MDR 廠商對於威脅情資的專業度,決定了 MDR 服務的深度與廣度。
擁有豐富威脅情資的 MDR 廠商,就像賽場上掌握對手資訊的情蒐人員,運用這些情報
建構更廣的守備範圍,掌握對手攻勢,並有效回擊。
威脅情資是什麼? 為什麼重要?
威脅情資(threat intelligence) 指的是與網路攻擊相關的資訊,需經由專業的團隊收集、轉換、分析、解釋等處理後,才能夠轉化為有用的情資,這也是提供資安決策過程所需要的基礎。
威脅情資依其依其內涵,分為3個層次,每個層次都可為企業的資安計畫帶來效益。
1. 戰術型威脅情資 指的是用來監看特定攻擊事件的入侵指標(IoC),如:資安團隊匯入企業資安設備中的 ip/ domain 黑名單等。
1. 戰術型威脅情資 指的是用來監看特定攻擊事件的入侵指標(IoC),如:資安團隊匯入企業資安設備中的 ip/ domain 黑名單等。
2. 實戰型威脅情資
指的能理解攻擊者手法的資訊。如果資安團隊能妥善掌握攻擊手法,就可以追蹤、識別和清除攻擊。特別是了解攻擊者的策略,可以大幅幫助資安團隊在初始階段,就提早發現攻擊,防患於未然。
3. 戰略型威脅情資
此類情資用於辨別誰會進行攻擊、為何會進行攻擊。威脅情資專業團隊透過分析不同駭客族群(又稱攻擊族群)常用的攻擊手法,識別發動攻擊的組織、了解攻擊目的。
而資安團隊可基於此類情資,掌握敵人現況,預測威脅的發展趨勢,更能提前調整資安部署,達到制敵機先的效果。
威脅情資如何應用在 MDR 服務?
網路攻擊可拆解為3大階段,分為入侵前、入侵中、入侵後。
於一般的 MDR 服務中,在企業遭遇入侵前,廠商會協助於企業內部部署環境監控機制、導入資安設備。
當攻擊者已經開始嘗試入侵的時候,MDR 廠商透過監測端點內的行為事件,即時對異常行為發出告警。
入侵後,MDR 廠商透過威脅狩獵來釐清事件全貌、追溯根源,並提供正確的處置建議,後續也可以協助企業調整資安政策規範。
然而有效掌握威脅情資的 MDR 廠商,能在原本的攻擊防禦上,提供更精準且更有效益的服務。
具體來說,掌握威脅情資的MDR 廠商在入侵前,即可透過監控暗網、關注惡意族群動向等方式,可以預先掌握近期可能的攻擊目標,或攻擊發生的前兆。例如在暗網上發現有人在採購、收集特定企業的登入憑證;MDR 廠商也可藉由威脅情資的內容,來安排企業資產的重要順序,提早對重要的目標進行修補,將資源優先分配到需要保護的地方。
在入侵事件初期,掌握威脅情資的 MDR 廠商即已熟知駭客族群攻擊手法,或已基於威脅情資訂定有效的偵測指標,可以幫助企業在事件發生初期分辨異常行為,進行防範或啟動應變機制。
入侵事件後,MDR 廠商則可結合威脅情資與威脅狩獵技巧,深入追查主機內的蛛絲馬跡,以達到縱深防禦的效果。
威脅情資在 MDR 服務過程中,扮演了重要角色。直接掌握、有效運用威脅情的 MDR 廠商提供了更佳的服務品質,因此 MDR 廠商對於威脅情資的專業度,決定了服務的深度與廣度。
TeamT5 杜浦數位安全團隊專精網路威脅研究,掌握深度專業威脅情資,並提供威脅偵測應變代管服務(MDR) 與端點偵測與回應解決方案(EDR)。已協助美日臺大型企業有效保護商業機密文件,營運不受網路攻擊影響。
進一步了解: TeamT5 杜浦數位安全的 MDR 服務
輕鬆展開企業資安防禦第一步,立即聯絡我們: https://teamt5.org/tw/request-information/
*圖片來源: unsplash