HOME > 最新消息> 品牌新訊

打破傳統主控臺條列呈現,端點攻擊事件調查也可以很酷炫

2019/03/25

【打破傳統主控臺條列呈現,端點攻擊事件調查也可以非常酷炫】臺灣EDR系統功能介紹

【以戰情室統整各項調查資訊】對於攻擊事件的樣貌上,奧義智慧將Xensor收集的資料交由CyCarrier平臺分析後,可在儀表板上同時呈現事件影響的範圍,以及依據時間軸解析經過,而右側的欄位,則是列出受調查的端點電腦細節。(圖片來源/奧義智慧)

市面上,投入端點偵測與回應(EDR)系統的資安業者,可說是相當多元,例如,宣稱能取代傳統防毒、主打次世代防毒(NGAV)的新創公司,還有提供鑑識服務業者,也將他們相關檢測工具產品化;而從端點防毒軟體起家的資安公司,現在幾乎都推出相關的解決方案。正因為如此,雖然這些廠商所推出的產品,都宣稱擁有EDR的功能,實際適用的環境卻相當不同。

從企業導入的角度來看,首要的考量,便是現有的端點防毒機制是否能夠一起保留下來,或者,要由獨立的EDR的端點防護機制來搭配防毒軟體。從目前3款市面上的EDR解決方案來看,其中的趨勢Apex One,核心就是防毒軟體,以包含EDR系統功能的端點防護平臺(EPP)為出發點,因此,企業若要導入Apex One,就要以該套產品來規畫整體端點防護架構。

由奧義智慧與TeamT5杜浦數位安全兩間新創公司所推出的解決方案中,則是以攻擊「事中」和「事後」的偵測為主,因此企業仍要搭配防毒軟體使用。這樣的概念,就好像企業請更專業的私家偵探,來協助調查難以發現的進階攻擊事件,但是,公司同時還是要在大門派駐警衛,先行排除看起來有問題的可疑人士。

其中,奧義智慧所推出的Xensor,比較接近多數EDR系統的做法,必須部署端點的代理程式,但TeamT5杜浦數位安全的ThreatSonar,採用的是非常駐型態的端點掃描軟體,訴求對於生產力影響極低,也不會有系統相容性問題。由於這款產品偏重在找出惡意威脅的能力,而在EDR的回應機制上,主要還是仰賴該公司的因應團隊,以便協助企業進一步排除威脅。

識別威脅的機制上,也是EDR產品的主要賣點之一,因此,這3家業者都主打其分析的方式。

像是奧義智慧,便強調由機器人自行模擬攻防,藉此突破鑑識專家的盲點;而TeamT5杜浦數位安全則是強調能夠由威脅的特徵中,歸納出攻擊者的手法,從而做為企業進行防禦的參考;至於趨勢科技採用了多層次的精準機器學習XGen,利用雜訊消除(Noise Cancellation)技術,增強機器學習識別威脅的準確率。

在呈現威脅的手法上,兩家新創公司也擺脫大多數EDR產品慣用的手法,尤其是奧義智慧最為獨特,採取了戰情室的概念來設計管理主控臺介面——不只以黑色為網頁介面的背景,更能同時提供大量的圖表,讓管理者能以各種層面檢視攻擊事件。

這兩款由新創公司推出的產品,不僅訴求具備EDR的功能,甚至在偵測威脅的手法上,能超越大多數的同類型產品,同時,它們的建議售價並不低,Xensor每臺電腦每年的售價為20,000元(未稅),而ThreatSonar則是在100人的環境下,每臺大約是18,000元,而趨勢Apex One每臺電腦每年為2,236元(未稅)起,選購EDR模組則要另外計價。

奧義智慧推出的Xensor,以戰情室手法,呈現極為詳盡的分析結果

在EDR端點上的偵察,奧義推出的解決方案,主要由Xensor執行相關資料的收集,再交由CyCarrier戰情中心進行分析。而在這樣的架構下,代理程式的執行偵測狀態,與端點電腦威脅情勢解析,分別由Xensor與CyCarrier的管理平臺提供相關的資訊,而這點與國外許多EDR產品試圖進行整合的策略,可說是大異其趣。

