資安事件頻繁發生,世界經濟論壇(World Economic Forum, WEF)的《2024年全球風險報告》(The Global Risks Report 2024)即預測於 2025-2026 年間,資訊安全風險(cyber insecurity)是科技領域中最主要的風險來源;而在此期間,資訊安全風險更在所有類型的風險中名列第 4。
資安風險不容忽視,企業與組織應尋求良好的應對與管理方法。端點為縱深防禦的一環,範圍涵蓋員工使用的桌上型電腦、筆記型電腦;且不論是 Windows、MacOS 或 Linux 作業系統,皆有遭受攻擊者鎖定與入侵的可能性。
要為企業與組織降低資安風險,資安託管服務廠商(Managed Security Service Providers, MSSP)需要高效的端點偵測與應變工具(Endpoint Detection and Response, EDR),協助資安團隊快速應對不斷進化的威脅,避免資安攻擊影響企業日常運作,降低可能的營運風險。
要達到上述「事半功倍」之效,EDR 需具備以下三項關鍵特點:
1. 自動追蹤潛在威脅,簡化排查流程,提升威脅狩獵效率 能即時監控端點與偵測威脅、自動標記異常行為(如惡意軟體執行或異常登入),且無需複雜的手動分析。相較於傳統的多層次工具堆疊,EDR 介面易於使用,有助於資安團隊迅速聚焦問題核心。
1. 自動追蹤潛在威脅,簡化排查流程,提升威脅狩獵效率 能即時監控端點與偵測威脅、自動標記異常行為(如惡意軟體執行或異常登入),且無需複雜的手動分析。相較於傳統的多層次工具堆疊,EDR 介面易於使用,有助於資安團隊迅速聚焦問題核心。
2. 視覺化呈現資安態勢,易於掌握潛在風險
藉由 EDR 的威脅事件時間軸和視覺化報告,將複雜的可疑路徑轉化為易懂的資訊。相較於傳統工具的冗長日誌,以圖像化方式呈現與高風險事件相關聯的端點,可協助團隊快速判斷遭駭範圍,並進一步採取應變處置。
3. 自動產生摘要報告,提升管理效率
自動產生摘要報告,將資安事件的關鍵資訊(包括威脅來源、高風險端點清單等)彙整呈現,資安團隊無需從大量數據中手動整理,有助於管理者快速掌握端點狀況。
ThreatSonar Anti-Ransomware 易於使用、方便管理、快速應變
ThreatSonar Anti-Ransomware 威脅鑑識與回應平台的直覺式介面設計,可協助資安團隊方便管理,快速應對資安事件。
儀表板(Dashboard)視覺化呈現資安態勢,易於掌握場域端點狀況與潛在風險
為讓使用者全方位掌握可能潛在威脅,儀表板具備下列特點:
1. 視覺化呈現關鍵指標數據,一次綜覽場域安全態勢
- 以圖表呈現重要端點現況,節省資料彙整統計時間,提升管理效率。
2. 彈性化介面設計,可按需求客製化,滿足不同管理情境需求
- 使用者可新增或移除 Widget(小工具),因應各種管理需求。
3. 使用者導向的互動式設計,提升資訊易讀性
- 介面採易於使用的互動式設計,使用者移動游標即可預覽各區段的進階資訊,快速掌握重要資訊。
- 如需更多詳細資訊,可透過各相關功能頁面的連結,跳轉到詳細資訊頁面。
威脅追蹤:自動追蹤潛在威脅,簡化排查流程,提升威脅狩獵效率
使用者可訂閱固定使用的威脅狩獵規則,讓資安團隊可持續監控威脅狩獵的例行項目、關注環境中的潛在威脅,並快速調閱自動化端點威脅狩獵情況,精準掌握威脅風險以利後續事件調查與分析。
ThreatSonar 的主要威脅狩獵規則類型包括:
- 網路衛生:檢視是否存在遠端桌面軟體(Remote desktop software, RDS)、可攜式軟體(portable software)等各種可能造成資安威脅的軟體。
