專家詳解資安監控管理技術-端點防護 EDR & MDR
文:Vincent Teng 曾文憲 Fortinet認證培訓師 (FCT)
& 技術顧問
近年常見到有公司的端點伺服器被入侵,重要資料因而遭到竄改。也常看到有公司組織的端點遭到勒索軟體集團攻擊,機密資料被竊取或被加密,因而被勒索大量贖金,其往往也造成生產停擺、交貨延遲和品牌信譽受損等重大損失。
EDR端點偵測與回應
強化端點防護 監控可疑行為 對抗未知威脅 即時阻斷擴散
傳統的防毒軟體幾乎都是採取特徵碼比對模式,只能防止已知的病毒和惡意程式等,根本無力阻擋新型態的未知威脅。面對不斷變種的勒索病毒、郵件附檔夾帶的惡意程式及/惡意IP連結的資安攻擊則是束手無策。因此端點往往因而成為了駭客心目中最好入侵的管道。
EDR的完整名稱是Endpoint Detection and Response,顧名思義其主要功能就是為「端點」進行偵測與回應。EDR可以監測在端點上發生的可疑行為與程式,完整記錄蒐集並自動分析惡意行為軌跡 (數位跡證),並即時阻斷異常行為與可疑程式之運行,同時發出告警,通報資訊安全管理團隊。
減少攻擊面
FortiEDR在減少攻擊面方面做得非常出色,其能夠偵測未授權設備(Rogue)和物聯網設備(IoT),並管控應用程式的弱點和評級,提供基於風險的主動政策和虛擬補丁(virtual patching)。
行為分析,有效阻斷突破性感染
專利文件號 US2016149887A1
透過作業系統的記憶體堆疊追蹤分析,即使在感染後,FortiEDR也能即時阻斷惡意行為,阻擋惡意軟體對外通訊,以避免資料外洩、橫向移動和連線C&C伺服器 (Command and Control Server
(C&C),並可做到檔案系統存取防護,以避免檔案加密和竄改系統機碼等惡意行為。
如下圖中所示,即使利用Mortar Loader行程掏空(process hollowing)之規避技術工具,來將mimikatz偽裝成cmd.exe。當其執行時, 仍能被FortiEDR 及時檢測到並阻斷其不法之惡意行為 (mimikatz可利用漏洞從行程記憶體中取得明文密碼、雜湊、PIN及kerberos tickets等重要資料)。
即時阻斷破壞行為
此次資安攻擊事件的背景也十分有趣,因為它似乎對攻擊對像沒有任何商業目的,除了旨在造成端點上數據的不可挽回地破壞之外,沒有其他作用 (例如,資料竊取或加密,以要求支付贖金)。
HermeticWiper 樣本的行為觸發了 FortiEDR
安全策略中的許多規則。
由於 FortiEDR
豐富的 FortiGuard 威脅情報,已知樣本被標記為“KillDisk.NCV!tr”,此可執行文件在執行前就被FortiEDR即時阻斷。
雲端 AI 不間斷的安全評估與協同響應
FortiEDR 可支援持續地安全事件自動分類,並彈性支援基於設備群組和威脅等級的自動化處理腳本 (playbooks),以提供多種自動化的響應與修復動作。
第三方測試結果
#AV-Comparatives:
#獨立學術研究 (2022年1月)
· 希臘比雷埃夫斯大學資訊學系 (Department of Informatics, University of Piraeus, Greece)
· 希臘雅典娜研究中心資訊管理系統研究所 (Information Management Systems Institute of Athena Research Center, Greece)
|
√ = Successful Attack ◊ =
Successful Attack, Medium Alert • = Successful Attack, Minor Alert |
★ = Successful Attack, Alert raised ✗ = Failed Attack † & ⦿ = Mixed results |
#MITRE 延遲檢測
檢測延遲 = 未立即檢測出(可能造成網路安全有效性的破壞)
·
該解決方案需要由另外組件進行處理或使用者干預,以採取適當的行動,例如:
o 沙箱分析
o 手動取證
#FortiEDR
2022 MITRE ATT&CK 評估情況說明書
資安人員的困擾!?
🔰新型態的攻擊難以防禦
o 為什麼已經裝了NGFW和AV,還是會有勒索病毒感染的問題!?
🔰需要手動操作產品進行防護
o 看到資安告警,卻總是需要登入到不同的資安工具介面去處理,麻煩又易出錯!難道沒有方便又自動化的解決方案嗎?
🔰資安事件鑑識缺少資料
o 發生告警要去找資料查證,卻總是只有少少的日誌事件(Log),沒有足夠的資訊。
🔰資安告警需要即時分析
o 但反過來,當每天有太多日誌事件產生,卻缺乏好工具來找出關鍵問題,則是另一方面的痛點。
🔰缺乏資安專業人才
o 缺乏有經驗的資安人員,告警事故難以迅速有效處理
MDR託管式偵測與回應服務
資安告警免緊張,IR鑑識有人幫!
EDR保存端點的各種活動資料,需要分析才有效益,而當EDR發出可疑行為警報時,也需要專業技術團隊的及時協助。MDR服務(Managed Detection and Response) 便為此而生,其由專業資安技術團隊提供的全託管偵測與應變服務,進行資安事件的深入分析,並提供專業的事件分析報告,完整分析資安事件發生的過程。
MDR服務主要由經驗豐富的資安專家親自操刀監控與調查,結合EDR工具,進行即時偵測應變與通報,主動獵捕可疑威脅,將所有蛛絲馬跡與可疑行為交由專家調查分析後,直接提出處理建議,為企業提供全年不中斷24 x 7 的資安專家託管式偵測與回應服務。
FortiMDR 服務專為 FortiEDR 高級端點安全平台的客戶而設計。該服務為企業提供 24×7 持續監控 FortiEDR 檢測到的警報和威脅。Fortinet 專家審查和分析每個警報,主動尋找威脅,並採取行動確保根據客戶的風險狀況得到保護。該團隊還根據需要為事件響應者和 IT 管理員提供指導和後續步驟。
FortiEDR / FortiMDR使用情境與技術
🔰防範未知威脅
o 基於行為模式的機器學習(ML) 分析
o 內建 NGAV 防範未知的新型態惡意程式威脅
🔰24×7 資安告警與即時監控
o 不限次數與即時的事件處理
🔰紀錄與隔離威脅
o 完整記錄惡意行為軌跡與自動隔離受感染端點
🔰廣泛的作業系統支援與彈性的部署模式
o 廣泛的作業系統相容性及輕量化 Agent
🔰能與安全織網(Security Fabric)協作聯防,自動化回應劇本
o 例如:能與Fortinet NGFW - FortiGate聯防自動阻擋惡意程式
🔰台灣在地專業 FortiMDR 服務團隊
o 全中文化介面與台灣在地服務
MDR適用客群:
🔰極欲提升傳統防毒軟體的防毒能力,但缺乏資安調查分析專家的公司組織。
🔰無法處理過多資安告警,需要專家直接提供處理建議。
🔰需要提供專業的事件分析報告,完整分析資安事件發生的過程。
FortiMDR 服務 - IR鑑識團隊
🔰一群來自國內專業產官學資安單位,熟悉資安攻防技術專業人員
🔰主要成員曾於行政院國家資通安全會報技術服務中心負責資安鑑識工作
🔰長期對抗與分析,處理資安設備無法偵測的組織型駭客與惡意程式
🔰自主整合開發IR鑑識工具平台,提供主動事件分析與處理的 MDR 服務
📕學習推薦
0 意見:
張貼留言