不過,該公司還是有其他面向的整合計畫,他們今年打算將上述兩個平臺,以及威脅情資系統CyberTotal,予以串接,目的是打造更為自動化的2.0版資安防護平臺。

從Xensor端點監控的方式來看,這套系統可分析的平臺類型,涵蓋了Windows、macOS,以及Linux等作業系統,此外,該公司也計畫支援iOS與Android等行動裝置的作業系統。而在部署的做法上,奧義智慧也強調Xensor提供了彈性,除了一般EDR常見的代理程式,這套系統也支援以網路掃描的方式,進行鑑識作業之用,對於尚未部署代理程式的電腦,Xensor也能執行初步檢測。不過,若是想要透過Xensor即時監控端點電腦的動態,企業就要安裝代理程式,才能持續收集電腦的狀態。

在偵測威脅的做法上,Xensor採取了複合式的做法,都是奧義智慧透過人工智慧訓練出的模型,藉此讓代理程式能採集到最合適的事件軌跡。原廠宣稱,Xensor能夠檢測的面向,包含能發現中性程式執行一連串惡意行為的現象,以及電腦內廣受信任的軟體(擁有合法數位簽章、企業白名單軟體等),執行許多不尋常的行為等等。若是出現合法使用者與駭客同時登入相同電腦的狀況,該系統也會識別為帳號遭到盜用。

雖然,Xensor是透過原廠的機器學習模型識別威脅,但對於能用防毒特徵碼識別的惡意程式,這套EDR代理程式還是能夠找出相關威脅。

但若是想要檢視更為完整的攻擊事件樣貌,企業則要透過CyCarrier執行進階分析,這個分析平臺提供整體關連圖,以及透過時間軸提供事件的軌跡,以供管理者各式面向的資訊。

不論是Xensor還是CyCarrier主控臺,都與大多數的EDR產品的呈現風格差異頗大,最顯著的部分,就是採用黑色頁面為背景。再者,則是在圖表上,大量使用了相當鮮艷的色調,對於管理者來說,相當容易識別,並能更塊找到需要優先調查的事件。

而在CyCarrier的儀表板上,更同時顯示大量的內容。雖然許多EDR可提供攻擊範圍與事件經過的關連分析,但通常都是分開呈現,要像CyCarrier能一併在儀表板列出相關資訊的做法,其實並不多,而且,CyCarrier更提供了其他的內容,讓管理者同時能得知想要了解的面向──包含了攻擊行為與檔案的關連圖表,以及攻擊屬性的雷達分析圖,還有攻擊事件月曆等等,因此,管理者一次能夠得到的資訊更為豐富。

奧義智慧也強調,他們訓練的分析模型,與市面上大多的EDR廠商有顯著的不同。

因為,該公司不光是分析大量的資料,同時為了避免鑑識專家判別威脅可能存在的盲點,他們也讓人工智慧模擬可能的攻擊,以此進行機器學習模型的最佳化。

這樣的概念,就像是人工智慧棋王Alpha Go的策略,藉著自己下棋快速成長,因此,奧義智慧也宣稱,他們系統所採用的人工智慧,不只能識別攻擊行為,還能協助企業調查攻擊案情。

若在威脅反應的作法上,Xensor目前能夠提供的是遠端因應機制,當中主要是終止正在執行的攻擊行為。相較之下,它並未具備國外EDR產品在近期開始提供的進階反應措施,像是阻斷受害電腦的對外通訊,或是恢復遭受攻擊前的正常狀態等。不過,奧義智慧表示,他們已經規畫未來會提供相關功能。

能快速得知端點電腦整體狀態

在Xensor的主控臺上,企業可了解所有端點電腦的安全狀態,這個儀表板列出了特別需要留意的高風險電腦,以及代理程式的運作狀態,是否上線運作,有多少臺電腦正在執行掃描等資訊。圖片來源/奧義智慧

文章來源: IThome 文/周峻佑
https://www.ithome.com.tw/tech/129302