智能应用 影音
科技产业报苹果供应链
DWebinar0615

高端网络情资普及下放 NEITHNET主动式防御网安

  • 陈其璐台北

前几个月全台实施三级警戒管制,所幸多数企业自2020年初开始,已陆续制定居家办公或异地办公政策,IT部门紧急启动应变措施,让员工透过VPN连线回到企业内网存取资源,团队采用云端服务协同工作、视讯开会,维持正常营运。

对于企业IT而言,腾曜网络科技NEITHNET总经理林岳锋指出,最大的挑战莫过于疫情期间,居家办公的员工多数采用私人桌机或笔记本电脑处理公务,操作系统环境的网安风险根本难以控管,再加上为了让各部门同仁得以顺利透过VPN连线存取内网应用系统与数据,原本严谨的控管措施被迫放宽,极可能遭攻击者利用漏洞进行渗透。

他强调,疫情再严峻终将会过去,待解除警戒回到办公室后,IT人员仍须严肃面对各式终端装置,乃至于整体IT基础架构中潜藏的威胁,以免遭APT攻击得逞,导致机敏数据外泄或关键应用系统被勒索软件感染,酿成财务与商誉的损害。

腾曜网络NEITHNET「铁三角」防护架构

奠基于在地化网络威胁情报,腾曜网络科技自主研发「铁三角」的防护架构,首先是NEITHInsight网络威胁情资,其蒐集在地化的情报以建立IOC数据库,并由网安实验室的专家自主打造演算模型分析。

其次,NEITHSeeker提供MDR(Managed Detection and Response)服务,藉由客户端部署EDR(Endpoint Detection and Response)代理程序,持续不断地蒐集Windows、Linux、macOS等终端系统产生的日志;第三则是由NEITHViewer打造安全信息与事件管理平台,提高可视化能力,并运行AIOps分析大数据,辅助网安专家深入洞察、先发制敌。

MDR服务救援  解决网安人才荒

针对内部网络威胁监控,多数企业皆认同部署EDR代理程序的价值,因其可持续地蒐集端点环境产生的日志与执行程序,提高能见度,故能在攻击狙杀链(Kill Chain)活动进入横向扩散阶段时,及早发现异常,迳行阻断,才不至于爆发数据外泄或档案被加密勒索事故。

问题是,市场上众多EDR工具,主要皆是用于辅助网安专家分析风险指标,一般IT人员通常难以熟练地运用。为此,腾曜网络科技自主研发了NEITHSeeker,提供MDR服务,搭配NEITHViewer平台掌握活跃度最高的网络威胁情报,进行全面监控,就连企业内网存在少数无法部署代理程序的装置,亦可纳入监控范围,从网络封包解析亦可侦测发现活动状态,以避免成为攻击者跳板而不自知。

MDR服务提供企业IT藉由NEITHViewer平台设计的拓朴图监控,万一发生网安事件,IR团队可借此匡列感染范围,进而逐一盘查与排除恶意程序。除了提高IR团队工作效率,亦可由腾曜网络科技网安专家撰写的脚本及机器学习演算模型,运用AI来辅助判断威胁风险值。

主动遏制异常行为 免遭零时差攻击

腾曜网络研发设计的NEITHViewer、NEITHInsight、NEITHSeeker铁三角,除了完整蒐集内网所有产出的日志数据,同时解析Netflow封包,以网安实验室掌握的网络威胁情报为基础进行交叉分析,实时侦测非典型攻击活动行径。

值得一提的是NEITHInsight网络威胁情报,可依据恶意攻击的类别来提供Data Feed,例如勒索软件、物联网攻击程序等关键字筛选出特定数据,再喂入既有网安设备平台,来提升APT攻击威胁的侦测能力。

林岳锋说明,Data Feed虽有效却仍未广获接受的原因,首要在于价格过高,其次是内部须自建部署平台汇整大数据,同时还得要有专业网安开发人员撰写演算法分析比对,对企业来说门槛相当高。

反观NEITHInsight网络威胁情报的提供方式,可透过NEITHViewer入口网站让IT部门操作筛选适用的情资,以免喂入过多数据量增添网安设备运算负担,后续再定期更新即可持续维持防护等级,更重要的是,借此降低门槛让更多企业得以采用。