Endpoint Detection and Response (EDR)多數應用在防毒防駭與惡意程序竊取層面上,甚至見到相關產品添加人工智慧(AI)雲端智能分析判讀技術。
「似乎完美但是仍有缺漏」
在近期我們會發現APT特定目標所訂製程序的攻擊行為,或是新穎的勒索惡意程式,仍在企業與政府組織中達成破壞竊取的目的。
其因:
- 新穎手法仍易於穿透在一個已經訂製模板化產品中,所以很難找出完美的防守;
- 這是一個行為心理鬥爭,駭客面對這些知名防毒防駭產品,會試圖找出隔離中斷宰殺的手法,在遂行竊取與破壞資料的目的,就是敵暗我明;
- 相關產品無法客製掌握環境的彈性,例如:作業系統指令總是被允許運作,刻意關閉,讓維持穩定運作與服務成本大幅增加,換言之,就是只能設計出滿足百分之50~70可預測的防守機制,卻無法面對行為不可測與環境使用彈性。
當這樣的時空背景,轉換到一個高度管控企業組織,企業組織更甚重視Insider Threat 內部人員竊取資料「人」的行為時,那至智慧資產價值與防守標的意義也會不同。即便重視Insider Threat,駭客與惡意程式防護仍不可偏廢。
EDR 普遍認知與價值
看完牌一篇文章「需要 EDR 的五大原因」,反思EDR與UEBA的整合應用,會發現我們常常試圖從SIEM產品或是Splunk自訂程式的儀表板,來分析檢視風險,進一步來圍堵風險,有沒有一種「搔不太到癢處」的感覺。
事後追蹤鑑識,都沒有「即時」或「近即時」的防護與對策執行來的好,這就是對潛在事件的回應更快,這就是該篇文章所闡述的問題。但是不能過度吹捧 EDR 效益,仍有它無法滿足之處。以這類「防毒防駭資料破壞竊取」特徵來說,仍有著巨擘的貢獻,想想一般人,遑論有能力處理解決,端賴這類產品的協防來降低風險。
當DLP與 EDR 結合
把「場域」拉到高度管制企業與組織,使用者可能連上網都被禁止,手機鎖在養「機」場不能攜入,那所謂的風險就是企業的惡意員工,很不巧的企業惡意員工,會以故意與非故意來呈現在IT行為活動中,無法從臉上看出來的;是需要從日常端點活動與資料取用行為來辨別的。
很可惜!!的員工行為活動包羅千萬,舉凡郵件、裝置存取、內網登入、檔案操作…等,光一個員工會累積出巨量的操作資料。想必您這會想,會採用數據分析來查找風險,但往往「掛一漏萬」,因為掌握Insider Threat專業不足,以及時間未必能充分完成,反將IT與稽核忙翻,功效未必顯著,甚至還要投入更多的人力。
記得我在人工智慧學校上課時,常常聽到「資料科學家」名詞,這個名詞是建構在對於該專業領域的專業前提下。如果此時有一位內部威脅行為分析專家,一企業組織屬性,擬定潛在內部威脅竊取事件的EDR環境建構,這樣企業就可以讓IT以及稽核更專注於相關工作,且快速降低風險。這就是DLP與 EDR 結合新價值。
未來發展
有一點很重要,行為分析依賴資料蒐集是否完善,且有效控制干擾DLP的外部因素,以這樣的目標,才能真正替企業組織把關。不久將來精品科技也會依據累積內部威脅行為分析經驗,替企業組織建立起內部威脅快速反應對策,來滿足快速降低風險。