实作XDR平台功能 及时梳理黑客事件来龙去脉 智能应用 影音
D Book
繁体版 简体版
评估申请
快捷顾问
登入
231
瑞力登
hotspot
热门关键字
#半导体
#电动车
#服务器
#面板
#AI PC
#AI
#存储器
#台积电
#三星
#NB

实作XDR平台功能 及时梳理黑客事件来龙去脉

  • 萧怡恩台北讯

Trend Micro Vision One全面掌握网络、端点、云端威胁。趋势科技
Trend Micro Vision One全面掌握网络、端点、云端威胁。趋势科技

回顾8月中举行的趋势科技LetsTalk Online在线系列,当时提及重要概念,企业长期倚重的一套一套网安监测工具,好比各自独立的信息谷仓,很难横向串联所有信息,完整勾勒黑客攻击链;唯有借助「延伸式侦测及回应」(XDR),方能海纳百川,从端点、E-mail、服务器、云、网络、IoT等不同Log理出头绪,实现全面性威胁侦测。

鉴于愈来愈多企业对XDR深感兴趣,亟欲探知实作之道,趋势科技于日前举办「XDR平台功能实作展示」在线讲堂,特别模拟黑客攻击步骤与阶段,逐一验证Trend Micro Vision One的重要功能。

趋势科技资深技术顾问吴宗霖。趋势科技

趋势科技资深技术顾问吴宗霖。趋势科技

还原骇侵事件细节  迅速执行正确回应

趋势科技资深技术顾问吴宗霖指出,该公司提供的XDR平台Vision One,可汇聚端点、云端、Server、网络、E-mail乃至IoT或Mobile等不同来源传感器,将对应的Detection Log、Activity Log收纳于Data Lake,再结合情资关联比对,识破黑客合法却不合理的行为,为用户提供精准警讯,以利及早因应与处置。

当用户登入Vision One,第一眼会看到Security Dashboard中控界面,借此洞察前十大风险用户,连同这些登入帐号的装置、可能潜藏的对应风险,便于用户即刻进行全面检视。

值得一提,Vision One提供代理程序的下载,支持范围涵盖Linux、Mac、Windows等多重平台,可与趋势科技的EPP防毒软件整合无虞。此外Vision One还提供Detection Model,源自趋势科技对不同黑客组织及攻击手法的理解、打造而成的模型,用于与企业环境的Log进行比对,接着Trigger出风险评分,让企业即刻辨别网安事件现状。

此外Vision One还蕴含一些重要机制。如OAT模型,负责综整各个Detection Model的关联分析结果,形成加总分数,产出精准的风险报告;接着经由Workbench发送精准告警,并透过视觉化界面还原事件全貌,包括骇侵时间点、影响的电脑范围、黑客使用的帐号及运用哪些攻击技术,乃至黑客下载哪些执行档案、执行哪些参数都钜细靡遗,有助用户迅速了解骇侵事件的细节与过程。

「藉由Vision One,你可以直接收取到想要分析的可疑档案,然后更完整、快速、方便地进行回应,」吴宗霖说,但即便拥有强大工具,也需要由经验丰富的网安管理者来协助判断,考量这样的人才相对缺稀,所以趋势科技提供台湾唯一的Managed XDR(MDR)服务平台,由趋势的专家帮忙做托管,以利用户确实达到提早预防的成效。

十大攻击手法  通通难逃Vision One法眼

本次讲堂的后半段,主要进行Vision One的功能验证。藉由黑客入侵的情境假设,一边阐释黑客采取的「控制感染电脑」、「情资探查」、「数据蒐集」、「传送机密数据回黑客电脑」等不同步骤,以及可能运用的10个手法,另一边同时对照Vision One所能呈现的检视结果,带给观众攻防临场感。

接着依序演绎「System Service Discovery」、「Credential Dumping」、「Query Registry」、「Create Account」、「Service Execution」、「Disabling Security Tools」、「New Service」、「Masquerading」、「Winlogon Helper DLL」及「Data Compressed」等10个攻击手法;完整描述黑客如何利用一些合法命令与工具,从清查电脑执行的服务做起,接着窃取电脑的帐密、创建专属于黑客的Account、连线至其他电脑执行任何操作、停用电脑的安全工具、建立新服务来带起后门工具、利用似是而非名称来混淆使用者视听,以及设法在不登入的前提下执行PowerShell,最终藉由压缩打包方式送走数据。

针对上述各种手法,Vision One都能逐一破解。主要是基于Vision One可完整收纳包含EDR、NDR、E-mail、Server等等多面向的传感信息,不论看似正常异常的行为轨迹都能完整收录,因此用户可以随时善用偌大Data Lake,有效执行事件的主动管理与调查分析。

像是利用「sc query state=?all」清查有没有人在做Service Discovery,从OAT揭示的Critical或High事件中理解有没有人执行Process Dump工具,直到检视有没有人私自安装WinRAR、打包一些目录与档案甚至做出上传动作,凡走过必留痕迹,所有脉络都能从Vision One平台上清楚勾稽出来。

更重要的,企业除可利用Vision One界面来进行事件检视,一旦在Workbench上Trigger任何事件,Vision One就会主动发出通知,提醒使用者做相对应的处理;所以企业并不需要时时关注Vision One中控台,即可适时掌握骇侵信息。


关键字
加入已选取到「关键字追踪」 什麽是「关键字追踪」