一旦遭遇各種駭侵事件,早年IT人員往往為了恢復正常運作,將相關電腦系統重灌,但這也造就證據被湮滅,無法調查問題源頭的情況,也無法作為未來採取法律途徑之用,因此,不論是在資安領域或法律領域,數位鑑識的重要性已經一再被提及。

近年來,隨著資安威脅日益嚴峻,企業對於事件應變越來越重視,政府也持續加強這方面的監管力道,尤其對於個資外洩事件,雖然早期在政策的推動上,主要衡量標準在於企業是否有積極改善的態度,但在2023年個資法修法後,已開始採取更嚴格的規範,像是要求行政檢查,以及10天內要提出完整報告。

在這樣的局勢之下,關於資安事件鑑識與調查的效率,也成為企業相當關切的議題,因為這方面的處理能力不足,一旦發生駭客入侵、勒索軟體攻擊等事故,資安長或企業高層可能很難在短時間內,得到初步的蒐證與調查結果,無法快速掌握有多少臺主機遭到滲透,找出事件發生可能的目標源頭,以及釐清是遭受駭客入侵或是內部人員所為,並考量後續的司法訴訟因應對策。

因此,市面上雖有資安監控、EDR、XDR等類型產品,擴及資安事件調查分析,但專業的數位鑑識軟體,仍然不可或缺。臺灣本身也有幾家自主研發這方面解決方案的業者,鑒真數位(iForensics)是當中頗具知名度的廠商,他們在2016年底打造出資安事件應變調查蒐證工具eDetector,並成為該公司的招牌產品。

特別的是,時隔7年,他們終於再次舉辦這套產品大改版的發表會,宣布升級翻新的消息,從核心模組全面改寫,更貼近現代企業需求。

根據鑒真數位的說明,我們可以看出新一代eDetector有兩大重點。首先是產品重新改寫後,可大幅縮短整個事件調查週期,讓企業在資安事件發生初期,就有能力做到大規模的蒐證與調查;其次是推出SaaS全新服務模式,這對於中小企業會有很大幫助,可降低使用這項工具的進入門檻,同時還因為有AI技術的加入,在沒有專業鑑識人員的情況下,也能產生出基本的資安事件報告。

以Golang重新改寫產品,為蒐證調查工具效率帶來革新

關於eDetector新版推出,最明顯的變化是介面,從原本建構在Windows系統的MFC應用程式框架當中,轉變為純網頁的介面,而且,新一代產品採用叢集(cluster)架構,可透過部署更多臺系統以擴展整體執行規模,足以負荷上千臺裝置的蒐證調查,所花費的時間也與單臺裝置的蒐證調查相同。因此,eDetector能在短時間內,蒐集大量目標主機,大幅改進產品蒐證效率。

為了使端點蒐證鑑識工具跟上時代,新一代eDetector的開發有哪些變革?鑒真數位研發團隊主管王吉磊表示,過去開發選擇不多,以C++語言撰寫,新一代產品以Golang重新改寫,執行速度大幅提升。他也直言,前幾年他們就已著手重新開發,只是當時效能無法令他們滿意。

論及系統效能的具體差異,王吉磊說,過去eDetector一次最多只能部署在10臺電腦,瓶頸在於主機的資料庫會受到傳輸頻寬不足的限制,若是端點數量更多,就需要以每次10臺的方式排定,依序執行,而且每次蒐證執行需要耗費兩、三小時。新一代的產品則有根本的改變,不只是能對上千臺電腦同時蒐證,而且在10分鐘內就可以完成。

對於急迫完成鑑識與調查工作的企業,有很大幫助,甚至早該如此進化。

關於新一代調查蒐證工具eDetector的應用,透過鑒真數位實際展示,我們可以看到當中可執行5項分析,除了既有的記憶體分析、痕跡取證、檔案總表,效能獲得提升,還新增YARA Rule掃描、關鍵映像檔,同時介面上還提供「產生報告」按鈕,其背後將透過AI報告生成功能,快速給出事件的總結、細節、建議與攻擊發生時間軸。(攝影/羅正漢)

最新AI報告生成技術也內建,蒐證項目類型也增至近60項

對於企業而言,也很關注這類工具的功能發展,有哪些重大改進?

