為提供您更佳的服務,本網站使用 Cookies。當您使用本網站,即表示您同意 Cookies 技術支援。更多資訊請參閱隱私權聲明確定

企業應該準備或評估MDR的關鍵原因


在資訊安全領域中,不管國內、還是國外,通通無一倖免的持續爆發各種大型資安事件。正因為資安防護隨著網路時代來臨,虛擬世界逐漸與真實世界接軌,越來越多有利可圖的機會。讓攻擊者們無不想盡辦法,以獲取最佳利益。這種爆發式的獲取利潤的狀況,反而提升資安市場最基本的需求大餅。於是各種類型的資安產品紛紛出籠,資安的新創市場也是相當的熱絡。但是,客戶的反應往往都是最直接,而且犀利的,你們賣的產品有用嗎?沒錯!當客戶採購一定程度的資安解決方案後,隨之發生的資安事件,不一定對資安市場造成衝擊,但是客戶對資安設備的信任度,卻是隨之不停下降。


於是,客戶開始提問,如果你的產品沒效,那要怎麼辦?


現實是:當資安設備漏抓,當然沒有警報產生,客戶也不會知道沒效。




在目前的資安防護概念中,依賴資安設備自動化的偵測能力,是我們最主要的手段。但是隨著資安事件不停發生,是時候開始修正資安的防護策略。最常被排斥,但實際上又非常需要的事件處理相關的技術,又開始回到眾人的視線上。


何時我們會需要事件處理?標準答案無非就是:當資安事件發生時。然而,事件處理需要分析大量LOG,要從被入侵的端點取得惡意程式樣本進行分析。這是個耗費大量時間與人力的過程,而且事後發生的處理,往往已經無法挽回已經產生的損失,所以每個人都希望可以自動化防禦住所有攻擊。但是現今各種類型的資安事件,也明確表達出一個訊息:這個理想的資安解決方案,目前世界上還尚未出現。


無論資安人員喜不喜歡事件處理,這是目前偵測率最高的資安技術。

因為事件爆發後,也只能選擇做資安事件處理!


展望最新的資安防護趨勢,國內外的資安廠商都不約而同地往端點前進,各種端點偵測與回應(EDR)產品如雨後春筍般冒出。為何資安市場有這麼明顯的變動趨勢?其實原因也很簡單,因為不做事件處理,不利用數位鑑識的技巧,偵測率就無法再提高上一層。不管你花多少錢的預算,投資在自動化偵測類型的產品上,當你發生資安事件,最後還是必須找資安專家,透過資安事件處理,來釐清受入侵的範圍。而理論中常提到的,透過鑑識找出來源,進而持續強化防禦機制。這樣的概念,也常因為現實中,各企業是否願意投入足夠費用,去保存用來長期追蹤的記錄,非常的備受挑戰。無法保存足夠用來分析的LOG,這往往是資安鑑識人員心中的另一種痛。最終,人力處理資安事件依然是效率不高,不是廣泛受到歡迎的做法。


過往我們累積十數年的資安事件處理的經驗,分析過許多的惡意程式,也從中取得各種情資。這種你追我跑的資安戰爭,至今仍然沒有任何明顯縮短差距的情況。攻擊者入侵成功後,能透過資安設備自動阻擋成功,這樣的情況是零和競賽,幾乎不可能兩件事一起發生,因為這是兩種完全沒有交集的情境。


理想是:攻擊者入侵進來後,資安設備會發出警報通知我。


現實是:當攻擊者能成功入侵,就表示資安設備被繞過,所以沒有任何警報。


結果是:等到事件爆發,再選擇要重灌主機還是做事件處理。




過去資安產業剛開始發展,攻擊者跟防禦需求都相對較少,所以透過整理出攻擊的模式,再用自動化的方式去因應,已取得相當不錯的成果。但是隨著攻擊者誘因大增,非法獲利持續創造新高的同時,攻擊的方式也變化的越來越快。此時,累積約30幾年的「模式比對」的防禦技巧,正面臨到嚴重偵測效率與運作成本不佳的考驗。正是如此,越來越多號稱可以有效回應的產品出現在市場上,而這些產品其實就是收集了更多分析用的資料,期待客戶可以自行分析,然後「自行」完成事件處理。請注意,這邊用的字眼是「自行」,而非「自動」。是的,以目前的技術,資安事件使用人力分析依然是無法避免。


