新科技速遞
零日攻擊和進階持續性滲透攻擊(Advanced Persistent Threat, APT)不斷增加,據FireEye Mandiant M-Trends 2021報告,亞太地區的機構平均要76天 ,才能得悉本身的企業網絡,已受到黑客入侵。
Mandiant Consulting首席技術官Jurgen Kutscher表示:「2020年,亞太地區機構平均需要76天,才得悉網絡遭入侵。但入侵者不須76天時間,便可找出重要資料,並將其加密,迫使交付贖金。」
另一方面,企業愈來愈依賴網絡運作業務,加上拓展電子商務,結果每次入侵造成更大破壞,加密勒索金額非常驚人。一般企業可能到了業務無法運作,才知道受到了攻擊。
一般的企業沒足夠人手和資訊作24小時的監察,一般的防火牆和防毒,已經無法偵破APT,本港流行防毒軟件卡巴斯基(Kaspersky)推出Managed Detection & Respond (MDR),以偵察APT和其他難以察覺的攻擊。
托管式服務屬舤外判式服務,責任交由24/7專業安全監控,可解決IT人手不足。Kaspersky表示MDR是透過機器學習(Machine Learning)及專業人員配合,提供24/7無間斷防護,威脅分析、調查和事故應變。
托管SOC服務
APT的設計是用於避開現有的防線,SOC則可從網絡和系統紀錄找到蛛絲馬跡,以相關規則(Correlation rule)匹配,以發現不尋常的活動,找出APT攻擊線索,但判斷有關的線索,又要有特定專業知識,經內部培訓或者專業人員。
根據Kaspersky的報告,企業面對數據洩露事件時,如果在事故發生後超過7天才發現及處理,會比立即能處理,平均多損失40萬美元。
Kaspersky的Managed Detection & Respond提供遠程SOC,毋須企業具備專門威脅獵捕(Threat Hunting)和事件分析技能,解決了本港IT資源有限,對於中小企尤其重要。
該方案以Kaspersky的多重偵測技術,以及其在威脅獵捕和事故應變方面專業知識的全球研究與分析團隊(GReAT)組成,具備人工智能分析(AI Analyst),實現自動警報解析,SOC分析人員專注處理最重要警報,保護客戶防範迴避偵測式威脅,包括試圖避過偵測,以模仿合法程式的攻擊。
集成多個方案
Kaspersky的MDR其實集成了多個產品,包括Kaspersky Endpoint Protection或Kaspersky Endpoint Detection & Respond,將遙測(Telemetry)傳送到Kaspersky Secure Network,然後SOC使用針對客戶環境所度身定制、700多種持續更新、基於TTP專有「Hunts」捕獵規則,以各種檢測引擎遙測分析。
從端點收集警報,串連在各端點偵測到可疑活動,找出攻擊鏈,Kaspersky團隊進一步驗證偵測結果,決定優先次序作出應變。
經調查後,客戶會收到事件警報和下一步行動指示,如通過Kaspersky Endpoint或EDR Agent處理。客戶可同時選用Kaspersky MDR及卡巴斯基事故響應(Incident Response服務),外判事故調查、法證及威脅處理的服務。
Kaspersky MDR服務分為兩個層級,基礎MDR Optimum為客戶提供專業防護服務,而高階的MDR Expert層級客戶,則可以直接與卡巴斯基的SOC團隊、持有OSCP, GCTI, SANS SEC560, SANS SEC660等認證的威脅分析專家互動取得更多關於威脅處理的意見,使用Kaspersky Threat Intelligence Portal,亦能透過API將Kaspersky MDR整合至企業現有的網絡安全防護流程。
卡巴斯基港澳總代理立高科技總經理郭偉僑認為:「Kaspersky MDR以托管形式,為企業提供專業的威脅捕獵服務及事故響應指導,比建立內部或外判SOC簡易、快捷及低成本,更適合預算有限、但面對愈來愈多高階威脅的企業客戶。」