中華電信和精誠資訊聯手研發臺灣首款APT偵測設備,透過蒐集防火牆、代理伺服器和DNS伺服器的Log,加上惡意行為偵測引擎以及回溯機制,找出隱藏在企業內的未知攻擊與威脅。

圖片來源: 

中華電信

企業面對越來越多、包括APT(先進持續性威脅)攻擊在內的未知威脅,許多原有的資安產品已經無法提供足夠的偵測和防護能力,為了提高企業因應未知威脅的應變能力,中華電信資通安全研究所和精誠資訊聯手,應用大資料分析技術和異常行為偵測引擎,推出臺灣第一臺國產的APT偵測設備EyeQuila(鷹眼),試圖在既有APT閘道端、採用沙箱模擬偵測設備中,找出其他滲入企業內網的APT威脅。

受測的房仲業則表示,測試過程中,協助找出隱藏在正常封包中的、惡意程式定期回報的緩攻擊。建議售價400萬元,包含一年維護保固服務在內。

透過6個維度找出非人為行為,歷史回溯找出企業內所有受駭電腦

由於APT攻擊是一種長期且持續性的威脅,現在的APT偵測設備,多是在閘道端採用沙箱模擬技術,試圖找出從閘道端進入企業內網的潛在APT威脅。但是,沒有100%偵測率情況下,一旦有漏網之魚怎麼辦?

中華電信資通安全研究所研究員劉順德表示,透過EyeQuila蒐集包括防火牆、代理伺服器(Proxy Server)和DNS伺服器的Log(登錄檔)資訊,加上異常行為偵測引擎,並以6個不同的維度分析,找出企業內到底有哪些行為是異常的、非人為的。

一旦找出異常行為的源頭後,還可以透過回溯偵測分析的技術,看出這個惡意程式究竟曾經在哪些電腦上活動過,連過哪些惡意網址等,資料彙整後,都可以再匯回SIEM(資安事件管理平臺),可以作為阻斷攻擊的參考。

所謂的6個維度包括:規律性、僵固性、持續性、偽冒性、隱匿性、偏差性等,從這些維度當中,找出不應該是人會做的行為,例如,以規律性而言,某臺電腦每小時固定整點連線到某個網址一次,如果是人為,除了無法做到百分之百整點回報外,在非上班時間,也無法在半夜維持整點回報,這就是所謂異常的「非人」行為,這也是房仲業者在測試中所找到的緩攻擊。

這個回報連線的網址,經常就是駭客所掌控的中繼站(Command and Control Server),從這個中繼站資訊也可以回頭找到企業內,還有其他哪些電腦曾經連上該中繼站,透過交叉分析,找出所有曾經連線的受駭電腦,進行根本的問題排解。

進行測試的房仲業者則指出,這樣整點回報的封包,平時都隱藏在公司正常對外80埠連線的封包流量中,若不是透過回溯偵測分析技術,把異常的行為過去的所有行為歷程,全部呈現出來,往往很難發現所謂的「異常」。

EyeQuila針對未知威脅偵測率最高達7成

劉順德指出,目前EyeQuila透過採用Hadoop大資料分析技術的Sbox硬體設備後,並整合該單位研發的異常行為偵測技術,蒐集企業內所需要的設備Log進行行為分析,透過回溯偵測分析的功能,找出所蒐集的Log在過往所有時間點中,所有與該惡意行為相關的所有歷史軌跡。

他表示,因為EyeQuila也具備機器學習的特點,也會匯入其他各種白名單資料庫,透過綜合的分析,有些時候,可能第一時間無法找到可疑的惡意行為,但經過一段時間後,隨著各種攻擊跡象更明顯,越有可能找到潛在的APT威脅;而透過同樣的回溯機制,一樣可以找出這個惡意威脅,曾經對企業內哪些電腦造成危害,從根源解除危機。

劉順德認為,EyeQuila本身是一個Log蒐集、壓縮的設備,透過異常行為偵測引擎整合後端的運算和儲存設備,打造出一臺1U和2U高度的APT偵測系統,以中華電信最高每天有70GB的Log量來看,EyeQuila具備TB等級的儲存量,至少可以儲存半年以上的Log,並且可以堆疊擴充。

目前EyeQuila針對未知威脅的偵測率大約有6~7成,2成的回報無法確認。

2015年1月20日修改說明:中華電信採用精誠資訊的SBox設備執行EyeQuila應用程式,原本SBox為針對Splunk優化的硬體設備,但此次在中華電信的合作案中,雖然仍採用SBox硬體設備,但是,底層的大資料技術卻已經改採Hadoop技術。目前內文已經更正完畢。

 

熱門新聞

Advertisement