智慧應用 影音
topoffice
DWebinar0720

實作XDR平台功能 及時梳理駭客事件來龍去脈

  • 蕭怡恩台北訊

Trend Micro Vision One全面掌握網路、端點、雲端威脅。趨勢科技
Trend Micro Vision One全面掌握網路、端點、雲端威脅。趨勢科技

回顧8月中舉行的趨勢科技LetsTalk Online線上系列,當時提及重要概念,企業長期倚重的一套一套資安監測工具,好比各自獨立的資訊穀倉,很難橫向串聯所有訊息,完整勾勒駭客攻擊鏈;唯有借助「延伸式偵測及回應」(XDR),方能海納百川,從端點、E-mail、伺服器、雲、網路、IoT等不同Log理出頭緒,實現全面性威脅偵測。

鑒於愈來愈多企業對XDR深感興趣,亟欲探知實作之道,趨勢科技於日前舉辦「XDR平台功能實作展示」線上講堂,特別模擬駭客攻擊步驟與階段,逐一驗證Trend Micro Vision One的重要功能。

趨勢科技資深技術顧問吳宗霖。趨勢科技

趨勢科技資深技術顧問吳宗霖。趨勢科技

還原駭侵事件細節  迅速執行正確回應

趨勢科技資深技術顧問吳宗霖指出,該公司提供的XDR平台Vision One,可匯聚端點、雲端、Server、網路、E-mail乃至IoT或Mobile等不同來源感測器,將對應的Detection Log、Activity Log收納於Data Lake,再結合情資關聯比對,識破駭客合法卻不合理的行為,為用戶提供精準警訊,以利及早因應與處置。

當用戶登入Vision One,第一眼會看到Security Dashboard中控介面,藉此洞察前十大風險用戶,連同這些登入帳號的裝置、可能潛藏的對應風險,便於用戶即刻進行全面檢視。

值得一提,Vision One提供代理程式的下載,支援範圍涵蓋Linux、Mac、Windows等多重平台,可與趨勢科技的EPP防毒軟體整合無虞。此外Vision One還提供Detection Model,源自趨勢科技對不同駭客組織及攻擊手法的理解、打造而成的模型,用於與企業環境的Log進行比對,接著Trigger出風險評分,讓企業即刻辨別資安事件現狀。

此外Vision One還蘊含一些重要機制。如OAT模型,負責綜整各個Detection Model的關聯分析結果,形成加總分數,產出精準的風險報告;接著經由Workbench發送精準告警,並透過視覺化界面還原事件全貌,包括駭侵時間點、影響的電腦範圍、駭客使用的帳號及運用哪些攻擊技術,乃至駭客下載哪些執行檔案、執行哪些參數都鉅細靡遺,有助用戶迅速瞭解駭侵事件的細節與過程。

「藉由Vision One,你可以直接收取到想要分析的可疑檔案,然後更完整、快速、方便地進行回應,」吳宗霖說,但即便擁有強大工具,也需要由經驗豐富的資安管理者來協助判斷,考量這樣的人才相對缺稀,所以趨勢科技提供台灣唯一的Managed XDR(MDR)服務平台,由趨勢的專家幫忙做託管,以利用戶確實達到提早預防的成效。

十大攻擊手法  通通難逃Vision One法眼

本次講堂的後半段,主要進行Vision One的功能驗證。藉由駭客入侵的情境假設,一邊闡釋駭客採取的「控制感染電腦」、「情資探查」、「資料蒐集」、「傳送機密資料回駭客電腦」等不同步驟,以及可能運用的10個手法,另一邊同時對照Vision One所能呈現的檢視結果,帶給觀眾攻防臨場感。

接著依序演繹「System Service Discovery」、「Credential Dumping」、「Query Registry」、「Create Account」、「Service Execution」、「Disabling Security Tools」、「New Service」、「Masquerading」、「Winlogon Helper DLL」及「Data Compressed」等10個攻擊手法;完整描述駭客如何利用一些合法命令與工具,從清查電腦執行的服務做起,接著竊取電腦的帳密、創建專屬於駭客的Account、連線至其他電腦執行任何操作、停用電腦的安全工具、建立新服務來帶起後門工具、利用似是而非名稱來混淆使用者視聽,以及設法在不登入的前提下執行PowerShell,最終藉由壓縮打包方式送走資料。

針對上述各種手法,Vision One都能逐一破解。主要是基於Vision One可完整收納包含EDR、NDR、E-mail、Server等等多面向的感測資訊,不論看似正常異常的行為軌跡都能完整收錄,因此用戶可以隨時善用偌大Data Lake,有效執行事件的主動管理與調查分析。

像是利用「sc query state=?all」清查有沒有人在做Service Discovery,從OAT揭示的Critical或High事件中理解有沒有人執行Process Dump工具,直到檢視有沒有人私自安裝WinRAR、打包一些目錄與檔案甚至做出上傳動作,凡走過必留痕跡,所有脈絡都能從Vision One平台上清楚勾稽出來。

更重要的,企業除可利用Vision One界面來進行事件檢視,一旦在Workbench上Trigger任何事件,Vision One就會主動發出通知,提醒使用者做相對應的處理;所以企業並不需要時時關注Vision One中控台,即可適時掌握駭侵資訊。