知不良,因此對資安人員來說相對容易監控和理解。但隨著威脅版圖不斷擴大與演進,昔日非黑即白的界線也開始出現大量灰色地帶。現在,每天都有許多未知的威脅會觸動端點偵測及回應 (EDR) 工具發出警示通知。這些處於灰色地帶的警示(Gray Alerts)代表什麼意義,值得我們深入探討。
灰色警戒(Gray Alerts)的問題
所謂灰色警戒是指網路資安偵測工具在發現某個檔案或事件出現從未見過的行為或特性時所發出的警示,例如,當偵測工具發現某個應用程式出現可能有害的行為時所發出的警示。像這樣的情況,有可能是企業的員工覺得這個應用程式很有用,所以願意承受該應用程式所帶來的一些不便 (例如忍受一些惱人的彈出式廣告),此時資安團隊可能就不深入追查這個應用程式。但問題是,應用程式所顯示的廣告很可能暗藏惡意程式,進而感染端點裝置。這就是為何企業資安團隊應該對這類灰色警示做進一步的分析,以確認其是否有害,並判斷是否該採取行動。
今日的威脅環境充斥著大量傳統資安解決方案所無法偵測的精密威脅。不過,這些威脅都有某些特性會讓 EDR 工具觸發灰色警示,例如:包裝在正常程式當中或者會蒐集某些資訊。企業若暫緩處理或完全忽略這類灰色警示,很可能會讓一些進階威脅偷偷潛入系統而不自知。而這些暗中潛入的威脅會進一步在系統植入或載入其他更嚴重的威脅 (如勒索病毒 Ransomware) 來讓系統遭到感染。勒索病毒是一種相當具破壞性的威脅,一旦成功潛入就會造成嚴重損害,包括大大小小的企業、政府機構,或者像 The Weather Channel 這樣的傳播媒體。這些未偵測到的威脅與未分析的灰色警示,都很可能讓企業機構暴露於資安風險,帶來財務損失、營運中斷及危害商譽的後果。這就是為何企業機構就算在預算不足與全球資安人才短缺的情況下,仍須設法取得強大的資安工具與專業技能。
延伸閱讀:勒索病毒襲擊美政府辦公室,迫使氣象頻道斷線
隨著威脅日益精密且越來越懂得利用各種複雜的躲避技巧,灰色警示的好壞判定也更加困難。此時就是採用機器學習(Machine learning,ML)技術的資安解決方案能發揮所長之處。有了機器學習技術,就能持續修正規則來更準確發掘及攔截全新或從未見過的威脅。不過,雖然機器學習是一項非常重要的威脅偵測輔助工具,但仍要搭配其他的技術才能建立一套強大的多層式防護。像 EDR 這樣的進階資安解決方案,若能搭配機器學習(Machine learning,ML)技術,便能發揮最大功效。有了這樣的工具,資安專業人員就能解讀並交叉分析灰色警示與其他網路事件之間的關聯。要徹底確保系統安全,來自網路、伺服器、電子郵件等各種攻擊管道的灰色警示,都應集中進行交叉關聯與分析。
但如果這些灰色警示的數量龐大會發生什麼狀況?
灰色警戒 這麼多、網路資安專業人才卻這麼少
網路威脅日益複雜,它們不僅能躲過傳統的防毒系統,而且數量越來越龐大。企業的 EDR 工具很可能每天都會產生大量的灰色警示,而這些警示都需要資安團隊進一步確認才能知道是否為惡意攻擊。但是當灰色威脅的數量過於龐大時,很可能會讓網路資安團隊疲於奔命 (若企業擁有自己的網路資安團隊可檢查這些灰色警示的話)。
在趨勢科技委託 Opinium 研究機構於 2018 年所做的一項調查當中,受訪的 1,125 資安長 (CISO) 有 50% 認為網路資安人才短缺是一項日益嚴重的問題。企業覺得越來越難找到適合的網路資安人才來協助他們遏止網路威脅。事實上,在參與這項調查的美國資安長當中,有 54% 表示他們在聘任具備專業技能的人才時遭遇困難。
根據 ESG 的「2018 年網路資安專業人員的人生與時光」(The Life and Times of Cybersecurity Professionals 2018) 一文指出,有 41% 的受訪者表示,他們的企業因無法招募到有經驗的網路資安專業人才而被迫必須招募一些較資淺的人員來加以培訓。缺乏資深的網路資安專業人員確實對企業不利,因為就算有了進階的工具,企業還需要具備這類工具使用經驗的人員才能真正發揮其效益。這份 ESG 研究也指出,有 47% 的受訪者承認人才短缺讓他們無法徹底發揮資安解決方案與技術的效益及潛力。
不過,就算企業擁有經驗豐富的資安專業人員,他們還是會感受到人才短缺的問題。因為,有高達 66% 的受訪者表示,人才短缺讓他們現有人員的工作更加繁重。所以,就算有了具備專業知識的人才,這些人還是因為要負責的工作太多而忙得喘不過氣,例如:他們必須從每天大量的灰色警示當中過濾出哪些真正需要進一步分析。也因如此,使得資安人員開始產生一種對警示通知感到疲乏的現象,結果最後可能乾脆將這些警示通知關閉,以免整天面對疲勞轟炸。
針對這樣的情況,託管式偵測及回應(Managed Detection and Response,簡稱MDR) 提供了一種解決之道,幫企業全天候監控警示通知,由經驗豐富的網路資安專業人員負責偵測及回應威脅,讓企業所部署的網路資安解決方案能發揮最大功效。MDR 團隊可幫企業交叉分析不同灰色警示之間的關聯,從中發掘真正的威脅。MDR 服務能為企業帶來高效率的進階威脅情報能力,比起企業自行建置這樣的團隊,不僅能節省成本,更可解決人才荒的問題。
原文出處:Breaking Down Gray Alerts: What Do These Mean for Businesses?