IBM+中芯數據雙強聯手阻斷駭客攻擊鏈
- 黎思慧/台北
-
2020年是勒索病毒猖狂肆虐的一年,許多知名中大型企業相繼淪為苦主,讓人不禁納悶,有些企業明明該佈建的資安設備都佈建了,為何依然擋不住勒索軟體或其他惡意程式的進犯?究其主因,在於許多設備欠缺對行為軌跡的偵測能力,面對一些依循著正常管道的病毒感染行徑,難以即時察覺。
為了補強諸如此類看似不起眼、但卻暗藏致命危機的盲點,IBM利用QRadar SIEM已備妥的大量API與SDK資源,積極展開廣結盟、延攬眾多生態系夥伴,協助客戶加速汲取更多元資料、獲取深入洞察,從而抵禦接踵而來的未知威脅。在此前提下,IBM2020年與提供「意圖威脅即時鑑識服務」(CoreCloud IPaaS)著稱的中芯數據締結合作關係。
中芯數據業務協理蔡政霖表示,中芯數據的IPaaS,堪稱台灣資安市場第一家符合Gartner定義的MDR(Managed Detection and Response)服務,擅長執行即時性的進階異常行為偵測與比對,可協助企業檢測出繞過傳統資安設備的威脅,並且迅速反應、遏制攻擊;而IBM QRadar長年穩居SIEM魔力象限的領導者,也獲得台灣眾多企業、金融機構和政府單位的青睞採用,主要即是看重其強大的日誌資料彙集與關聯分析能力。
因此IBM QRadar與中芯數據IPaaS的結合,可謂強強聯手,足以匯聚成為前所罕見的資安聯防能量。
透過異常行為分析,揪出潛伏的駭客樁腳
蔡政霖指出,IPaaS與一般MDR或EDR最大的不同,在於主要是依據異常行為進行分析,特徵碼僅是用來輔助,與友商產品慣用以特徵碼比對為主要架構的模式,著實大不相同;因此IPaaS可以蒐集到的日誌型態相對獨特、完整,舉凡所有的執行程式、電腦機碼、檔案存取記錄、記憶體上面的活動記錄,乃至於網路上面的活動記錄,都在搜索範圍之列。而這些素材,都是防火牆、IPS、防毒軟體偵測不到的,但卻是用來判斷未知病毒入侵的關鍵依據。
比方說,某知名製造商在初期要採購內網偵測與防禦服務時,進行了許多驗證。中芯數據MDR服務的驗證作業,當時在局部範圍的POC過程中發現有數台系統有遭人竊取帳號,並進行內網侵害的行為軌跡,甚至同時也成功偵測到未知勒索軟體的感染,中芯數據在事件當下馬上即時發出告警,並成功抵禦該範圍的所有侵害行為,最後該製造業購買了中芯數據的MDR服務。
蔡政霖說,假設類似事件出現在IBM QRadar與中芯數據IPaaS的聯防場域,更會有機會找出更多入侵管道。因為IPaaS擅長蒐集Process、Registry、File、Memory和Networking等相關活動資訊,即時送交後台監控中心進行分析,所以不僅有能力迅速揪出這台疑似遭人竊取帳號的設備,也能從它的對外連線行為,分析出可能的C&C中繼站IP,進而轉交給QRadar進行全面撤查,找出曾經連線相同IP的所有機器設備,藉由雙方促成的完整聯防,提前將駭客佈下的樁腳一舉成擒,讓駭客沒辦法走到大規模加密檔案資料的最後一步。
相較於其他SIEM,QRadar有一個獨特利基,便是在2019年新增提供一個名為「QRadar Network Insights」(QNI)的模組,具備Layer7解析能力,可以偵測網路流量封包裡頭的惡意執行檔或執行碼,所以即便是刁鑽難辨的IoT攻擊也難逃法眼;換言之如果駭客利用IP CAM或其他Smart Device埋藏後門、主動連線到外部C&C,肯定會在QRadar/IPaaS聯防架構下無所遁形。
司令官加巡邏兵,聯手遏制未知勒索病毒
蔡政霖比喻,SIEM像是資安治理的司令官,站在制高點綜觀整個大局,而MDR則猶如巡邏兵,負責監視端點暨OS層有無異狀,算是整體安全架構其中一項方案。
持平而論,無論哪一廠牌的EDR或MDR,都會有OS的限制,也就是無法支援某些較少見的作業平台,所以EDR/MDR即便在端點設備這個優勢主場,依然會有鞭長莫及的死角。這些死角,不保證一定不會被駭客染指,因此絕不能棄之不理,所以必須靠SIEM來補強。
IPaaS可將自己能力範圍內蒐集到的行為軌跡資訊,交由QRadar當做情資、執行關聯分析;如此一來,部分帶有罕見OS、且有類似異常行為特徵的設備,即便不在IPaaS搜索範疇內,仍可靠QRadar的聯防力量,逼使這些設備現形,不會繼續成為資安破口。
值得一提,根據2020年新出爐的資通安全責任等級分級辦法修正草案,新增納入「端點偵測及回應機制」項目,只要被列為A或B級的機關,都必須在兩年內建置完成MDR或EDR;而在該項分級辦法中,「資通安全威脅偵測管理機制」(SIEM或SOC)同樣也是A或B級單位必須導入的項目。
換句話說,依法同時需要導入SIEM和MDR的場域,其實並不在少數,所以IBM QRadar、中芯數據IPaaS彼此間確實有交叉推廣的契機,雙手亦可攜手把聯防的優勢,宣導給更多業主知道。
