中芯數據IPaaS延伸企業資安力，迅速有效瓦解進階威脅

中芯數據首席資安顧問孫維嶸

歷經多年發展，現今市場上已有SOC、情資中心或MDR／XDR等多種資安託管服務可供企業選用。但許多企業仍對這些服務心存疑慮，似乎每次都是出現密集告警後，服務團隊才展開事件處理流程，耗時1、2個月收集和分析大量端點資料，最終針對疑似受感染的主機進行重灌；姑且不論這般方式能否斬斷攻擊來源，時間延宕如此久，其實已對企業造成不小傷害。

反觀中芯數據的「IPaaS」MDR服務，採取截然不同的模式。包括承諾在服務期間內，不限次數協助執行事件處理；不等客戶反應，而是反過來主動向客戶通報問題；更重要的，中芯數據遞交給客戶的通報單，也會附上行動方案建議，因此當客戶收到通報單後，平均花費5分鐘內即可排除問題；且在多數情況下，上述問題仍處於萌芽階段，尚未真正危害企業。

中芯數據首席資安顧問孫維嶸強調，IPaaS監控室猶如「企業內部資安團隊的延伸」，可一氣呵成執行事件的分析、通報、處理與諮詢，進而與企業共同防禦進階威脅，確保企業不致淪為資料外洩或勒索加密的負面新聞苦主。

主動通報客戶，接著於5分鐘內排解問題

孫維嶸說，IPaaS團隊成員皆為白帽駭客等級好手，除擁有許多不易取得的專業證照外，更充滿高度的熱忱與好奇心，不斷探索與研究被駭客利用的新漏洞，並試圖重現背後攻擊思路，因而擅於根據服務客戶過程的所見所聞，梳理出當下最值得提防的威脅趨勢。

譬如在近一年來，駭客攻擊模式已出現變化，以往對同一企業發動過一次勒索軟體攻擊後，至少先停一陣子，短期內再度攻擊的機會不大；現今駭客為了逼企業繳付贖金，會反覆施放勒索病毒，所以企業就算多次重灌電腦也於事無補。

近期某家擁有近萬台主機規模的企業，開始遭受勒索攻擊，在初期事態尚屬輕微時，便急忙找來4、5家資安廠商進場援助，中芯數據亦是其中一家。而中芯數據在短短幾十分鐘的調查中，便揪出所有受感染主機，進而在四小時內完成報告，完整揭露感染範圍、病毒樣本；調查效率之高，明顯勝過其餘廠商。不僅如此，中芯數據研判駭客除第一波施放了偽裝為防毒軟體的惡意程式外，一定在企業內部藏有為數眾多的不同後門；若企業全面部署IPaaS Agent，爾後不管駭客從哪些主機採取惡意行動，只要一有動靜，將隨即被中芯數據鎖定，適時瓦解攻擊。

後來該企業決定將內部上萬台主機，全部納入IPaaS監管。結果後來包括第二波的網頁後門攻擊、第三波的無檔案類型攻擊，乃至第四波的DNS通道後門攻擊，都在事發後幾分鐘到幾小時內遭到中芯數據捕獲與清除，迫使駭客一再鎩羽而歸。

「我們不靠傳統資安人員倚重的閘道型資安設備日誌、網路流量資訊或登出入紀錄，而是靠行為分析！」孫維嶸指出，電腦的所有運行，背後皆由一支支程式所驅動，IPaaS Agent可監測這些程式的行為舉止，只要發現異常，哪怕它已注入到記憶體深層，都會被IPaaS數據監控室識破。例如上述提到的無檔案類型攻擊，中芯數據即是根據它下達偵搜、橫向擴散等指令，證實它就是威脅無誤；也就是說，中芯數據主要查看惡意程式的行為，至於它是否變種、加殼，抑或有無對應的情資，都不會影響偵測能力。

利用電腦行為分析技術，事中即時阻斷惡意活動

大致上來說，中芯數據IPaaS監控室與一般SOC的差異，一方面在於資料收集範圍的不同，中芯數據監看電腦底層的行為，SOC主要探查閘道設備的資料；另一方面源自架構的不同，SOC高度仰賴SIEM，而中芯數據則直接將端點資料彙集到IPaaS平台、直接展開行為分析，同時間並不需要客戶端部署其他的資安設備。

更特別的，在組織設計上，中芯數據也不像一般SOC區分為一、二、三線團隊，皆由同一組分析人員協助同一客戶做調查與回應;係因這組分析人員長期參與此客戶環境的監控與分析，對客戶資訊架構相對熟悉，故能稱職扮演最後一道防線，在事件發生的當下有效鎖定問題點，在最短時間內解除異狀。

孫維嶸解釋，傳統資安分析流程最大的盲點，在於無從掌握大量端點究竟發生何事，所以只能做事後鑑識，無法在事中即時阻斷；但畢竟端點鑑識是一項耗時費力的龐大作業，所以分析人員只能靠一部份猜測、搭配有限度的資料收集，試圖挖掘惡意程式的藏身處，惟總有很大機率出現缺漏。在IPaaS服務架構下，不管幾十、幾百、幾千或幾萬台主機的行為資訊，都落入日常監控範疇，根本不需大費周章另啟鑑識程序，在平時只要出現異常活動，無需等到真正發作或釀成災情，便可在事中提前處置，這才是企業真正需要的MDR。

按中芯數據的建議，假使企業有預算考量，可優先鎖定主要伺服器、對外服務、高權限人員的電腦來優先部署IPaaS Agent，若行有餘力，針對經常帶進帶出公司的筆電也有必要納入監控，以期將「可能被偷資料的設備」、「有權限偷資料的設備」通通守護住；做好這一步，縱使遇到今年（2022）來出現頻率激增的供應鏈攻擊，都可望有效防範，只因駭客攻擊鏈當中不管第二跳、第三跳或第四跳…等等，終將落入 IPaaS 偵測與清除的範圍。

中芯數據 - 意圖威脅即時鑑識服務團隊

代表專業 02 6636-8889＃134

用戶服務諮詢 0809 016 818

熱門新聞