2017/10/12

CounterTack結合巨量資料分析與端點安全 找出公司內賊易如反掌

在資訊安全界裡,有兩大領域,可快速分類資安廠商們的技術領域,一為端點類,另一個則是網路類。顧名思義,前者是透過軟硬體的整合技術來防禦入侵,後者則是透過網路封包解析的相關技術來識別出有害內容。

由於現在的網路邊界逐漸朝用戶端推進,意即許多裝置端點本身具備連結不同網路的能力,因此企業的資安防禦策略,除了基本該具備的網路安全防禦外,近年來也格外重視端點安全,讓終端裝置成為新的網路邊界。

有趣的是,並非所有的端點安全廠商,是從端點安全技術開始發展的。由中芯數據代理的端點安全廠商-CounterTack,技術長Michael Davis與亞太區總監David, Ong,在專訪中與編輯部談到CounterTack的技術特點。

脫胎於誘捕系統

「CounterTack約莫在7年前創立」,技術長Michael Davis談到公司一開始並非發展端點安全技術,「我們當時其實做的是誘捕系統(Honey Pot),安裝在企業網路中,用來偵測在企業網路中流竄的非法活動。

由於是以誘捕系統的想法開始設計,因此一開始的做法便與防毒系統完全迥異。「由於誘捕系統必須跟駭客們的入侵活動鬥智,因此必須全面掌握誘捕主機的所有活動,包括檔案讀寫、記憶體活動與CPU指令與系統程序等,比傳統的特徵比對式防毒軟體更為全面。」Michael Davis解釋道:「因此,CounterTack的代理程式(agent)能夠全面蒐集目標主機的所有活動行為,並即時分析可疑程度。舉例來說,當電子郵件程式呼叫Word文書程式來開啟信件附件的Word檔案,這是個正常的動作,系統不會發出警告;但倘若執行Word程式後,Word卻偷偷開啟PowerShell程式,這就是一個不正常的行為了,因為在CounterTack的數位DNA(Digital DNA, DDNA)的行為分析中,Word軟體的合法行為中並不包括開啟PowerShell,因此系統將送出警告給使用者或管理後台。」

這也決定了CounterTack EDR(Endpoint Detection and Response)技術與防毒技術的關鍵差異,亞太區總監David, Ong表示:「因為CounterTack的代理程式監視記憶體的活動,不只是監視檔案的變動,因此我們看得更多、更不容易誤判。」

舉例來說,某家位於新加坡的大型銀行客戶,CounterTack的監視系統觀察到某台主機,記憶體中有某個系統程序解密某個執行碼,該客戶的防毒系統完全沒有發出任何警告,「而我們的監視系統卻找出上述那些可疑活動並通知客戶,這也是我們技術的獨到之處。」David, Ong解釋。

每天會產生大量的log記錄嗎?

儘管CounterTack EDR技術能夠更準確、更全面,但這是否意味著每天將從所有的目標主機蒐集龐大的活動記錄(log),CounterTack的分析工具怎麼會有如此龐大的運算能力分析如此巨量的資料?

「CounterTack的Endpoint Threat Platform(ETP)能夠同時監視上萬台主機,這意味著我們的系統必須能夠同時監視上萬台主機的活動,」技術長Michael Davis說道:「其中的關鍵技術有兩個。第一個是我們運用Hadoop的巨量資料分析平台,因此能夠快速分析所有蒐集回來的主機活動,也是我們決策系統的基礎架構;第二是我們透過failure factor技術,為主機系統中的應用程式與作業系統建構模型,找出每一種應用程序的獨特樣貌,所以前端代理程式並不會送回所有的應用活動紀錄,而是將應用系統可能的『崩潰點』送回後台分析。」

代理商中芯數據表示CounterTack ETP能夠為資安營運中心(SOC)節省大量的人力維護,平均每位工程師可以負擔5000台主機的監視分析工作,預計未來可達到每人監視分析1萬台主機。「先前所提到的新加坡客戶的環境中,只需要4個人力資源,就可以監視分析4萬台主機活動。」

既然提到CounterTack運用巨量資料分析技術,目前安全業界也開始積極導入機器學習技術,這對CounterTack ETP平台是否有所幫助?

「在防禦已知威脅方面,機器學習會是個很好的方法,」Michael Davis解釋道:「這也是機器學習的強項,能夠在巨量資料中找出不同資料之間的關聯,並適時做出反應。但對以偵測未知安全威脅的CounterTack ETP來說,機器學習無法分析出未知威脅,能夠幫上的忙就很少了。」

換言之,Michael Davis認為,建構在DDNA之上的CounterTack EDR技術,仍然是企業客戶抵擋未知資安威脅的最佳工具。

只追蹤分析而不出手?

談了許多未知威脅偵測與系統活動分析,難道CounterTack EDR技術如同早期的IDS(Intrusion Detection System),只負責偵測而不阻擋嗎?

「這就是端點安全系統的好處,」Michael Davis說明道:「CounterTack不單只是分析系統的活動,更能夠追蹤使用者一連串的活動。」

舉例來說,某位員工將企業重要的客戶資料,從Salesforce頁面上,轉存成PDF頁面,然後上傳到網路磁碟空間中。企業可以在CounterTack的安全政策中,將Salesforce設定為重要機密,因此CounterTack有能力可以追蹤該PDF檔案,並發現有人透過Web下載PDF檔案,並透過iTunes將檔案傳到iPhone上。

「在CounterTack的安全政策中,除了可以設定追蹤功能之外,也可以設定阻擋某一些特定的檔案或動作,協助企業客戶防範資料外洩或內賊的破壞。」

Michael Davis同時表示,CounterTack的代理程式可安裝在PC與伺服器上,檔案體積約莫在3 – 4 MB,所損耗的CPU運算不超過2%,對系統效能的影響微乎其微。

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416