隨著駭客攻擊戰術、技巧和程序(TTP)日新月異,企業組織的資安團隊需要更與時俱進的資安防禦平台,識別出最新的威脅、獵捕企圖繞過檢測的攻擊。然而,要快速且有效達成防禦新型態的威脅攻擊,單單只依靠多數 EDR 所採用的基於規則的威脅偵測技術是不夠的。
已知威脅告警多、最新威脅潛入卻悄聲,如何快速、有效辨識?
一般的 EDR 基於已知的入侵指標(IoC)進行偵測。IoC 可能包括攻擊的相關資料,例如惡意程式碼類型、中繼站 IP、惡意軟體簽章以及其他技術資料,這些資訊可以協助資安團隊確定是否發生了攻擊。同時藉由 YARA rule 針對檔案或記憶體的特徵,建立規則來追蹤惡意程式。
但對於資安人員來說,藉由 EDR 偵測,每天會收到上千筆異常事件告警,要能從中有效辨識出真正的高風險事件,仍是一大挑戰。同時,若要能成功偵測出最新的威脅手法,就必須時常更新 IoC 以防禦零時差攻擊,這對於長時間埋首於威脅判讀和分析的資安人員來說,無疑成為日常工作的負擔。
基於 Sigma rule 的偵測分析,讓最新威脅無所遁形
類似於 Yara rule 使用 IoC 來幫助識別和分類惡意軟體,Sigma rule 則是透過資安人員指定的標準來比對記錄檔中常見的威脅,強化事件偵測能力。
Sigma rule 最大的好處在於其採用標準化格式,打破了不同 SIEM(Security Information and Event Management)平台各自使用特定格式或語言的藩籬,讓資安人員可以在編寫一次規則後,透過標準格式分享並應用在不同的 SIEM 解決方案,不需要再重新編寫規則,提高檢測效率,減少資安人員的負擔。
Sigma rule 的開源性質,讓網路資安專家可以透過 GitHub 等共享平台共享和改善 Sigma rule,一方面透過公共環境鼓勵大家分享知識與交流,另一方面也可藉著共享模式,讓新手和專家都可以從中貢獻經驗與彼此學習,進而縮小資安技能的落差,也減輕了企業組織普遍面臨資安人員不足、亟需提升專業能力的壓力。
ThreatSonar Signal Pattern 即時掌握威脅「訊號」
相容於 Sigma rule,TeamT5 將長期研究駭客攻擊的行為分析以及最新的威脅攻擊手法,轉化為 ThreatSonar 最新 Signal Pattern 偵測引擎,以行為規則進行比對,即時偵測端點上是否有可疑的程式行為。
ThreatSonar 的 Signal Pattern 是由 TeamT5 事件應變處理專家與分析師共同撰寫的規則,不僅能更快速的應變新揭露的威脅,同時相容開源的 Sigma rule。TeamT5 所自行開發的 Signal 引擎,透過即時蒐集端點系統行為以及新型態掃描機制來完成。藉此,能將 TeamT5 最新的事件應變處理經驗與情資研究結合到 ThreatSonar 偵測引擎,快速反應新型態的威脅或攻擊方式。
Signal Pattern 是什麼?
「Signal」(Sigma-based Threat Analytics Local-side Monitoring)呼應 ThreatSonar 中「Sonar」的「聲納」之意,在利用聲納探測敵方所發動的攻擊時,可追蹤端點上是否有可疑的訊號 –「Signal」,即使信號微弱、或看來微不足道,但藉著關聯不同的可疑訊號,可及早找到駭客的惡意行為。一旦經 ThreatSonar 的 Signal Pattern 辨識為高風險威脅,立即發送事件告警,讓使用者在可視化介面上做及時處置,防堵進一步的攻擊行為。
Signal Pattern 帶來的效益:
- 及時防禦:TeamT5 專業團隊快速新增規則,有效抵禦當前最新威脅和零時差攻擊。
- 支援本地掃描:不受網路限制,快速應變攻擊。
- 視覺化呈現:若命中規則,使用者可在Incident Report 頁面,掌握事件攻擊軌跡。
綜上所述,藉由 TeamT5 掌握到的最新情資、重大漏洞、近期國際上發生的網路攻擊事件,及時更新 ThreatSonar 的 Signal Pattern,讓企業組織可即早防禦所屬產業當前可能遭遇的駭客攻擊手法,減少被駭風險。
杜浦數位安全 TeamT5 為網路威脅狩獵專家,團隊具備超過 20 年的惡意程式與進階持續性威脅(APT)的經驗,基於地緣和語言優勢,我們有效掌握亞太地區的駭客攻擊,更經常受邀參加世界級資安會議、發表研究成果。歡迎聯絡我們,了解備受客戶肯定的資安產品與服務。