智能应用 影音
德州仪器
event

透过行为分析模式 有效侦测与防护端点攻击

透过行为分析模式 有效侦测与防护端点攻击

在2020年5月,台湾惊传两大油品公司遭黑客入侵、施放勒索病毒,每台主机勒赎3,000美元。盖亚信息资深顾问杜建桦指出,经过分析,背后祸首来自国家化、专属化的黑客组织,有资源与本钱慢慢尝试入侵,难以从单一面向做好防御。

他认为更值得忧心之处,在于因疫情衍生混合办公新常态,使员工必须利用家中电脑经由VPN连结公司环境;惟家中电脑可能由多人使用、且应用情境混杂,容易沦为黑客操控标的,间接成为企业网安破口。

再者不少人总认为企业IT人员必须犹如闪电侠,只要有任何修补程序发布,就以最快速度完成更新。但以CVE-2021-44228的Log4j漏洞为例,由于可让线上攻击者发送恶意Log信息、执行任意程序码,情节堪称严重,故相关补丁在2021年12月10、13日二度释出;只不过在11月底时即有黑客发动此漏洞攻击,意谓IT人员当闪电侠还不够,还要有能力回到过去,无疑难上加难。

「今日的网安攻击是以躲避传统网安防御来设计,目标是窃取企业机敏信息或将数据加密以进行勒索,」杜建桦说,唯今之计,企业须寻求更有效的侦测及实时回应方式,设法及早发现此类威胁、并予以阻挡。着眼于此,CrowdStrike跳脱防毒软件惯用的特徵码比对、IOC扫描、Hash值判别等传统模式,转而运用以IOA(Indicators of Attack)为基础的行为模式,来侦测企业网络中的异常行径,从而在第一时间加以封锁,兼能防范已知和未知攻击。

举例来说,勒索病毒通常夹带尝试扫描、尝试删除备份区等行为模式,CrowdStrike一旦察觉这类情况,不论该勒索病毒是否为新变种,都能适时拦阻。

值得一提,因为CrowdStrike并非采取传统防毒软件的数据库比对技术,故其Agent仅40MB大小,相较于一般防毒软件的700~800 MB轻巧许多。另外更重要的,CrowdStrike是纯云端解决方案,所有Log直接上传云平台,不会经过任何Middleware,以致黑客没有机会将它拦截或击溃。

CrowdStrike创始于2011年,10年来累积监控逾6,000万台电脑,已然汇聚庞大知识库,因而在结合机器学习(ML)技术之下,即可轻易识别各种应用程序的正常行为轨迹,若经由比对发现异状、会再透过SOC人员确认是否为异常,如果是,便即刻同步到全球被CrowdStrike纳管的端点设备,以真正几近闪电侠的速度完成更新,不需等待IT人员执行补丁。

杜建桦归纳CrowdStrike的特点,首先它堪称次时代防毒系统,侦测行为模式、而非辨认Hash值。其次能完整收录所有Process执行,便于日后发生网安事件时进行回查。再者结合云端SOC,在全球具有三座24/7监控中心,由大批专责人员协助检视异常,若确实发现异常,就实时写成ML规则,实时同步给所有用户,可在企业IT或OT环境面临端点攻击时,提供最有效防御。

  •     按赞加入DIGITIMES智能应用粉丝团
更多关键字报导: 黑客