第十三屆金融業CIO高峰會春季場 會後報導
威脅都在外面?綜觀近年資安事件,不難看出內網攻擊才是最大威脅;故企業須趕緊加強內網可視性。但內網有許多「黑色領域」,如無法安裝 Agent 的設備,此時即需借重 NDR 來消弭盲點。
文/明雲青
近年台灣受地緣攻治影響,遭遇許多攻擊事件,除面臨勒索病毒威脅,甚至承受國家等級攻擊。也許資安事件頻傳緣故,導致很多人有「駭客很容易侵入企業」的印象。ExtraHop 資深業務工程師林孟忠表示,其實駭客不易入侵企業,反倒「內鬼」簡單多了,因為他擁有授權,可以合法登入許多系統或伺服器,再稍微提升權限,便可向上讀取到不該讀取的資訊。
因此「零信任」躍為顯學,不管存取者有沒有合法授權、是否通過身份驗證,企業仍需抱持戒心,完整記錄他的一舉一動。而實現零信任的先決條件,需要建立內網可視性,使「網路偵測與回應」(NDR)成為熱門資安方案。
[ 推薦閱讀:合勤 7 大面向著手落實資安 成功經驗堪為台灣產業借鏡 ]
林孟忠說,成立於2007年的 ExtraHop,始終聚焦發展 NDR,並積極結合機器學習(ML)技術,不斷增強對未知威脅的偵測力。企業部署 ExtraHop NDR,不需要停機或更改內網架構,只要讓它接收網路流量,即可藉由 AI/ML 機制,自動識別公司內部所有電腦、應用程式、資料庫、儲存設備…等,同時間把網路行為記錄下來,立即進行分析、即便加密流量也不例外,做到最完善的資安監控。
值得一提,ExtraHop NDR 可藉由 API,與企業內部現有資安設備進行整合;畢竟威脅型態日趨複雜,很難用單一方案全面掌控。論及 NDR 與常見資安設備的差異,在於多數設備位在閘道,側重於防護外來攻擊,但近年勒索病毒肆虐,讓人們驚覺內部威脅嚴重性, NDR 正好彌補內網監控缺口。即便駭客利用社交工程進入內網,仍會在 NDR、EDR 甚或 SIEM 聯防下無所遁形。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球 CIO 同步獲取精華見解 ]
NDR 像是 Google Map,詳加記錄人們的移動路徑,倘若有人跑進家戶,這時就需要利用家中的監視器(EDR)來輔助,記錄竊賊如何翻箱倒櫃、偷走什麼東西。此外假設企業安裝 SIEM,便可將收納所有日誌並執行關聯分析,探測到更細緻的內容,例如把竊賊進內網、潛人家戶、離開內網…等情節依時間軸還原出來。足見 NDR 絕非要取代他人,而是互相整合;尤其針對「網路的黑色領域」,如無法安裝 EDR Agent 的 IoT、IP CAM、印表機…設備,乃至不同設備之間的對話內容,都可透過 ExtraHop 立即分析,幫助企業及早察覺異常徵兆。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
