謝至恩由於現在的網路邊界逐漸朝用戶端推進,意即許多裝置端點本身具備連結不同網路的能力,因此企業的資安防禦策略,除了基本該具備的網路安全防禦外,近年來也格外重視端點安全,讓終端裝置成為新的網路邊界。
有趣的是,並非所有的端點安全廠商,是從端點安全技術開始發展的。由中芯數據代理的端點安全廠商-CounterTack,技術長 Michael Davis 與亞太區總監 David, Ong,在專訪中與編輯部談到 CounterTack 的技術特點。
本文目錄
脫胎於誘捕系統
「CounterTack 約莫在 7 年前創立」,技術長 Michael Davis 談到公司一開始並非發展端點安全技術,「我們當時其實做的是誘捕系統 (Honey Pot),安裝在企業網路中,用來偵測在企業網路中流竄的非法活動。
由於是以誘捕系統的想法開始設計,因此一開始的做法便與防毒系統完全迥異。「由於誘捕系統必須跟駭客們的入侵活動鬥智,因此必須全面掌握誘捕主機的所有活動,包括檔案讀寫、記憶體活動與 CPU 指令與系統程序等,比傳統的特徵比對式防毒軟體更為全面。」Michael Davis 解釋道:「因此,CounterTack 的代理程式 (agent) 能夠全面蒐集目標主機的所有活動行為,並即時分析可疑程度。舉例來說,當電子郵件程式呼叫 Word 文書程式來開啟信件附件的 Word 檔案,這是個正常的動作,系統不會發出警告;但倘若執行 Word 程式後,Word 卻偷偷開啟 PowerShell 程式,這就是一個不正常的行為了,因為在 CounterTack 的數位 DNA(Digital DNA, DDNA) 的行為分析中,Word 軟體的合法行為中並不包括開啟 PowerShell,因此系統將送出警告給使用者或管理後台。」
這也決定了 CounterTack EDR(Endpoint Detection and Response) 技術與防毒技術的關鍵差異,亞太區總監 David, Ong 表示:「因為 CounterTack 的代理程式監視記憶體的活動,不只是監視檔案的變動,因此我們看得更多、更不容易誤判。」
舉例來說,某家位於新加坡的大型銀行客戶,CounterTack 的監視系統觀察到某台主機,記憶體中有某個系統程序解密某個執行碼,該客戶的防毒系統完全沒有發出任何警告,「而我們的監視系統卻找出上述那些可疑活動並通知客戶,這也是我們技術的獨到之處。」David, Ong 解釋。
每天會產生大量的 log 記錄嗎?
儘管 CounterTack EDR 技術能夠更準確、更全面,但這是否意味著每天將從所有的目標主機蒐集龐大的活動記錄 (log),CounterTack 的分析工具怎麼會有如此龐大的運算能力分析如此巨量的資料?
「CounterTack 的 Endpoint Threat Platform(ETP) 能夠同時監視上萬台主機,這意味著我們的系統必須能夠同時監視上萬台主機的活動,」技術長 Michael Davis 說道:「其中的關鍵技術有兩個。第一個是我們運用 Hadoop 的巨量資料分析平台,因此能夠快速分析所有蒐集回來的主機活動,也是我們決策系統的基礎架構;第二是我們透過 failure factor 技術,為主機系統中的應用程式與作業系統建構模型,找出每一種應用程序的獨特樣貌,所以前端代理程式並不會送回所有的應用活動紀錄,而是將應用系統可能的『崩潰點』送回後台分析。」
代理商中芯數據表示 CounterTack ETP 能夠為資安營運中心 (SOC) 節省大量的人力維護,平均每位工程師可以負擔 5000 台主機的監視分析工作,預計未來可達到每人監視分析 1 萬台主機。「先前所提到的新加坡客戶的環境中,只需要 4 個人力資源,就可以監視分析 4 萬台主機活動。」
既然提到 CounterTack 運用巨量資料分析技術,目前安全業界也開始積極導入機器學習技術,這對 CounterTack ETP 平台是否有所幫助?
「在防禦已知威脅方面,機器學習會是個很好的方法,」Michael Davis 解釋道:「這也是機器學習的強項,能夠在巨量資料中找出不同資料之間的關聯,並適時做出反應。但對以偵測未知安全威脅的 CounterTack ETP 來說,機器學習無法分析出未知威脅,能夠幫上的忙就很少了。」
換言之,Michael Davis 認為,建構在 DDNA 之上的 CounterTack EDR 技術,仍然是企業客戶抵擋未知資安威脅的最佳工具。
只追蹤分析而不出手?
談了許多未知威脅偵測與系統活動分析,難道 CounterTack EDR 技術如同早期的 IDS(Intrusion Detection System),只負責偵測而不阻擋嗎?
「這就是端點安全系統的好處,」Michael Davis 說明道:「CounterTack 不單只是分析系統的活動,更能夠追蹤使用者一連串的活動。」
舉例來說,某位員工將企業重要的客戶資料,從 Salesforce 頁面上,轉存成 PDF 頁面,然後上傳到網路磁碟空間中。企業可以在 CounterTack 的安全政策中,將 Salesforce 設定為重要機密,因此 CounterTack 有能力可以追蹤該 PDF 檔案,並發現有人透過 Web 下載 PDF 檔案,並透過 iTunes 將檔案傳到 iPhone 上。
「在 CounterTack 的安全政策中,除了可以設定追蹤功能之外,也可以設定阻擋某一些特定的檔案或動作,協助企業客戶防範資料外洩或內賊的破壞。」
Michael Davis 同時表示,CounterTack 的代理程式可安裝在 PC 與伺服器上,檔案體積約莫在 3 – 4 MB,所損耗的 CPU 運算不超過 2%,對系統效能的影響微乎其微。