近年來企業不斷深受進階持續威脅(APT)所困擾,儘管國內外知名APT解決方案都已進駐台灣市場,但對企業而言,「究竟有沒有受害?」、「是哪幾台系統受害?」、「從甚麼時候開始被入侵?」仍是最迫切關注的問題。
中華電信與精誠資訊共同開發的EyeQuila次世代APT解決方案正是為解答上述問題而研發。目前市場上APT解決方案可說五花八門,依分析標的可分為以下三類:分析檔案、分析網路流量或分析日誌記錄。其中大多數產品是從檔案或網路流量封包來做分析,而EyeQuila則選擇從日誌分析來切入市場。
透過回溯分析判斷入侵時間點
中華電信OOO游啟勝表示,以流量監測為主的解決方案在佈署架構上有其限制,通常只能以小網段來側錄流量,或只能側錄某區域,對擁有多座機房的大型企業而言,若要將流量全部側錄並維持系統效能,必須採用較高規格的主機,如此一來整體建置成本相當高。而EyeQuila雖以日誌分析為主要技術,但若企業某些網段沒有留存proxy log時,EyeQuila亦可支援混合模式,側錄該網段流量進行分析。
除了建置成本高之外,監控流量型的解決方案是即時監控當下流量並發出告警,此類技術無法保存全部流量,也就無法做到回溯分析,亦無法回答「是從甚麼時候開始被入侵?」的問題。然而此問題對某些受害企業而言卻相當關鍵,了解受害的時間點才能判斷企業機密智慧財產是否遭到外洩,而非僅能知道當下是否被入侵。
游啟勝強調保存日誌做回溯分析的重要,例如某些外部連線在很久之前就已開始進行,但直到最近該站才被列為惡意中繼站,若有保存日誌就能清查出受害的主機。此外,近期許多惡意程式在下載到本機端後就把自己刪除,或是將攻擊行動拆解成不同功能,光看單一行為很難辨識是否為惡意程式,這時透過回溯分析的技術較能掌握攻擊全貌,揪出惡意的連線。
專注連網行為分析偵測未知攻擊
相較於也是透過日誌分析的作法來偵測APT行為的資安事件管理平台(SIEM),EyeQuila的強項在於對未知可疑行為的偵測能力。游啟勝表示,現今APT攻擊之所以難被發現或難被完全清除,是因為它能持續對外連線並做更新,因此EyeQuila特別專注連網行為的分析。
針對不明連線能進一步判斷其通訊協定是否正常、是否被列在中繼站黑名單、從網域名稱查詢註冊者、連網頻率是否異常等多種威脅指標及進階行為模式來判定可疑行為。
而SIEM平台將各種日誌匯入後,主要進行黑名單比對,否則需透過關聯規則的撰寫或產品提供範本才能偵測可疑行為,游啟勝指出SIEM平台對於事件觸發關聯規則的頻率或次數往往需要企業自己設定,但EyeQuila可根據企業的網路應用環境,透過巨量分析自我學習並建議關聯規則的設定值。此外,SIEM平台對於所匯入的日誌格式以及欄位限制較多且固定,而EyeQuila則能彈性支援各種日誌格式。
與既有資安設備聯防阻擋 符合效益
談到APT,許多專家都表示無法靠單一產品來抵禦APT攻擊,透過聯防的機制才能有效偵測並處理。目前EyeQuila可支援Splunk與ArcSight,企業若已有前述兩種SIEM平台,可直接從此二平台上將日誌匯入EyeQuila做分析。此外,一旦系統偵測出可疑的攻擊行為要進一步阻擋時,EyeQuila亦可與企業既有資安設備如防火牆、代理伺服器、IPS串連,透過它們來進行阻擋,而不需額外投資其他設備。游啟勝表示,此種串連機制稍微會有時間差,但對於某些電子商務業者來說,即時阻擋恐怕會造成線上服務中斷,影響層面更大,因此一旦發現異常只要阻斷往外傳送資料的行為即可。
綜上所述,EyeQuila具備四大特色:第一、獨家連網行為的偵測機制,能有效攔截未知的可疑行為。第二、透過回溯分析可判斷入侵受害的起始點。第三、可採取混合的分析技術,降低整體建置成本。第四、採取兩層式架構,由log sensor收集資料,接著送到後端巨量資料分析平台進行集中分析,以找出事件關聯。同時,EyeQuila在佈署上支援可擴充的彈性架構,當資料收集量增加時,只要新增log sensor即可,不需全部更換為高規格型號設備,較符合經濟效益。