透過行為分析模式 有效偵測與防護端點攻擊

蓋亞資訊資深顧問杜建樺。DIGITIMES攝

在2020年5月，台灣驚傳兩大油品公司遭駭客入侵、施放勒索病毒，每台主機勒贖3,000美元。蓋亞資訊資深顧問杜建樺指出，經過分析，背後禍首來自國家化、專屬化的駭客組織，有資源與本錢慢慢嘗試入侵，難以從單一面向做好防禦。

他認為更值得憂心之處，在於因疫情衍生混合辦公新常態，使員工必須利用家中電腦經由VPN連結公司環境；惟家中電腦可能由多人使用、且應用情境混雜，容易淪為駭客操控標的，間接成為企業資安破口。

再者不少人總認為企業IT人員必須猶如閃電俠，只要有任何修補程式發佈，就以最快速度完成更新。但以CVE-2021-44228的Log4j漏洞為例，由於可讓遠端攻擊者發送惡意Log訊息、執行任意程式碼，情節堪稱嚴重，故相關補丁在2021年12月10、13日二度釋出；只不過在11月底時即有駭客發動此漏洞攻擊，意謂IT人員當閃電俠還不夠，還要有能力回到過去，無疑難上加難。

「今日的資安攻擊是以躲避傳統資安防禦來設計，目標是竊取企業機敏資訊或將資料加密以進行勒索，」杜建樺說，唯今之計，企業須尋求更有效的偵測及即時回應方式，設法及早發現此類威脅、並予以阻擋。著眼於此，CrowdStrike跳脫防毒軟體慣用的特徵碼比對、IOC掃描、Hash值判別等傳統模式，轉而運用以IOA(Indicators of Attack)為基礎的行為模式，來偵測企業網路中的異常行徑，從而在第一時間加以封鎖，兼能防範已知和未知攻擊。

舉例來說，勒索病毒通常夾帶嘗試掃描、嘗試刪除備份區等行為模式，CrowdStrike一旦察覺這類情況，不論該勒索病毒是否為新變種，都能適時攔阻。

值得一提，因為CrowdStrike並非採取傳統防毒軟體的資料庫比對技術，故其Agent僅40MB大小，相較於一般防毒軟體的700~800 MB輕巧許多。另外更重要的，CrowdStrike是純雲端解決方案，所有Log直接上傳雲平台，不會經過任何Middleware，以致駭客沒有機會將它攔截或擊潰。

CrowdStrike創始於2011年，10年來累積監控逾6,000萬台電腦，已然匯聚龐大知識庫，因而在結合機器學習(ML)技術之下，即可輕易辨識各種應用程式的正常行為軌跡，若經由比對發現異狀、會再透過SOC人員確認是否為異常，如果是，便即刻同步到全球被CrowdStrike納管的端點設備，以真正幾近閃電俠的速度完成更新，不需等待IT人員執行補丁。

杜建樺歸納CrowdStrike的特點，首先它堪稱次世代防毒系統，偵測行為模式、而非辨認Hash值。其次能完整收錄所有Process執行，便於日後發生資安事件時進行回查。再者結合雲端SOC，在全球具有三座24/7監控中心，由大批專責人員協助檢視異常，若確實發現異常，就即時寫成ML規則，即時同步給所有用戶，可在企業IT或OT環境面臨端點攻擊時，提供最有效防禦。