Fidelis全面防禦進階威脅 消弭FinTech風險
- 魏淑芳
-
近年來「金融科技(FinTech)」蔚為風潮,不論金融機構或網路科技業者,都亟思運用資訊科技、產品或新的通訊協定,搭配新的商業模式,孕育出新型態借貸、支付、數位貨幣、財富管理等等服務。
不可諱言,這些創新服務固然富含潛力,但也蘊含難以逆料的風險,只因礙於傳統資安工具的「視野」不足,無法辨識許多新的未知事物,使駭客成功闖關的機率急遽增加。
長期鑽研主動威脅防禦(ATD)、網路駭侵鑑識技術的Fidelis Cybersecurity,其亞洲區技術顧問邢廣耀表示,傳統資安產品的檢測面向欠缺廣度,僅聚焦在諸如80、443等常見端口,及已知通訊協定,不僅難以抵擋零日攻擊,對於惡意程式在企業內部橫向擴散,也往往束手無策。
邢廣耀點出現有防禦機制的一大盲點,儘管不少企業已佈建Anti-APT機制,藉以偵測惡意攻擊,同時部署資料外洩防護(DLP)系統,避免重要數位資產旁落他人之手,但Anti-APT只看得懂惡意程式,無能力辨析資料檔案內容,而DLP看得懂資料內容,卻無法連結惡意行為做關聯判斷,隨著不同系統各司其職,使整體防禦架構出現偌大缺口,無異給予駭客上下其手的空間。
持平而論,駭客並非魔術師,不可能瞬間達到竊取資料目的,而需歷經滲透、遠端遙控、橫向感染、資料洩漏等多個階段,此即為威脅生命週期。
Fidelis代理商中飛科技產品經理張建偉說,綜觀大多數資安設備,防禦能力普遍落在上述第一或二道階段,唯有Fidelis深諳駭客的思維脈絡,繼而憑藉對於未知協定的辨析、對於內部橫向感染的鑑識與阻斷等多項獨門實力,巧妙填補傳統防護技術的缺口,得以形成全面性視野,有能力針對完整威脅生命週期執行偵測、防禦及鑑識調查。
加快速度 奪取駭客珍貴資源
Fidelis提供兩大解決方案,一是Fidelis Network,另一是Fidelis Endpoint。Fidelis Network箇中蘊含APT滲透鑑識防禦、DLP資料防盜鑑識、網路資安鑑識分析等三大關鍵技術,其間不論Anti-APT或DLP等鑑識機制,範圍都含括所有端口(0?65535)、所有已知通訊協定,並善用已知協定當做Decoder,以解析每個封包對應的通訊協定內容,研判是否為經過駭客竄改的未知協定,但無論是已知或未知內容,Fidelis皆完整保存元數據(Metadata),以利於日後做時光回溯調查,還原駭客活動的全部軌跡。
邢廣耀強調,針對前述Anti-APT、DLP各自單兵作戰下的缺憾,Fidelis別出心栽在DLP中安裝APT鑑識防禦機制,使DLP不僅能即時偵測所有敏感性資料的移動軌跡,同時亦可結合惡意攻擊資訊,一併執行關聯分析,所以縱使駭客巧妙運用帶有ASP或PHP的惡意程式碼,意圖躲避沙箱檢測、潛入企業伺機竊取機密,終究難逃法眼。
另有人好奇,Fidelis可做到時光回溯調查,但一般封包側錄工具卻不行,其間差異為何?邢廣耀解釋, Fidelis收錄對象為Metadata、非完整封包資料,不僅有助於大幅節省儲存成本,更使鑑識調查所需查詢的資訊量急遽縮減,故能快速產出鑑識結果。
「『時間』正是駭客最珍貴的資源,」邢廣耀說,Fidelis目標很明確,便是盡力縮短威脅偵測、調查、反應與確認的時間,進而奪取駭客的寶貴資源。
至於另一主力產品Fidelis Endpoint,顧名思義其職責為端點防護,主要功能在於自動化收集所有端點的完整資訊Metadata,統一收納於管理中心,以利結合Fidelis Network網路威脅告警、SIEM告警或其他威脅情資,迅速進行關聯分析,緊接著將有問題的端點予以隔離,從遠端清除惡意Processes及還原,終至大幅提升事件反應速度,及早令駭客攻勢戛然而止。
