妥善處理資安警訊 即時處理資安事件

中芯數據資深資安顧問吳耿宏。

任何的資安事件，其實都有值得學習的地方。中芯數據資深資安顧問吳耿宏以第一銀行ATM盜領事件為例指出，遭駭過程不只一天兩天，卻沒有任何警訊，而且在這麼漫長且多階段的攻擊流程中，現有設備卻完全沒有對抗能力，由此可見要找到被駭客控制的主機，其實就像大海撈針，是一件相當困難的工作。

但一樣的問題，其實可能早已發生在每個企業。吳耿宏指出，大多數企業的主要資安投資都是放在辦公室環境及對外的連接上，但如果是內網伺服器被入侵後，欲對外連網時，內網伺服器必須先連到辦公室的中繼站，就算資安機制偵測到惡意程式，也可能會以為是辦公室的主機變成中繼站有問題，導致一般的資安防護機制，無法處裡存在於內部網路的威脅。

吳耿宏還發現，資安管理人員的觀念相當兩極化，建置越多資安設備的企業，越會覺得內部網路不安全。但因為企業往往還無法驗證資安設備傳來的警訊，只好充滿懷疑，卻不知道問題在哪裡，更遑論沒有警訊的入侵事件。

對資安人員而言，最難回答的問題之一，恐怕還是要如何在所有設備中，非常快速的判斷哪些主機可能有問題。吳耿宏指出，資安健診的人力評估一天只能檢查4台主機，但利用鑑識方式來處理20台主機可能更要花到1個月，除非主機上有自動化的分析機制，否則要找到有問題的行為，將會是相當花費人力與金錢的工作。

如果可以利用記憶體鑑識技術，透過在端點直接分析記憶體內程式本體的方式，偵測所有已知與未知的惡意程式，如Active Defense－惡意程式獵人，可快速從大量主機的記憶體與硬碟中收集與分析關鍵的數位特徵(DDNA)，還可立即修復遭感染的主機。

用於APT的惡意程式之所以難發現，惡意程式會加密也是重要原因之一，但由於惡意程式在執行時一定會解密，所以只要程式執行後，就可以透過記憶體來分析，快速找出記憶體中可疑程式，再根據功能判斷分數，無論是rootkits或是零時差攻擊這類針對性的惡意程式，都將無所遁形。

此外，由於很多惡意程式都會有用來逃避偵測的特殊機制，需要使用DDNA的強大分析技術，這種數包含強大的惡意程式基因資料庫，可以分析2,200以上的惡意程式特性，再透過逆向工程分析，可快速發現惡意程式與攻擊手法，提供一個廣泛與深度瀏覽實體記憶體與反組譯的程式語言的高可視度工具，亦可檢視開啟的檔案、sockets、機碼與文件分段等資訊。

另外，面對針對性的入侵，如果不是僅僅抓到惡意程式，更希望可以迅速追溯整個攻擊過程，分析入侵來源與過程。就更需要全面且持續的監控分析能力，才能真正消滅內部威脅，透過Sentinel具有強大的資料收集能力與巨量資料分析功能，可部署於整個企業，提供永不中斷的端點監控能力，除了自動化的端點行為分析，以及即時分析歸納並定位出攻擊點外，遭到攻擊時還可即時回應與處置。

吳耿宏以透過電子郵件的EXCEL附件檔案來進行的真實攻擊為例，由於在隱藏資料夾中，有可疑程式被執行，就是被定義的可疑行為，這種行為往往是一連串的事件所組成，如第一隻惡意程式甚至會等待90分鐘再開始執行，是常見的躲避砂盒分析技巧，而且還會連到其他的未知中繼站，去下載其他惡意程式，此案例中，並分析如何找出全部的未知惡意程式與未知的中繼站(C&C)。

吳耿宏強調，持續偵測每一個端點，即時自動發出可疑活動的警訊，再配合專業人員的即時鑑識與分析，即時分析可疑的攻擊行為，才能找出IT人員想知道的問題解答，進而確保系統安全。