除上述雲端擴充架構全新設計,鑒真數位也導入YARA掃描,以及AI報告生成,這些亦都是新版eDetector才有的功能。

基本上,搭配描述惡意程式的YARA規則,作為入侵指標(IoC),將可快速辨認惡意程式並鎖定潛在風險,已常見於許多資安產品。較不同的是,eDetector加入自動化的關鍵資訊標註,以及可介接自動產生報告的功能,進而協助自動化IoC判定及報告產製。另外,這套軟體也提供可掃描全機檔案的選項,以及可針對不同YARA規則,自定各自的風險分數。

在AI報告生成方面,這樣的技術正普遍受到資安業者看重,鑒真數位也納入而成為eDetector新版內建功能。用戶可透過介面上的「產生報告」功能,將分析結果送到大型語言模型(LLM)處理,其背後是採用微軟的方案,進而快速整理出調查報告。 

 

我們從現場電腦展示的eDetector介面,可看出當中呈現事件的總結、細節、建議,以及關於攻擊發生先後順序時間軸的互動式圖表。

至於原本的自動化蒐證技術,新一代eDetector也予以強化。例如,在記憶體分析、痕跡取證、檔案總表等主要功能,隨著產品核心改寫,而大幅增進蒐證數量與搜尋效能,較特殊的是,本次改版額外新增了關鍵映像檔的應用方式,目的是讓蒐集效益可以最大化——這是因為傳統蒐集全硬碟映像檔的作業相當耗時,而這項新功能聚焦於關鍵部分的蒐集,可協助使用者在短時間內保全約6成左右的重要關鍵跡證,但速度可以快14倍,供後續分析或其他運用。

此外,在端點裝置方面,eDetector現在同時支援Windows、Linux作業系統,蒐證項目也比原有增加了兩倍以上,多達接近60項,包含記錄應用程式執行的Prefetch,記錄檔案存取的Jump List,以及安全性日誌、系統日誌、應用程式日誌等。

除了端點鑑識調查層面的軟體功能持續改良,雲端環境的鑑識調查應該也是這套產品未來要擴及的面向?對於這樣的問題,鑒真數位表示,雲端是他們一直想跨入的領域,以針對IaaS服務的蒐證而言,鑒真數位的工具其實已經可以適用,與地端版是相同的概念,但如果針對PaaS或SaaS服務的蒐證,因為當中並不涉及底層作業系統權限,而且三大公有雲業者的日誌記錄完全不同,這將需要發展另一種處理方式跟切入思維,而且需要與這些重要廠商配合。因此,他們認為,相關功能的實作還有很長的路要走。

鑒真數位執行長黃敬博表示,他們自行研發的調查蒐證工具eDetector自推出以來,已有7年之久,這次整個產品改寫,不僅大幅改進產品蒐證效率,同時推出SaaS全新服務模式,降低費用門檻,讓不幸遭遇事故的一般中小企業,可以減輕這方面的負擔。(攝影/羅正漢)

新的SaaS授權模式可降低工具使用門檻,適用於中小企業

隨著軟體訂閱制在企業IT市場大行其道,eDetector新版也跟進這股風潮,使服務面向可以更廣泛。鑒真數位執行長黃敬博宣布,eDetector提供兩種全新服務模式,包括:大企業On-Premise授權模式,以及中小企業SaaS授權模式。

簡單來說,以第一種地端部署模式而言,可在組織內部架設伺服器,大量派送代理程式來執行,可適用不允許資料傳至雲端的警調單位,以及大型企業。

而在另一個SaaS服務模式當中,對於沒法負擔資安專家到場服務的中小企業來說,將是不錯的選擇,企業可以透過線上付款方式,取得鑑識與調查工具的代理程式,之後只要自行在目標主機上執行,就能在雲端平臺上檢視跨機蒐證分析結果,完成基本資安事件調查與蒐證。在使用過程中,也可搭配輸入情資與入侵偵測指標,即可自動標註相關跡證紀錄,並藉由內建的AI功能產生事件調查報告。

綜觀上述服務模式的改變,我們特別關注一件事──SaaS服務型態早已成為主流商業模式,很多人可能都覺得司空見慣,因為很多資安產品已經這麼做,但我們很少聽聞有蒐證調查的SaaS服務。

對此,鑒真數位表示,市場上端點蒐證的商用產品本來就不多,相關SaaS服務的工具大多以EDR、掃描工具為主。

就他們所知,國際上提供SaaS服務的此類蒐證與調查服務的業者並不多,在國內他們應該是唯一一家。

熱門新聞

Advertisement