「託管式偵測及回應」(Managed Detection and Response,簡稱 MDR) 是一種資安委外服務,專為企業提供威脅追蹤及應變服務,其中最重要的就是專業網路資安人才的投入:由資安廠商的研究人員和工程人員來幫 MDR 服務的客戶監控網路、分析事件、回應各種資安狀況。
MDR 能解決現代化企業面臨的一些重大資安挑戰,最其中最顯而易見的就是填補企業網路資安人才的空缺。一些較大型的企業或許有能力成立並訓練自己的專責網路資安團隊來執行全天候的威脅追蹤監控,但大多數的企業在資源有限的情況下卻很難做到這點。這樣的情況在那些經常成為網路攻擊目標、但卻缺乏充足人力的中大型企業更是如此。
然而,就算企業願意投入這樣的人力和財力,也不容易招募到合適的資安專業人員。根據研究,2016 年全球未填補的網路資安職缺約有 200 萬個,而且預計到 2021 年該數字將成長至 350 萬個。
繼續閱讀
利用PowerShell散播惡意軟體並不件新鮮事;事實上,有許多無檔案病毒(fileless malware)都使用了這種作法。我們經常會看到這類型的威脅,趨勢科技的行為監控技術也能夠加以主動偵測和封鎖。比方說我們有智慧型特徵碼能夠主動偵測惡意PowerShell腳本所建立的排程工作。我們還有網路層規則來偵測SMB漏洞攻擊、暴力破解攻擊和非法虛擬貨幣挖礦( coinmining )連線等惡意活動。
不過這些活動的突然飆升仍然並不常見。根據趨勢科技 Smart Protection Suites反饋資料顯示,最近出現了一波針對中國的攻擊。攻擊活動在5月17日發現,現在仍在進行中;在5月22日到達顛峰後就一直保持穩定。
進一步分析後讓我們認為這些都屬於同一波的攻擊活動,行為模式跟之前用混淆PowerShell腳本(名為PCASTLE)散播門羅幣挖礦病毒的攻擊類似。但前一波的攻擊已經擴散到了日本、澳洲、台灣、越南、香港和印度等其他地區。現在似乎正將目標再度針對中國,跟之前被報導的首波攻擊一樣。
這波新攻擊使用了一些新手法。首先,它用了多個進行不同工作的組件來以各種方式散播虛擬貨幣挖礦病毒。它還使用了多層的無檔案技術,透過惡意PowerShell腳本下載其他病毒(通過排程工作)並只在記憶體內執行。最終的PowerShell腳本也是在記憶體內執行,用來進行所有的惡意行為:SMB漏洞攻擊(EternalBlue(永恆之藍))、暴力破解、傳遞雜湊(pass-the-hash)攻擊及下載其他病毒。
繼續閱讀過去幾週以來,全球有超過 12,000 個 MongoDB 資料庫遭到駭客清除,而使用者若想復原這些資料庫,就必須支付贖金給歹徒。
這樣的勒贖事件並非第一次出現,MongoDB 和類似的企業多年來一直不斷遭到這類攻擊。根據 Bleeping Computer 的報告指出,這起最新的資料庫受害案件是一位名叫 Sanyam Jain 的獨立資安研究人員所發現。Jain 利用 BinaryEdge 連網裝置搜尋引擎,發現了 12,564 個遭到清除的 MongoDB 資料庫。此外他還發現,這些攻擊的背後主謀很可能是 Unistellar 駭客團體。
Jain 最早是在四月份開始注意到這些攻擊,他發現有某個遭到清除的 MongoDB 資料庫當中含有一封簡短的勒索訊息。在經過進一步的追查之後,他發現了更多被清除的資料庫,以及兩個歹徒留下的電子郵件地址,這些地址指向 Unistellar 駭客集團。
該報告指出,駭客很可能是利用 BinaryEdge 和 Shodan 這類搜尋引擎來找尋暴露在網路上的 MongoDB 資料庫,並且採用自動化攻擊。其自動化腳本在找到並連上這些缺乏安全保護的資料庫之後,就會將資料庫清除。而且在清除資料之前會先建立還原點,以便能在受害者支付贖金之後將資料還原。之前的 MongoDB 攻擊案例都直接要求受害者支付一定比特幣 (bitcoin) 的贖金,但最近的這起攻擊卻只留下電子郵件聯絡地址,以便受害者能和歹徒聯繫並商量贖金。
繼續閱讀過去幾年裡,所謂的自動化,或是將負擔沉重的資安相關作業委派給機器的流程,開始在組織之間得到不少支持度。根據 Ponemon Institute 最近公佈的研究指出,參與研究的組織中有將近 79% 早已開始使用自動化,或有意及早採用自動化,以協助保護企業免於網路威脅。
但採用自動化技術真的是建構有效網路資安堡壘最重要的工作嗎?自動化能適當保護企業,讓企業有能力自己抵禦日益增加的安全威脅嗎?
運用自動化這類的進階技術,便能將大量日常的網路資安作業交由機器執行。根據趨勢科技在今年 3 月公佈的 Opinium 調查指出,受訪的資訊安全長 (CISO) 中有 68% 相信,自動化有助於減少業界人才短缺的問題。此外,相當高比例的 CISO 受訪者 (約 59%) 認為,像是機器學習(Machine learning,ML)等許多人工智慧技術,都有可能減緩人才短缺的問題。
[請參閱:困擾半數組織的網路資安人才短缺問題]
但組織若想從自動化和人工智慧技術中獲益,內部必須設有專業人才,協助組織分析結果,提供為了改善組織的網路資安態勢,該採取何種行動或該作何決定的相關認知與見解。
但隨著資安威脅數量不斷增加且持續精進,缺少專業人才來抵禦資安威脅的問題只會日益加劇。截至 2018 年為止,網路資安產業的缺工人數已來到將近 300 萬之多。
根據 Ponemon 的研究指出,56% 的企業內部沒有技術純熟的網路資安專家駐守。這也是多數企業無法採用自動化技術的原因,因為公司內沒有人可以幫他們設定、操作及分析資料。
隨著網路資安人才短缺的問題持續擴大,組織暴露在各種資安威脅之下,營運、財務和聲譽都有可能受損。但只要部署像託管式偵測及回應(Managed Detection and Response,簡稱MDR) 這類的資安服務,公司便能受到由威脅分析師、調查員和事件回應專家所組成,全天候待命的網路資安人員的保護。MDR 專家能讓自動化工具運行,提供威脅獵捕與調查、分析結果等。
[請參閱:透過託管式偵測及回應服務發現 Emotet 散播的 Nozelesn 勒索軟體載入程式]
MDR 服務讓企業在彈指間就能輕鬆找出進階威脅之間的關聯。儘管監控和偵測惡意軟體的龐大工作量都可交由自動化完成,但仍能透過 MDR 取得每次攻擊的詳細資料,MDR 團隊可提供分析,指出攻擊來源、其感染鏈,以及是否感染了組織的網路或系統。最重要的是,團隊可提供建議的減緩策略。
趨勢科技的託管式偵測及回應服務團隊除了提供資安事件的即時回應,還能彈性運用資安解決方案,揭露該類事件,將進階 AI 和自動化技術的運用範圍最大化,有效關聯資料,說明資安警示並找出其優先順序,同時協助鞏固組織的網路資安防禦。
資料來源: Benefiting From Security Automation With Managed Detection and Response