站在目前資安市場的風向上,我們可以明確知道,資安廠商開始透露出一種訊息:設備能在自動化偵測的能力上,暫時碰到一定的瓶頸。只好交由產品幫忙記錄很多資訊,同時有效率的保存並整理,但最終的處理還是要交給資安人員決定。所以不管是聰明的人工智慧,還是聽起來很厲害的大數據分析,最終要下決定,要採取哪種回應方式的R (Response),還是要依賴專業的資安人員。資安產品走過幾個世代之後,在現今這個時間點,最終還是把決定權暫時交回到人類手中。


越來越多產品的英文名稱縮寫中,有個R字。這個R字代表Response(回應)。顧名思義就是:當資安事件發生的時候要怎麼回應或處置。重灌電腦是一種處理方式,加碼買上更多防禦方案也是一種方式。但是越來越多的資安設備附加「回應」的功能,都是明確的告訴客戶,坐在座位上等警報跳,再動動手指下指令的美好日子已經結束。管理者真的需要自己分析LOG,自動化設備已沒辦法再做的更多,不花時間處理不行。



綜合前面所說,現在的資安防護策略,大概可以整理成幾項:

1. 投資一定規模的自動化資安偵測解決方案

2. 投入人力維持資安政策的推動與落實

3. 當資安事件發生時,有事件處理團隊可以快速反應,降低損失


在過往的經驗中,因為政策方面的要求,具備項目1跟2的企業或組織已經有一定比例。但是項目3幾乎是被放棄的,原因很多,但是除成本因素外,個人認為找到足夠品質的專業人力,才真的是難中之難。為此我們投入大量資源,將過往累積的事件處理經驗轉換成EndBlock解決方案,EndBlock為一個MDR(Managed Detection & Response)的服務。我們的目標就是提供一個專業資安團隊的技術能力,協助客戶可以快速、有效、正確的面對資安威脅。我們提供下面的項目,作為主要的服務內容:


1. 主動系統異常狀況分析與鑑識

2. 提供吃到飽的資安事件處理(IR)

3. 提供惡意程式分析的報告

4. 各種資安相關問題的諮詢服務

5. 分享資安防護實務上經驗



為何我們建議客戶應該要開始重視MDR服務,而非是買進更多自動化的偵測設備。因為投資在自動化偵測的資安設備上,是已經非常容易被接受的概念,也非常多企業或組織也正在落實的策略。但除非可以運用在資安的費用是無窮無盡的,否則沒人可以保證自己的環境能有足夠的資安防護力,尤其當涵蓋範圍越廣,費用就會增加的越驚人。以2020年底被發現的SolarWinds事件為例,若非Fireeye的資安人員發現VPN有異常登入現象(*1),若非Fireeye的工程師心血來潮,檢查該次錯誤的登入資訊,否則入侵多達上百企業與政府組織的攻擊行為,早於2019年9月就已經發生(*2)。這些超大型資安事件的調查結果都可以證明,面對資安的威脅不可能只靠自動化設備對抗。


但是用人力來處理資安事件也明顯不合成本,效率也不夠快,所以如何加速系統自動化完成,同時不能只依賴資安設備的警報,就是我們認為MDR該有的關鍵。


EndBlock MDR成功關鍵:


EndBlock服務提供事件處理(Incident Response,IR),不是單純的自動化偵測設備。在傳統資安防護架構中,事件處理是所有資安防線的最後一道防線。在目前所有可知的資安事件中,事件處理是惡意程式偵測率最高的技術手段。但傳統的事件處理並不被市場歡迎,因為必須要等到事件爆發,損失已經造成才會處理。


EndBlock解決傳統事件處理的缺點,主動收集端點系統活動資訊,比對MITRE ATT&CK®的攻擊方式,達到隨時收集,隨時鑑識的能力。加上網路攻擊的早期階段,因為攻擊者擁有的資訊與權限相對稀少,所以攻擊的手段相對單調,容易辨識。所以EndBlock可以讓任何疑似攻擊的系統活動,在早期階段就被分析並辨識正常與否。越早開始進行處理,就可以越有效的降低損失。


EndBlock結合了多年資安事件處理的豐富資安經驗,研發設計能提供主動事件分析與處理的MDR服務,EndBlock提供給客戶具備專業能力的團隊,在攻擊階段非常早期的階段,就開始主動進行事件處理,讓客戶如同擁有一個專業資安團隊的防護效益,卻無須負擔維持一個專業資安團隊的高昂成本。


*1 : 參考資料:https://www.isecurity.com.tw/news-and-events/20201221-us-gov-attacked-by-russian-hacker/

*2 : 參考資料:https://www.ithome.com.tw/news/141753