日本最大資安解决方案提供商 Macnica Networks 提供的「Mpression 威脅狩獵服務」,是由資安分析師針對 TeamT5 杜浦數位安全研發之 ThreatSonar 掃描結果,進行分析,並為客戶執行威脅獵捕。此外,透過整合長期累積威脅情資所創建的客製化特徵偵測,對於針對日本攻擊的偵測率能有效提升。威脅獵捕服務提供單次掃描和年度訂閱制。
亮點
- 透過獨特 AI 偵測技術,並由分析師進⾏分析,獵捕繞過既有安全產品檢測的進階針對性攻擊。
- 調查 20,000 台設備,建⽴從資訊收集,到偵測與回應的診斷⽣命週期
- 針對無 IT 管理者的海外據點,提供端點安全可視化
伊藤忠商事 ITCCERT 專注於事件防禦
近年來,由於犯罪目的趨於產業化,網路攻擊變得更加進階和複雜,針對企業和組織的攻擊已成為管理風險。此外,以牟利為標的的勒索軟體和電子郵件詐騙等攻擊,是許多公司常遭遇的威脅。因此,近年來越來越多組織成立電腦資安應變小組(Computer Security Incident Response Team, CSIRT),以應對各種資安事件。
伊藤忠商事 CSIRT 於 2012 年成立,名為「ITCCERT」。其中的「R」包含三元素:準備(Readiness)、回應(Response)、恢復(Recovery)。「ITCCERT」是在 IT 規劃部門內所創建的虛擬組織,負責管理和營運公司網路。
伊藤忠商事 IT 規劃部門 ITCCERT 資深網路安全分析師佐藤元彥表示:「ITCCERT 專注於網路安全運營,重點放在事件預防、回應、分析和防範事件再發生。伊藤忠商事集團內 300 多家公司其中任一家提出需求,ITCCERT 會直接提供支援。」
伊藤忠商事有集團系統,旗下每家公司都有自己的資訊系統部門。但當網路安全事件發生時,ITCCERT 會率先回應。此外,ITCCERT 持續監控網路通訊和從公司外部發送的電子郵件。透過根據 Macnica 累積的知識和內部制定的檢測規則,能夠掌握現有安全產品無法檢測到的威脅特徵,並不斷新增能檢測類似攻擊的規則。
透過獨立情資獲得惡意軟體通訊的目標和 Hash 等資訊,可用於保護伊藤忠商事,並防止公司發生安全事件。
「ITCCERT 專注於事件預防,『預防事件至關重要』是我們每日工作的信念,」佐藤先生強調。
伊藤忠商事的威脅狩獵服務
另一方面,伊藤忠商事子公司及其海外據點所使用的網路,與總部不同,因此資安防禦措施無法產生直接效果。為此,ITCCERT 專為集團內公司和海外地點,成立「I」系列網路安全計畫。
這計畫內容廣泛,包括 URL 過濾服務、電子郵件詐騙預防工具、特定網路安全風險評估,以及可立即在實際工作中發揮作用的專題討論會。其中一項服務 -「I」Discovery,是一項端點安全服務,可檢查裝置上隱藏的惡意軟體。自 2017 年 10 月推出以來,已有 20,000 多台裝置威脅檢測的追蹤記錄。其核心技術採用 Team T5 所開發的威脅狩獵工具「ThreatSonar」。
威脅鑑識技術,收集威脅狩獵重要資訊
ThreatSonar 能快速收集電腦取證所需的資料,包括裝置上正在運行的程式、已刪除的檔案、記憶體中的資料。透過 TeamT5 自行研發的引擎,分析收集到的資訊,能精準揪出可疑檔案。
其 AI 導向的獨特行為模型,可徹底調查一般特徵導向的防毒軟體無法偵測到的可疑行為。ITCCERT 人員具備專業知識,藉由分析所收集到的資訊,可找出現有防毒軟體無法偵測到的隱藏惡意軟體。此外,透過 ITCCERT 與各子公司資訊系統部門共同分析檢測結果,Macnica 能夠快速確認適當的應對措施。
發現現有端點安全無法偵測到的威脅
在各種端點安全方法中,佐藤先生選擇了 ThreatSonar,因其基礎技術並非防毒,而是一款可以顯著提升安全等級的優異軟體。
伊藤忠商社擁有 300 多家子公司、約 10 萬名員工。此外,作為貿易商,成立合資企業、資本和業務策略聯盟等商業活動也很活躍。因此,伊藤忠商社不強制安裝特定的端點安全產品,而是各公司依自己的需求,安裝最適合的產品。所有公司唯一的共同點,就是都安裝了防毒產品。
「新世代防毒產品仍是防毒的延伸。防毒軟體廠商在技術上各有優劣,很難全面消除所有威脅。對我來說, ThreatSonar 是極具吸引力的資安產品,能夠使公司在使用既有防毒軟體下,同時利用 ThreatSonar 的獨特功能偵測威脅。」
當 Macnica 開始提供「I」Discovery 服務,超過 50 家集團公司自願申請使用該服務。超過一半申請該計劃的公司,完成單次掃描。一些公司則開始進行定期掃描。定期執行「I」Discovery 的子公司資訊系統部門表示,對於能夠確認其設備,未受到現有資安產品無法檢測到的未知或被規避的攻擊,感到滿意。
易於部署,是擴展至其他集團公司的決定性因素
ThreatSonar 不需要任何安裝。它只需派送並執行輕量掃描程式,就可在背景執行,使用者不需要具備任何相關專業知識或操作技能。
另一個優點則是運作時通訊輕量化,網路負載較小,不存在與作業系統或應用程式衝突或環境相依度等問題。」佐藤先生表示。
即使在資源有限的海外據點,也能建立資安監控系統
從實際報告中發現,透過實施「I」Discovery,發現了隱藏在合法程式中多年的銀行惡意軟體。佐藤先生認為,這更能確定,該系統不僅可以檢測運作中的惡意軟體,還可以檢測使用者已安裝的潛在惡意軟體和高風險軟體。
此外,海外員工也採用「I」Discovery。部分海外據點可能沒有 IT 管理人員,或甚至只有一名外籍員工。此外,海外據點裝置所使用的 Windows 作業系統版本和語言也有所不同。 ThreatSonar 的優點之一,是可以輕鬆部署在此類環境中,且不會有執行問題。
最後,佐藤先生表示,ITCCERT 正考慮未來在「I」Discovery上應用自訂特徵,以進一步強化伊藤忠集團的資安。
關於客戶
伊藤忠商事
伊藤忠商事成立於 1858 年,創辦人伊藤忠兵衛從亞麻貿易業務起步。之後,在大阪經營和服和貨物業務,奠定了事業基礎。目前伊藤忠商事在日本等全球 65 個國家,擁有約 130 個據點,為紡織、機械、金屬、能源、化工、食品、住宅、資訊、保險、物流、建築和金融等領域的大型企業,業務範圍廣泛,包括進出口和三邊貿易,以及國內外商業投資。
接受採訪者:
伊藤忠商事 IT 規劃部門 技術管理辦公室
ITCCERT 資深網路安全分析師
佐藤元彥
ITCCERT 資深網路安全分析師
佐藤元彥
原文出自: Macnica