觀點

高階網路情資普及下放,NEITHNET主動式防禦捍衛資安

2021 / 08 / 10
編輯部
高階網路情資普及下放,NEITHNET主動式防禦捍衛資安
近期本土COVID-19疫情爆發社區傳播,全台實施三級警戒管制,所幸多數企業自去年(2020)年初全球大流行起,已陸續制定居家辦公或異地辦公政策,IT部門緊急啟動應變措施,讓員工透過VPN連線回到企業內網存取資源,團隊採用雲端服務協同工作、視訊開會,以維持正常營運。
 
騰曜網路科技(NEITHNET)總經理林岳鋒指出,對於企業IT而言,最大的挑戰莫過於疫情期間,居家辦公的員工多數採用私人桌機或筆電處理公務,作業系統環境的資安風險根本難以控管,再加上為了讓各部門同仁得以順利透過VPN連線存取內網應用系統與資料,原本嚴謹的控管措施被迫放寬,極可能遭攻擊者利用漏洞進行滲透。
 
他強調,疫情再嚴峻終將會過去,待解除警戒回到辦公室後,IT人員仍須嚴肅面對各式終端裝置,乃至於整體IT基礎架構中潛藏的威脅,以免遭APT攻擊得逞,導致機敏資料外洩或關鍵應用系統被勒索軟體感染,釀成財務與商譽的損害。

掌握高活躍度情資 提高洞察威脅精準度

成立於2020年的騰曜網路科技,創辦人與資安團隊成員皆為台灣資安界長年負責研發資安產品技術的專家,設有專責資安實驗室(NEITHCyber Security Lab)專精研究網路攻擊行為,基於自建的流量清洗中心,不僅可即時掌握網際網路正在發生的攻擊活動行為模式,亦協同國內大型遊戲平台商交換情資,擁有豐富的在地化網路威脅情報(Cyber Threat Intelligence,CTI),可更精準地勾勒出攻擊活動最新軌跡。
 
以今年(2021)年初最受企業關注的微軟Exchange郵件系統漏洞來看,林岳鋒指出,儘管微軟在第一時間就已發布修補更新,但許多本土企業卻因內部Exchange版本過於老舊而無法安裝。騰曜網路科技的資安實驗室早在去年Exchange漏洞被揭露之前,就已發現網路流量中出現自動化工具產生的非典型攻擊活動,且是針對特定連接埠湧入大量流量,當下已解析取得入侵威脅指標(IOC),並藉此情資撰寫出特徵碼,讓客戶端既有部署的資安設備運用虛擬補丁來防禦。
 
奠基於在地化網路威脅情報,騰曜網路科技自主研發「鐵三角」的防護架構:首先是NEITHInsight網路威脅情資,其蒐集在地化的情報以建立IOC資料庫,並由資安實驗室的專家自主打造演算模型分析;其次,NEITHSeeker提供MDR(Managed Detection and Response)服務,藉由客戶端部署EDR(Endpoint Detection and Response)代理程式,持續不斷地蒐集Windows、Linux、macOS等終端系統產生的日誌;第三則是由NEITHViewer打造安全資訊與事件管理平台,提高可視化能力,並運行AIOps分析大數據,輔助資安專家深入洞察、先發制敵。

MDR服務救援 解決資安人才荒

針對內部網路威脅監控,多數企業皆認同部署EDR代理程式的價值,因其可持續地蒐集端點環境產生的日誌與執行程序,提高能見度,故能在攻擊狙殺鏈(Kill Chain)活動進入橫向擴散階段時,及早發現異常,逕行阻斷,才不至於爆發資料外洩或檔案被加密勒索事故。
 
問題是,市場上眾多EDR工具,主要皆是用於輔助資安專家分析風險指標,一般IT人員通常難以熟練地運用。為此,騰曜網路科技自主研發了NEITHSeeker,提供MDR服務,搭配NEITHViewer平台掌握活躍度最高的網路威脅情報,進行全面監控,就連企業內網存在少數無法部署代理程式的裝置,亦可納入監控範圍,從網路封包解析亦可偵測發現活動狀態,以避免成為攻擊者跳板而不自知。
 
MDR服務提供企業IT藉由NEITHViewer平台設計的拓樸圖監控,萬一發生資安事件,IR(Incident Response)團隊可藉此匡列感染範圍,進而逐一盤查與排除惡意程式。除了提高IR團隊工作效率,亦可由騰曜網路科技資安專家撰寫的腳本及機器學習演算模型,運用AI(人工智慧)來輔助判斷威脅風險值。
 
林岳鋒說,掌握本土網路威脅情報可說是騰曜網路科技的核心優勢,其資安團隊是研究網路攻擊起家,基於自主研發NEITHViewer打造的平台,提供AIOps的入口網。多數本土廠商較擅長於解析惡意攻擊樣本,運用沙箱模擬運行環境來擷取攻擊活動相關資料,則不易如同NEITHViewer般達到主動式防禦。

主動遏制異常行為 免遭零時差攻擊

目前多數企業資安防護機制,主要為次世代防火牆、入侵偵測系統、防毒軟體所搭建的多層式架構,針對零時差漏洞則由入侵偵測系統來執行虛擬補丁防護。騰曜網路科技研發設計的NEITHViewer、NEITHInsight、NEITHSeeker鐵三角,除了完整蒐集內網所有產出的日誌資料,同時解析Netflow封包,以資安實驗室掌握的網路威脅情報為基礎進行交叉分析,即時偵測非典型攻擊活動行徑。
 
值得一提的是NEITHInsight網路威脅情報,可依據惡意攻擊的類別來提供Data Feed,例如勒索軟體、物聯網攻擊程式等關鍵字篩選出特定資料,再餵入既有資安設備平台,來提升APT攻擊威脅的偵測能力。林岳鋒說明,Data Feed雖有效卻仍未廣獲接受的原因,首要在於價格過高,其次是內部須自建部署平台彙整大數據,同時還得要有專業資安開發人員撰寫演算法分析比對,對企業來說門檻相當高。反觀NEITHInsight網路威脅情報的提供方式,可透過NEITHViewer入口網站讓IT部門操作篩選適用的情資,以免餵入過多資料量增添資安設備運算負擔,後續再定期更新即可持續維持防護等級,更重要的是,藉此降低門檻讓更多企業得以採用。
 
資安防護機制發展至今,不論是閘道端或終端方案,研發範疇主要皆為事件驅動執行攔阻措施,林岳鋒認為,欲遏制國際駭客組織持續不斷地開採漏洞、藉由零時差攻擊獲取最大利益,須演進到主動式防護才有能力及時防堵。也就是在現代多層式防護架構中增添監控機制,把網路流量導向NEITHViewer平台解析,搭配最新的網路威脅情報,運用機器學習演算模型分析威脅風險指數,輔助資安專家解讀網路行為意圖,讓模擬合法行為的攻擊活動無所遁形,進而透過API整合運行的資安設備,呼叫執行攔阻或隔離措施,主動採取行動回應異常活動,讓資安風險降到最低。