在端點防護產品的功能演進,從早期的自動化、支援多裝置,到近年來已變成要求高度即時資訊,甚至期望能夠防範於未然。(圖片來源/Accelerite)
企業針對端點的保護,防毒軟體可說是基本配備,但是,近年來無法透過防毒軟體攔阻的惡意攻擊手法日益增加,像是大多數人聞之色變的加密勒索軟體,防毒廠商在發現攻擊的手法之後,便將相關的惡意軟體加入特徵碼中。然而當大量的變種軟體出現時,光是倚賴已經發生的事件,也難以直接防範其他的未知軟體。
而像是軟體漏洞的問題,也是有心人士運用的攻擊手段之一。但光是倚靠軟體供應商的修補,難以即時因應零時差漏洞,而且,對於在企業上來說,遇到廠商緊急製作的修補程式,來不及完整測試就推出的情況也時有所聞,導致某些電腦套用之後無法正常運作,影響企業生產力。因此,廠商就算提供了修正檔案,企業不一定願意立即套用。
對於企業來說,或許可以採用軟體白名單的方式,強制員工只能執行指定的應用程式,阻斷這類手法,可是,在現實情況中,通常管理者很難將所有部門所需執行各類型的軟體納入白名單,而且版本日新月益,若是隨著各類軟體的更新周期,調整白名單裡的比對資料,像是檔案的MD5或是SHA雜湊值等,也會大幅增加管理的負擔。
更重要的是,光是採用阻絕策略,已經不能因應時代潮流,況且只是單純復原端點電腦能夠正常運作,則難以找出攻擊真正的源頭。值得關注的是,強調能為企業透過端點的可疑徵兆,找出滲透式攻擊、並且能進行初步反制的解決方案,今年更是有如雨後春筍般出現,只要與資訊安全有關的廠商,不少都開始提供這類型的解決方案。
未知攻擊的因應成為新世代端點防護的顯學
在端點防護產品的功能演進,從早期的自動化、支援多裝置,到近年來已變成要求高度即時資訊,甚至期望能夠防範於未然,在找到疑似的攻擊就加以監控,一旦出現異常就進行相關的處置措施。(圖片來源/Accelerite)
協助企業找出潛藏在端點電腦的惡意攻擊行為
這類型的產品,在市場研究機構Gartner的分析報告中,稱之為Endpoint Detection and Response(EDR),顧名思義是針對端點的運作情況,收集情資,讓企業在發現異常時,可適時做出對應的反制措施。
其實,EDR不是新的概念,早在2013年的時候,Gartner將這類型的解決方案稱為ETDR,其中的T指的就是威脅(Threat)的意思,後來就省略簡稱為EDR。但這類型的解決方案今年再度受到重視,最主要的原因,莫過於企業資安防護的思維已有重大轉變,必須正視未知的潛在攻擊。
我們在今年初,介紹過藉由發現企業內部使用者的存取行為異常,找出滲透式攻擊行為的解決方案(UEBA,也有人稱為UBA),與這次的端點進階威脅偵測與防禦系統(EDR)有其相似之處。這兩種系統,都是為企業找尋可能潛藏已久的惡意攻擊,因此,我們之前在UEBA產品中常見的攻擊鏈分析,在針對端點的EDR解決方案大多都有提供。
但不同的是,EDR解決方案著重於端點電腦行為的偵測,因此都必須在電腦部署代理程式,藉此收集操作行為。因此,企業端點進階威脅偵防系統往往能夠執行較多的反制措施,能依據指定規則,攔阻惡意程式執行。
此外,由於著重於找出可能有問題的端點電腦,EDR產品幾乎以端點電腦為基礎單位,統整情資給管理人員,甚至像趨勢科技的Endpoint Sensor,目前為止尚未提供與企業AD整合的功能,雖然在攻擊鏈中可看到當時操作人員的使用者名稱,但這個情況,也突顯這類型產品聚焦端點而非使用者的特性。
EDR組成的三大元素
在端點的進階威脅偵測與防禦的系統中,主要建立於端點電腦的監控,以及對於其狀態的管理,在發現疑似為攻擊手法時,才能在端點電腦進行相關的反制措施。(圖片來源/Accelerite)
EDR可呈現提供攻擊鏈分析惡意軟體的運作情形
針對攻擊手法的追溯,端點偵防系統也提供類似攻擊鏈的分析,以圖中的Intel Secuirty McAfee Active Response為例,能顯示處理程序的運作流程、帶出的其他程序,以及該處理程序發起的異常行為。
可與現有端點防護機制共同運作
也因為是針對端點防護的解決方案,許多廠商將這樣的產品視為端點防護平臺(Endpoint Protection Platform,EPP)的新成員,輔助一般防毒軟體,找出無法偵測的新型未知威脅。
以我們這次介紹的產品廠牌來看,Intel Security、Symantec,與趨勢科技是以防毒軟體為主力產品的廠商,他們的端點進階威脅偵防系統主要是與同廠牌的防毒軟體(或端點防護平臺)搭配運作,例如,Intel Security將McAfee Active Response列為企業端點防護方案中的進階功能,Symantec Advanced Threat Protection:Endpoint則是建構於企業防毒軟體Symantec Endpoint Protection之上,端點電腦偵測與防護,都是與這款防毒軟體共用代理程式;至於趨勢科技的Endpoint Sensor,部署時端點代理程式的派送與事件因應,也是透過防毒軟體OfficeScan來執行。
在專精於威脅情資的FireEye,他們的HX系列硬體設備,也能與針對其他針對網頁安全與電子郵件等面向的進階威脅防護產品,進行聯合防禦。
而推出次世代防火牆產品的Palo Alto,Traps可說是他們進入端點防護的產品,這款解決方案在威脅偵測的策略,可調整的部分便明顯比起其他產品要來得多,甚至聲稱能夠取代一般防毒軟體。
事實上,站在威脅情資廠商的角度來看,也許是沒有防毒軟體廠商各種保護措施的包袱,他們所推出具備EDR功能的產品,大都稱為新興防毒軟體(Next Generation Antivirus,NGAV),聲稱能夠取代傳統防毒軟體,由此看來,具備EDR功能的產品的功能差異性並不小。
EDR有大量的偵測模組,並能細部設定
對於惡意攻擊行為的偵測,在Palo Alto Traps中,提供了許多防護的模組,管理者能針對指定的處理程序配置為政策,以部分掃描模組進行掃描,若是發現惡意攻擊行為,就能直接進行阻擋,或是顯示訊息告知使用者等,並能從右側畫面得知已經啟動的模組。
相關報導 企業級端點進階威脅偵防系統採購大特輯