- 可疑檔案:檢視是否存在偽裝系統檔案的可疑程式、可疑建立時間檔案、已刪除的可疑檔案等。
- 可疑處理程序:檢視是否存在被注入的可疑程序(Process)、自啟動及連網功能的程序、可疑的勒索軟體行為等。
- 可疑動態連結程式庫:檢視是否存在具有特殊路徑劫持能力的可疑動態連結函式庫 (DLL)、具隱藏檔案屬性的可疑動態連結函式庫等。
- 其他:如檢視是否有 SoftEther VPN 攻擊者將憑證用於內網穿透等情況。
同時,使用者也可藉由命中狩獵規則總數的趨勢圖,查看特定期間內命中該規則的端點、檔案名稱、Hash 總數的變化趨勢。運用此功能,使用者能以自動化方式長期追蹤潛在威脅,快速掌握顯著的趨勢變化,使 MSSP 節省管理的人力與時間。
摘要報告:自動產生摘要報告、彙整監控結果,節省管理人力與時間
此功能可協助使用者按照需求綜覽場域資安情況,列出需要關注的高風險端點,並自動產生摘要報告,還可排定報告產生時程和設定群組寄信。
針對資安託管服務廠商(MSSP),本功能提供「客戶」選項,協助廠商快速辨識個別報告隸屬的客戶;透過單一畫面,無需切換即可掌握所有客戶狀況。
摘要報告自動彙整多種統計數據,並以圖表呈現,省卻資安團隊手動整理大量數據的心力。使用者也可自訂摘要報告項目和排程,方便 MSSP 管理不同客戶的端點監控,盤點所有端點的潛在威脅風險,提升應對處置的效率。
範例:
1. 威脅等級統計 CA/威脅等級統計 Anti-Ransomware:統計每日 Level 1 ~ Level 5 事件的端點數,使用者可從圖表了解各風險等級的端點總數。
1. 威脅等級統計 CA/威脅等級統計 Anti-Ransomware:統計每日 Level 1 ~ Level 5 事件的端點數,使用者可從圖表了解各風險等級的端點總數。
2. 端點威脅列表 CA:呈現最高等級(Level 5 與 Level 4)的端點清單,詳列端點主機名稱、IP、作業系統版本等資訊,並列出偵測到的「威脅」、「網路」與「事件紀錄」。
「威脅」資訊中顯示 Level 4 以上威脅事件的屬性與檔案路徑;「網路」則顯示 IP 與網域;「事件紀錄」則顯示屬性、Windows 事件日誌 ID 與相關資訊。
結語
有鑑於資安威脅已成為企業與組織無法忽視的挑戰,採取效果卓著的防護策略勢在必行。為將這些風險降至最低,部署一套出色的端點偵測與應變工具(Endpoint Detection and Response, EDR)至關重要;這套工具必須要易於操作,提供的資訊易於理解,才能讓企業掌握時機,快速應對資安事件,實現高效防禦。
TeamT5 推出的端點偵測與應變解決方案「ThreatSonar Anti-Ransomware 威脅鑑識分析與回應平台」符合上述 EDR 必備優點,即「自動追蹤潛在威脅,提升威脅狩獵效率」、「視覺化呈現資安態勢,易於掌握潛在風險」、「自動產生摘要報告,提升管理效率」,是企業與組織最佳選擇。這項方案榮獲台北國際電腦展 Computex 之 Best Choice Award - Golden Award 肯定,以領先情資持續預測未來攻擊,為企業與組織應對層出不窮的資安攻擊事件。
歡迎聯絡我們,免費試用。
杜浦數位安全 TeamT5 為網路威脅狩獵專家,團隊具備超過 20 年的惡意程式與進階持續性威脅(APT)的經驗,基於地緣和語言優勢,我們有效掌握亞太地區的駭客攻擊,更經常受邀參加世界級資安會議、發表研究成果。歡迎聯絡我們,了解備受客戶肯定的資安產品與服務。
Related Post
產品與服務
2022.03.08
除了防火牆,企業更需要的防勒索資安工具: 端點偵測及回應 EDR 解決方案
anti ransomware, T Time 資安小教室