從EDR到MDR的轉折
最近接到了之前拜訪過的客戶主動聯繫,直接要求MDR服務能否儘速提供,究竟是什麼原因讓原本不接受將企業資安委外協助的想法產生改變呢?
回溯最初的接觸場景,當時正值該客戶在評選採購EDR強化端點安全的階段,並且相信有了EDR專業技術加持就能讓駭客攻擊無所遁形,同時也安排公司MIS人員接受各種資安專業課程,期許自家的安全自己管好的想法。
不過,就在近期發生的重大資安事件可說是該公司導入EDR的首次面臨實戰考驗,EDR管理系統上的調查作業跟訊息分析對於公司資安人員是一大挑戰。面對這樣的情況,客戶想起WIZON團隊曾提出的MDR資安委託服務的目的與好處,因此在取得老闆的同意下再次與我們聯繫協助。在介入威脅獵捕過程中,很順利地將EDR系統進行事件因素的調查清楚後,WIZON團隊也提出偵測分析結果並提出合適的防護響應作法。
值得分享的是,在事件處理結案會議上,該公司老闆說到4個關鍵心得:
專業工具需要專家駕馭,不論採購了功能專業優秀的產品或技術,使用的人員也需要足夠的能力與Know-how。
術業有專攻,專業能力的養成不是僅僅讓人員去上課學習或考取證照,透過外部有經驗的專家協助會更快速有效果。
內行看門道,看這些資安系統給出的各種訊息報告就跟公司財報一樣,不只要看得懂,還要知道該做出哪些反應判斷與行動。
別妄想找萬靈丹,原來資安事件樣貌很多、處理作法也不少,從我們給出的這個事件的防護建議了解到,原來覺得問題的肇因是有不同的關聯,比如他的心血管問題除了裝支架、吃藥、飲食控制、運動配合、還有情緒管理都得多管齊下才行,而且要持續觀察追蹤才行。
錯失釐清問題的關鍵階段 在上述案例的前期過程中,凸顯了“明明已經投入了資源,卻無法發揮偵測的效果”的情況,導致錯失識別資安威脅的第一時間點。我們在 擺脫駭客勒索的陰霾:掌握資安事件偵測與響應的關鍵一文中提到,偵測(Detect) 是釐清問題的關鍵階段,除了需要即時並持續的監控,更需要完整紀錄;因此在錯失關鍵階段,將導致駭客能潛伏在系統中,並有餘裕進行相關資訊搜集探勘、尋找攻擊的時間點、及做好攻擊行動的準備。之所以造成造成效果無法發揮的情況有以下常見原因:
缺乏工具熟悉度:EDR部署異常,當下卻沒有發現,也沒有其他專業人員能協助確認。並且由於承辦人員對工具的不熟悉,一直到事件發生時,想檢視資料才赫然發現EDR並未安裝成功。
缺乏防護追蹤機制:沒有追蹤機制來確保防護設備的正常運作和有效性,因此也無法即時採取行動,修正問題。
失效的電腦防毒軟體:客戶已部署了防毒軟體,但是被惡意的繞道或停用,因此造成防護的假象。
絕大多數的資安事件案例,往往是因為缺乏有效管理與監控,以及使用者對安全工具的誤解,導致防護設備形同虛設。在這個案例中可看到一個普遍的使用者迷思:擁有知名品牌專業產品就能夠全面保護系統免受威脅,事實上,即使有EDR系統的部署,如果沒有進行正確的設置、有效的管理、專門的監控之下,仍然可能無法降低資安威脅。接下來,我們將探討這個迷思背後的一些關鍵問題。
EDR的誤解與現實的差距
企業組織在評估端點方案時,可能存在對EDR的多種誤解並過多期待。這些誤解可能源於對於EDR目標錯誤理解,以及對於端點安全解決方案整體作用的誤判。一些常見的誤解包括:
不需要技能就能解讀告警
最常出現的誤解,就是『管理EDR的人員不需要任何資安知識或是技能,像傳統防毒軟體一樣管理即可』,認為只要收到告警,就能夠立即理解其含義並迅速做出反應。實際上,告警的解讀是結合專業知識和系統分析的過程,而非僅僅依賴直覺或表面判斷。許多告警內容可能需要進一步的分析和調查,才能確認是不是攻擊行為。尤其告警內容常包含許多專業網路安全術語(像是攻擊手法),缺乏相應的技術知識,將無法準確地評估其嚴重性和真實性。尤其當告警訊息大量增加時,在看不懂告警並且工作量大增的情況下,有些組織甚至會放棄告警訊息或是只專注在高風險告警,忽略潛在的安全風險。
EDR能完全防禦威脅
受到過往使用傳統防毒軟體的經驗影響,有些人可能誤以為『只要安裝EDR,就能完全防禦端點威脅』,而忽略了資安任務基本功。事實上,EDR的目的在於識別與響應威脅,而非完全阻止入侵。就現實面,我們也無法完全避免入侵,必須依靠適當的資安治理策略與防護工具,確保資安風險最小化。例如做好權限管理、避免在非官方或不明網站下載檔案、不要將公務帳號或設備用於非公務環境等。確保當威脅來臨時,能及早偵測,及早提供解決方案。
EDR能即時並自主響應
另一個常見的誤解是『EDR能即時並自主採取適當策略,響應各種威脅』。EDR僅是工具,儘管可以快速偵測和識別事件,但並不是所有事件EDR都能夠立即採取適當的回應。在『擺脫駭客勒索的陰霾:掌握資安事件偵測與響應的關鍵』我們提到,響應包含抑制、調查、恢復與善後,其中調查、恢復與善後都需要人為的介入。因此,企業仍需要制定適當的響應計畫,並擁有專業知識與技能的人員來協助響應,才能要發揮EDR的效益。
維持有效的資安防護
企業組織在評估防護方案時,常忽略『資安知識與技能』的必要性。Sophos 在2019 年曾公布調查報告,54%的企業組織未能充分發揮其EDR解決方案的效益,其核心原因正是缺乏足夠的網路安全技能與知識。因此企業在評估方案時,應考量到是否相應的知識技能以及人力資源,能有效管理所投資的工具。也不要忘了,偵測後對問題的有效響應,在面對資安威脅時同樣至關重要。同時,我們也要記得,資安防護不僅僅是工具的部署,更需要持續的監控和調整。因此建議企業組織應依循PDCA(Plan-Do-Check-Act)模式,規劃防護措施、執行計劃、檢查結果並進行調整,以確保防護策略的有效性和穩定性。
WiZON 創新的資安即服務方案,即符合PDCA四大項目,除了協助企業規畫與執行合適的端點防護措施外,定期月報讓企業快速掌握資安狀態,更有資安專家團隊服務,減少企業在資安人力、專業、及資源投資的沈重負擔,讓資安任務執行更輕鬆,達到有效管理。
Comments