時至歲末年終,駭客犯罪集團也頻頻出招搶業績,光是11月初在短短一周內就有多家上市櫃公司通報企業伺服器遭駭客攻擊,而近期也有券商通報其下單系統遭駭客持已外洩的用戶帳密憑證嘗試破解登入。種種跡象顯示,不管是鎖定內部伺服器或從對外服務系統入侵,企業既有的資安防護機制對於難以招架當今駭客多變的攻擊手法反應能力不足。
正因如此,今年8月行政院頒布《資通安全管理辦法》子法修正條文,明文規定A、B級公務機關需部署「端點偵測及應變機制」以及「資通安全弱點通報機制」。且在10月,金管會才宣布將擬法要求上市櫃公司應揭露重大資安事件及其影響損失、因應措施等。足見日益難防的新型態網路攻擊事件,促使政府連連透過修法來提醒公、民營單位應強化防禦與通報機制。
由於現今的勒索病毒或新型惡意程式相當擅於隱匿且狡詐,只要稍作改變就能躲避防毒軟體偵測。且惡意程式還經常夾帶在合法軟體工具裡潛伏到目標企業中,傳統採用特徵碼掃描技術的防毒軟體難以比對偵測出此類新型惡意程式。因此在這次修訂的《資安法》及子法中,特別要求A、B 級公務機關應導入端點偵測及應變機制(EDR)技術,同時法條文件中對端點偵測及應變機制下了清楚定義,是指「具備對端點進行主動式掃描偵測、漏洞防護、可疑程式或異常活動行為分析及相關威脅程度呈現功能之防護作業。」
更明確來說,根據Gartner對EDR的定義,EDR需包含以下四大基本功能:偵測、遏止、調查、修正。採用行為分析技術的EDR能彌補傳統防毒軟體之不足,傳統防毒軟體較著重於預防,以比對特徵碼的方式預防中毒,而EDR不只能持續偵測網路連線行為,也能阻擋遏止可疑的連線服務,更提供調查與修正的功能,能與資料庫比對、觀察異常行為,留下記錄並進行通報。
因此我們不能再只以個別受害企業角度來看資安事件而應以整個供應鏈角度,一旦企業受害,其上下游相關往來合作企業與客戶都需有所警覺,才能避免受到波及。美國政府在連續多起針對政府機構與企業的網路攻擊事件後,今年5月總統拜登簽署一項「改善國家網路安全」的行政命令,內容包括建構更現代化與嚴格的聯邦政府網路安全標準,及制定標準強化軟體供應鏈安全等。以避免聯邦政府往來的軟體外包商或資服業者受駭,進而利用其IT系統產品作為入侵攻擊聯邦政府的跳板。
3S端點安全服務的EDR以VMware Carbon Black為核心(如左圖),除了內建次世代防毒能做到預防,更能做到偵測、回應,以及結合各種威脅情資達到預測效果,能提供完整的資安防護。
圖說:3S端點安全服務以VMware Carbon Black為核心,相較於傳統防毒能提供完整資安防護。
也正因為包含上述這些功能,因此Carbon Black亦可同時滿足資安法A、B級應辦理事項中對於「PC及主機每年一次惡意活動檢視健診」、「威脅偵測及監控管理機制」、「進階持續性威脅攻擊防禦措施」的建置要求。也能滿足金管會對於上市櫃公司需有資安事件偵測發現及通報機制的要求。
尤其EDR具備鑑識調查功能,不像過去企業若發生資安事件,須由專家透過特殊鑑識工具到現場搜集採樣,如今在系統內透過情資加上搜集完整的活動記錄,經由專業人員比對分析後,就能讓入侵軌跡清楚呈現。Carbon Black內建回應指引可協助資安人員進行事故處理,也能透過線上遠距方式把握時效快速調查跟處置。然而事件的調查分析是一門專業,需要能夠判讀EDR偵查反應出的事件訊息與情報,這往往造成EDR用戶導入門檻,其實也可以尋求提供資安專業服務商的MDR託管模式,3S端點安全提供EDR的託管服務(MDR),就如同簽訂保全服務一樣,協助有需求的用戶單位一次到位的資安維運監控與事件通報調查處理。
在EDR佈署方面,資安法明確要求「佈建範圍為PC及主機,如受限資源,可根據重要性,逐年完成導入」。我們3S技術團隊則建議,以重要性來說,導入順位最優先應為核心系統,如Windows、Linux重要伺服器主機及網頁、檔案、郵件、DNS等應用服務系統以及虛擬系統等。其次為管理系統,包括IT系統管理者的電腦,最後則是一般OA用途的個人電腦。
綜上所述,隨著勒索病毒及新型態惡意攻擊的猖獗,EDR的重要性已經不言而喻。正當資安法明確要求資安等級A、B級政府機關需導入EDR,相信不久將來其他主管機關也將參照資安法,要求透過EDR強化資安防護並落實事件的監控與通報。而3S端點安全服務猶如將專業調查專家分派到每個企業中,能提供更為即時、彈性、方便的進階資安鑑識與應變處置。
