智慧應用 影音
Microchip
DWebinar0615

高階網路情資普及下放 NEITHNET主動式防禦資安

  • 陳其璐台北

前幾個月全台實施三級警戒管制,所幸多數企業自2020年初開始,已陸續制定居家辦公或異地辦公政策,IT部門緊急啟動應變措施,讓員工透過VPN連線回到企業內網存取資源,團隊採用雲端服務協同工作、視訊開會,維持正常營運。

對於企業IT而言,騰曜網路科技NEITHNET總經理林岳鋒指出,最大的挑戰莫過於疫情期間,居家辦公的員工多數採用私人桌機或筆電處理公務,作業系統環境的資安風險根本難以控管,再加上為了讓各部門同仁得以順利透過VPN連線存取內網應用系統與資料,原本嚴謹的控管措施被迫放寬,極可能遭攻擊者利用漏洞進行滲透。

他強調,疫情再嚴峻終將會過去,待解除警戒回到辦公室後,IT人員仍須嚴肅面對各式終端裝置,乃至於整體IT基礎架構中潛藏的威脅,以免遭APT攻擊得逞,導致機敏資料外洩或關鍵應用系統被勒索軟體感染,釀成財務與商譽的損害。

騰曜網路NEITHNET「鐵三角」防護架構

奠基於在地化網路威脅情報,騰曜網路科技自主研發「鐵三角」的防護架構,首先是NEITHInsight網路威脅情資,其蒐集在地化的情報以建立IOC資料庫,並由資安實驗室的專家自主打造演算模型分析。

其次,NEITHSeeker提供MDR(Managed Detection and Response)服務,藉由客戶端部署EDR(Endpoint Detection and Response)代理程式,持續不斷地蒐集Windows、Linux、macOS等終端系統產生的日誌;第三則是由NEITHViewer打造安全資訊與事件管理平台,提高可視化能力,並運行AIOps分析大數據,輔助資安專家深入洞察、先發制敵。

MDR服務救援  解決資安人才荒

針對內部網路威脅監控,多數企業皆認同部署EDR代理程式的價值,因其可持續地蒐集端點環境產生的日誌與執行程序,提高能見度,故能在攻擊狙殺鏈(Kill Chain)活動進入橫向擴散階段時,及早發現異常,逕行阻斷,才不至於爆發資料外洩或檔案被加密勒索事故。

問題是,市場上眾多EDR工具,主要皆是用於輔助資安專家分析風險指標,一般IT人員通常難以熟練地運用。為此,騰曜網路科技自主研發了NEITHSeeker,提供MDR服務,搭配NEITHViewer平台掌握活躍度最高的網路威脅情報,進行全面監控,就連企業內網存在少數無法部署代理程式的裝置,亦可納入監控範圍,從網路封包解析亦可偵測發現活動狀態,以避免成為攻擊者跳板而不自知。

MDR服務提供企業IT藉由NEITHViewer平台設計的拓樸圖監控,萬一發生資安事件,IR團隊可藉此匡列感染範圍,進而逐一盤查與排除惡意程式。除了提高IR團隊工作效率,亦可由騰曜網路科技資安專家撰寫的腳本及機器學習演算模型,運用AI來輔助判斷威脅風險值。

主動遏制異常行為 免遭零時差攻擊

騰曜網路研發設計的NEITHViewer、NEITHInsight、NEITHSeeker鐵三角,除了完整蒐集內網所有產出的日誌資料,同時解析Netflow封包,以資安實驗室掌握的網路威脅情報為基礎進行交叉分析,即時偵測非典型攻擊活動行徑。

值得一提的是NEITHInsight網路威脅情報,可依據惡意攻擊的類別來提供Data Feed,例如勒索軟體、物聯網攻擊程式等關鍵字篩選出特定資料,再餵入既有資安設備平台,來提升APT攻擊威脅的偵測能力。

林岳鋒說明,Data Feed雖有效卻仍未廣獲接受的原因,首要在於價格過高,其次是內部須自建部署平台彙整大數據,同時還得要有專業資安開發人員撰寫演算法分析比對,對企業來說門檻相當高。

反觀NEITHInsight網路威脅情報的提供方式,可透過NEITHViewer入口網站讓IT部門操作篩選適用的情資,以免餵入過多資料量增添資安設備運算負擔,後續再定期更新即可持續維持防護等級,更重要的是,藉此降低門檻讓更多企業得以採用。