透過行為分析模式 有效偵測與防護端點攻擊 智慧應用 影音
台灣玳能
西柏科技

透過行為分析模式 有效偵測與防護端點攻擊

  • DIGITIMES企劃DIGITIMES企劃

蓋亞資訊資深顧問杜建樺。DIGITIMES攝
蓋亞資訊資深顧問杜建樺。DIGITIMES攝

在2020年5月,台灣驚傳兩大油品公司遭駭客入侵、施放勒索病毒,每台主機勒贖3,000美元。蓋亞資訊資深顧問杜建樺指出,經過分析,背後禍首來自國家化、專屬化的駭客組織,有資源與本錢慢慢嘗試入侵,難以從單一面向做好防禦。

他認為更值得憂心之處,在於因疫情衍生混合辦公新常態,使員工必須利用家中電腦經由VPN連結公司環境;惟家中電腦可能由多人使用、且應用情境混雜,容易淪為駭客操控標的,間接成為企業資安破口。

再者不少人總認為企業IT人員必須猶如閃電俠,只要有任何修補程式發佈,就以最快速度完成更新。但以CVE-2021-44228的Log4j漏洞為例,由於可讓遠端攻擊者發送惡意Log訊息、執行任意程式碼,情節堪稱嚴重,故相關補丁在2021年12月10、13日二度釋出;只不過在11月底時即有駭客發動此漏洞攻擊,意謂IT人員當閃電俠還不夠,還要有能力回到過去,無疑難上加難。

「今日的資安攻擊是以躲避傳統資安防禦來設計,目標是竊取企業機敏資訊或將資料加密以進行勒索,」杜建樺說,唯今之計,企業須尋求更有效的偵測及即時回應方式,設法及早發現此類威脅、並予以阻擋。著眼於此,CrowdStrike跳脫防毒軟體慣用的特徵碼比對、IOC掃描、Hash值判別等傳統模式,轉而運用以IOA(Indicators of Attack)為基礎的行為模式,來偵測企業網路中的異常行徑,從而在第一時間加以封鎖,兼能防範已知和未知攻擊。

舉例來說,勒索病毒通常夾帶嘗試掃描、嘗試刪除備份區等行為模式,CrowdStrike一旦察覺這類情況,不論該勒索病毒是否為新變種,都能適時攔阻。

值得一提,因為CrowdStrike並非採取傳統防毒軟體的資料庫比對技術,故其Agent僅40MB大小,相較於一般防毒軟體的700~800 MB輕巧許多。另外更重要的,CrowdStrike是純雲端解決方案,所有Log直接上傳雲平台,不會經過任何Middleware,以致駭客沒有機會將它攔截或擊潰。

CrowdStrike創始於2011年,10年來累積監控逾6,000萬台電腦,已然匯聚龐大知識庫,因而在結合機器學習(ML)技術之下,即可輕易辨識各種應用程式的正常行為軌跡,若經由比對發現異狀、會再透過SOC人員確認是否為異常,如果是,便即刻同步到全球被CrowdStrike納管的端點設備,以真正幾近閃電俠的速度完成更新,不需等待IT人員執行補丁。

杜建樺歸納CrowdStrike的特點,首先它堪稱次世代防毒系統,偵測行為模式、而非辨認Hash值。其次能完整收錄所有Process執行,便於日後發生資安事件時進行回查。再者結合雲端SOC,在全球具有三座24/7監控中心,由大批專責人員協助檢視異常,若確實發現異常,就即時寫成ML規則,即時同步給所有用戶,可在企業IT或OT環境面臨端點攻擊時,提供最有效防禦。

關鍵字