高階網路情資普及下放　NEITHNET主動式防禦資安

前幾個月全台實施三級警戒管制，所幸多數企業自2020年初開始，已陸續制定居家辦公或異地辦公政策，IT部門緊急啟動應變措施，讓員工透過VPN連線回到企業內網存取資源，團隊採用雲端服務協同工作、視訊開會，維持正常營運。

對於企業IT而言，騰曜網路科技NEITHNET總經理林岳鋒指出，最大的挑戰莫過於疫情期間，居家辦公的員工多數採用私人桌機或筆電處理公務，作業系統環境的資安風險根本難以控管，再加上為了讓各部門同仁得以順利透過VPN連線存取內網應用系統與資料，原本嚴謹的控管措施被迫放寬，極可能遭攻擊者利用漏洞進行滲透。

他強調，疫情再嚴峻終將會過去，待解除警戒回到辦公室後，IT人員仍須嚴肅面對各式終端裝置，乃至於整體IT基礎架構中潛藏的威脅，以免遭APT攻擊得逞，導致機敏資料外洩或關鍵應用系統被勒索軟體感染，釀成財務與商譽的損害。

騰曜網路NEITHNET「鐵三角」防護架構

奠基於在地化網路威脅情報，騰曜網路科技自主研發「鐵三角」的防護架構，首先是NEITHInsight網路威脅情資，其蒐集在地化的情報以建立IOC資料庫，並由資安實驗室的專家自主打造演算模型分析。

其次，NEITHSeeker提供MDR(Managed Detection and Response)服務，藉由客戶端部署EDR(Endpoint Detection and Response)代理程式，持續不斷地蒐集Windows、Linux、macOS等終端系統產生的日誌；第三則是由NEITHViewer打造安全資訊與事件管理平台，提高可視化能力，並運行AIOps分析大數據，輔助資安專家深入洞察、先發制敵。

MDR服務救援  解決資安人才荒

針對內部網路威脅監控，多數企業皆認同部署EDR代理程式的價值，因其可持續地蒐集端點環境產生的日誌與執行程序，提高能見度，故能在攻擊狙殺鏈(Kill Chain)活動進入橫向擴散階段時，及早發現異常，逕行阻斷，才不至於爆發資料外洩或檔案被加密勒索事故。

問題是，市場上眾多EDR工具，主要皆是用於輔助資安專家分析風險指標，一般IT人員通常難以熟練地運用。為此，騰曜網路科技自主研發了NEITHSeeker，提供MDR服務，搭配NEITHViewer平台掌握活躍度最高的網路威脅情報，進行全面監控，就連企業內網存在少數無法部署代理程式的裝置，亦可納入監控範圍，從網路封包解析亦可偵測發現活動狀態，以避免成為攻擊者跳板而不自知。

MDR服務提供企業IT藉由NEITHViewer平台設計的拓樸圖監控，萬一發生資安事件，IR團隊可藉此匡列感染範圍，進而逐一盤查與排除惡意程式。除了提高IR團隊工作效率，亦可由騰曜網路科技資安專家撰寫的腳本及機器學習演算模型，運用AI來輔助判斷威脅風險值。

主動遏制異常行為 免遭零時差攻擊

騰曜網路研發設計的NEITHViewer、NEITHInsight、NEITHSeeker鐵三角，除了完整蒐集內網所有產出的日誌資料，同時解析Netflow封包，以資安實驗室掌握的網路威脅情報為基礎進行交叉分析，即時偵測非典型攻擊活動行徑。

值得一提的是NEITHInsight網路威脅情報，可依據惡意攻擊的類別來提供Data Feed，例如勒索軟體、物聯網攻擊程式等關鍵字篩選出特定資料，再餵入既有資安設備平台，來提升APT攻擊威脅的偵測能力。

林岳鋒說明，Data Feed雖有效卻仍未廣獲接受的原因，首要在於價格過高，其次是內部須自建部署平台彙整大數據，同時還得要有專業資安開發人員撰寫演算法分析比對，對企業來說門檻相當高。

反觀NEITHInsight網路威脅情報的提供方式，可透過NEITHViewer入口網站讓IT部門操作篩選適用的情資，以免餵入過多資料量增添資安設備運算負擔，後續再定期更新即可持續維持防護等級，更重要的是，藉此降低門檻讓更多企業得以採用。