IBM+中芯数据双强联手阻断黑客攻击链
- 黎思慧/台北
-
2020年是勒索病毒猖狂肆虐的一年,许多知名中大型企业相继沦为苦主,让人不禁纳闷,有些企业明明该布建的网安设备都布建了,为何依然挡不住勒索软件或其他恶意程序的进犯?究其主因,在于许多设备欠缺对行为轨迹的侦测能力,面对一些依循着正常管道的病毒感染行径,难以实时察觉。
为了补强诸如此类看似不起眼、但却暗藏致命危机的盲点,IBM利用QRadar SIEM已备妥的大量API与SDK资源,积极展开广结盟、延揽众多生态系夥伴,协助客户加速汲取更多元数据、获取深入洞察,从而抵御接踵而来的未知威胁。在此前提下,IBM2020年与提供「意图威胁实时监识服务」(CoreCloud IPaaS)着称的中芯数据缔结合作关系。
中芯数据业务协理蔡政霖表示,中芯数据的IPaaS,堪称台湾网安市场第一家符合Gartner定义的MDR(Managed Detection and Response)服务,擅长执行实时性的进阶异常行为侦测与比对,可协助企业检测出绕过传统网安设备的威胁,并且迅速反应、遏制攻击;而IBM QRadar长年稳居SIEM魔力象限的领导者,也获得台湾众多企业、金融机构和政府单位的青睐采用,主要即是看重其强大的日志数据汇集与关联分析能力。
因此IBM QRadar与中芯数据IPaaS的结合,可谓强强联手,足以汇聚成为前所罕见的网安联防能量。
透过异常行为分析,揪出潜伏的黑客桩脚
蔡政霖指出,IPaaS与一般MDR或EDR最大的不同,在于主要是依据异常行为进行分析,特徵码仅是用来辅助,与友商产品惯用以特徵码比对为主要架构的模式,着实大不相同;因此IPaaS可以蒐集到的日志型态相对独特、完整,举凡所有的执行程序、电脑机码、档案存取记录、存储器上面的活动记录,乃至于网络上面的活动记录,都在搜索范围之列。而这些素材,都是防火墙、IPS、防毒软件侦测不到的,但却是用来判断未知病毒入侵的关键依据。
比方说,某知名制造商在初期要采购内网侦测与防御服务时,进行了许多验证。中芯数据MDR服务的验证作业,当时在局部范围的POC过程中发现有数台系统有遭人窃取帐号,并进行内网侵害的行为轨迹,甚至同时也成功侦测到未知勒索软件的感染,中芯数据在事件当下马上实时发出告警,并成功抵御该范围的所有侵害行为,最后该制造业购买了中芯数据的MDR服务。
蔡政霖说,假设类似事件出现在IBM QRadar与中芯数据IPaaS的联防场域,更会有机会找出更多入侵管道。因为IPaaS擅长蒐集Process、Registry、File、Memory和Networking等相关活动信息,实时送交后台监控中心进行分析,所以不仅有能力迅速揪出这台疑似遭人窃取帐号的设备,也能从它的对外连线行为,分析出可能的C&C中继站IP,进而转交给QRadar进行全面撤查,找出曾经连线相同IP的所有机器设备,藉由双方促成的完整联防,提前将黑客布下的桩脚一举成擒,让黑客没办法走到大规模加密档案数据的最后一步。
相较于其他SIEM,QRadar有一个独特利基,便是在2019年新增提供一个名为「QRadar Network Insights」(QNI)的模块,具备Layer7解析能力,可以侦测网络流量封包里头的恶意执行档或执行码,所以即便是刁钻难辨的IoT攻击也难逃法眼;换言之如果黑客利用IP CAM或其他Smart Device埋藏后门、主动连线到外部C&C,肯定会在QRadar/IPaaS联防架构下无所遁形。
司令官加巡逻兵,联手遏制未知勒索病毒
蔡政霖比喻,SIEM像是网安治理的司令官,站在制高点综观整个大局,而MDR则犹如巡逻兵,负责监视端点暨OS层有无异状,算是整体安全架构其中一项方案。
持平而论,无论哪一厂牌的EDR或MDR,都会有OS的限制,也就是无法支持某些较少见的作业平台,所以EDR/MDR即便在端点设备这个优势主场,依然会有鞭长莫及的死角。这些死角,不保证一定不会被黑客染指,因此绝不能弃之不理,所以必须靠SIEM来补强。
IPaaS可将自己能力范围内蒐集到的行为轨迹信息,交由QRadar当做情资、执行关联分析;如此一来,部分带有罕见OS、且有类似异常行为特徵的设备,即便不在IPaaS搜索范畴内,仍可靠QRadar的联防力量,逼使这些设备现形,不会继续成为网安破口。
值得一提,根据2020年新出炉的资通安全责任等级分级办法修正草案,新增纳入「端点侦测及回应机制」项目,只要被列为A或B级的机关,都必须在两年内建置完成MDR或EDR;而在该项分级办法中,「资通安全威胁侦测管理机制」(SIEM或SOC)同样也是A或B级单位必须导入的项目。
换句话说,依法同时需要导入SIEM和MDR的场域,其实并不在少数,所以IBM QRadar、中芯数据IPaaS彼此间确实有交叉推广的契机,双手亦可携手把联防的优势,宣导给更多业主知道。
