妥善处理网安警讯 实时处理网安事件

2016/11/14 - DIGITIMES企划

任何的网安事件，其实都有值得学习的地方。中芯数据资深网安顾问吴耿宏以第一银行ATM盗领事件为例指出，遭骇过程不只一天两天，却没有任何警讯，而且在这麽漫长且多阶段的攻击流程中，现有设备却完全没有对抗能力，由此可见要找到被黑客控制的主机，其实就像大海捞针，是一件相当困难的工作。

但一样的问题，其实可能早已发生在每个企业。吴耿宏指出，大多数企业的主要网安投资都是放在办公室环境及对外的连接上，但如果是内网服务器被入侵后，欲对外联网时，内网服务器必须先连到办公室的中继站，就算网安机制侦测到恶意程序，也可能会以为是办公室的主机变成中继站有问题，导致一般的网安防护机制，无法处里存在于内部网络的威胁。

吴耿宏还发现，网安管理人员的观念相当两极化，建置越多网安设备的企业，越会觉得内部网络不安全。但因为企业往往还无法验证网安设备传来的警讯，只好充满怀疑，却不知道问题在哪里，更遑论没有警讯的入侵事件。

对网安人员而言，最难回答的问题之一，恐怕还是要如何在所有设备中，非常快速的判断哪些主机可能有问题。吴耿宏指出，网安健诊的人力评估一天只能检查4台主机，但利用监识方式来处理20台主机可能更要花到1个月，除非主机上有自动化的分析机制，否则要找到有问题的行为，将会是相当花费人力与金钱的工作。

如果可以利用存储器监识技术，透过在端点直接分析存储器内程序本体的方式，侦测所有已知与未知的恶意程序，如Active Defense－恶意程序猎人，可快速从大量主机的存储器与硬盘中收集与分析关键的数码特徵(DDNA)，还可立即修复遭感染的主机。

用于APT的恶意程序之所以难发现，恶意程序会加密也是重要原因之一，但由于恶意程序在执行时一定会解密，所以只要程序执行后，就可以透过存储器来分析，快速找出存储器中可疑程序，再根据功能判断分数，无论是rootkits或是零时差攻击这类针对性的恶意程序，都将无所遁形。

此外，由于很多恶意程序都会有用来逃避侦测的特殊机制，需要使用DDNA的强大分析技术，这种数包含强大的恶意程序基因数据库，可以分析2,200以上的恶意程序特性，再透过逆向工程分析，可快速发现恶意程序与攻击手法，提供一个广泛与深度浏览实体存储器与反组译的程序语言的高可视度工具，亦可检视开启的档案、sockets、机码与文件分段等信息。

另外，面对针对性的入侵，如果不是仅仅抓到恶意程序，更希望可以迅速追溯整个攻击过程，分析入侵来源与过程。就更需要全面且持续的监控分析能力，才能真正消灭内部威胁，透过Sentinel具有强大的数据收集能力与巨量数据分析功能，可部署于整个企业，提供永不中断的端点监控能力，除了自动化的端点行为分析，以及实时分析归纳并定位出攻击点外，遭到攻击时还可实时回应与处置。

吴耿宏以透过电子邮件的EXCEL附件档案来进行的真实攻击为例，由于在隐藏数据夹中，有可疑程序被执行，就是被定义的可疑行为，这种行为往往是一连串的事件所组成，如第一只恶意程序甚至会等待90分钟再开始执行，是常见的躲避砂盒分析技巧，而且还会连到其他的未知中继站，去下载其他恶意程序，此案例中，并分析如何找出全部的未知恶意程序与未知的中继站(C&C)。

吴耿宏强调，持续侦测每一个端点，实时自动发出可疑活动的警讯，再配合专业人员的实时监识与分析，实时分析可疑的攻击行为，才能找出IT人员想知道的问题解答，进而确保系统安全。


图说：中芯数据资深网安顾问吴耿宏。