透过行为分析模式 有效侦测与防护端点攻击

盖亚信息资深顾问杜建桦。DIGITIMES摄

在2020年5月，台湾惊传两大油品公司遭黑客入侵、施放勒索病毒，每台主机勒赎3,000美元。盖亚信息资深顾问杜建桦指出，经过分析，背后祸首来自国家化、专属化的黑客组织，有资源与本钱慢慢尝试入侵，难以从单一面向做好防御。

他认为更值得忧心之处，在于因疫情衍生混合办公新常态，使员工必须利用家中电脑经由VPN连结公司环境；惟家中电脑可能由多人使用、且应用情境混杂，容易沦为黑客操控标的，间接成为企业网安破口。

再者不少人总认为企业IT人员必须犹如闪电侠，只要有任何修补程序发布，就以最快速度完成更新。但以CVE-2021-44228的Log4j漏洞为例，由于可让线上攻击者发送恶意Log信息、执行任意程序码，情节堪称严重，故相关补丁在2021年12月10、13日二度释出；只不过在11月底时即有黑客发动此漏洞攻击，意谓IT人员当闪电侠还不够，还要有能力回到过去，无疑难上加难。

「今日的网安攻击是以躲避传统网安防御来设计，目标是窃取企业机敏信息或将数据加密以进行勒索，」杜建桦说，唯今之计，企业须寻求更有效的侦测及实时回应方式，设法及早发现此类威胁、并予以阻挡。着眼于此，CrowdStrike跳脱防毒软件惯用的特徵码比对、IOC扫描、Hash值判别等传统模式，转而运用以IOA(Indicators of Attack)为基础的行为模式，来侦测企业网络中的异常行径，从而在第一时间加以封锁，兼能防范已知和未知攻击。

举例来说，勒索病毒通常夹带尝试扫描、尝试删除备份区等行为模式，CrowdStrike一旦察觉这类情况，不论该勒索病毒是否为新变种，都能适时拦阻。

值得一提，因为CrowdStrike并非采取传统防毒软件的数据库比对技术，故其Agent仅40MB大小，相较于一般防毒软件的700~800 MB轻巧许多。另外更重要的，CrowdStrike是纯云端解决方案，所有Log直接上传云平台，不会经过任何Middleware，以致黑客没有机会将它拦截或击溃。

CrowdStrike创始于2011年，10年来累积监控逾6,000万台电脑，已然汇聚庞大知识库，因而在结合机器学习(ML)技术之下，即可轻易识别各种应用程序的正常行为轨迹，若经由比对发现异状、会再透过SOC人员确认是否为异常，如果是，便即刻同步到全球被CrowdStrike纳管的端点设备，以真正几近闪电侠的速度完成更新，不需等待IT人员执行补丁。

杜建桦归纳CrowdStrike的特点，首先它堪称次时代防毒系统，侦测行为模式、而非辨认Hash值。其次能完整收录所有Process执行，便于日后发生网安事件时进行回查。再者结合云端SOC，在全球具有三座24/7监控中心，由大批专责人员协助检视异常，若确实发现异常，就实时写成ML规则，实时同步给所有用户，可在企业IT或OT环境面临端点攻击时，提供最有效防御。