「IPaaS」MDR 服務解決方案
歷經多年發展,現今市場上已有SOC、情資中心或MDR / XDR 等多種資安託管服務可供企業選用。但許多企業仍對這些服務心存疑慮,似乎每次都是出現密集告警後,服務團隊才展開事件處理流程,耗時1、2 個月收集和分析大量端點資料,最終針對疑似受感染的主機進行重灌;姑且不論這般方式能否斬斷攻擊來源,時間延宕如此久,其實已對企業造成不小傷害。
「IPaaS」MDR 服務,採取截然不同的模式。包括承諾在服務期間內,不限次數協助執行事件處理;不需等客戶反應,而是反過來主動向客戶通報問題;更重要的,主動遞交給客戶的通報單,也會附上行動方案建議,因此當客戶收到通報單後,平均僅花費5分鐘即可排除問題,且在多數情況下,上述問題仍處於萌芽階段,尚未真正危害企業。
IPaaS 監控室猶如「企業內部資安團隊的延伸」,可一氣呵成執行事件的分析、通報、處理與諮詢,進而與企業共同防禦進階威脅,確保企業不致淪為資料外洩或勒索加密的負面新聞苦主。
主動通報客戶,揪出所有受感染主機
駭客攻擊模式已出現變化,以往對同一企業發動過一次勒索軟體攻擊後,至少先停一陣子,短期內再度攻擊的機會不大;現今駭客為了逼企業繳付贖金, 會反覆施放勒索病毒,所以企業就算多次重灌電腦也於事無補。
「IPaaS」MDR 服務即可在短短數分鐘的調查中,便揪出所有受感染主機,進而完成報告,完整揭露感染範圍、病毒樣本;若企業全面部署IPaaS Agent,爾後不管駭客從哪些主機採取惡意行動,只要一有動靜,將隨即被中芯數據鎖定,適時瓦解攻擊。
IPaaS 服務不靠傳統資安人員倚重的閘道型資安設備日誌、網路流量資訊或登出入紀錄,而是靠『行為分析』,電腦的所有運行,背後皆由一支支程式所驅動,IPaaS Agent 可監測這些程式的行為舉止,只要發現異常,哪怕它已注入到記憶體深層,都會被 IPaaS 數據監控室識破。
簡單彈性的服務架構
利用行為分析技術,事中即時阻斷惡意行為
大致上來說與一般SOC 的差異,一方面在於資料收集範圍的不同;另一方面源自架構的不同,SOC 高度仰賴SIEM,而中芯數據則直接將端點資料彙集到 IPaaS 平台、直接展開行為分析,同時間並不需要客戶端部署其他的資安設備。
更特別的,在組織設計上,也不像一般SOC 區分為一、二、三線團隊,而是由同一組分析人員協助同一客戶做調查與回應; 係因這組分析人員長期參與此客戶環境的監控與分析,對客戶資訊架構相對熟悉,故能稱職扮演最後一道防線,在事件發生的當下有效鎖定問題點,在最短時間內解除異狀。
在IPaaS 服務架構下,不管幾十、幾百、幾千或幾萬台主機的行為資訊,都落入日常監控範疇,根本不需大費周章另啟鑑識程序,在平時只要出現異常活動,無需等到真正發作或釀成災情,便可在事中提前處置,這才是企業真正需要的MDR服務。
即使企業有預算考量,可優先鎖定主要伺服器、對外服務、高權限人員的電腦來優先部署 IPaaS Agent,若行有餘力,針對經常帶進帶出公司的筆電也有必要納入監控,以期將「可能被偷資料的設備」、「有權限偷資料的設備」通通守護住;做好這一步,縱使遇到出現頻率激增的供應鏈攻擊,都可望有效防範,只因駭客攻擊鏈當中不管第二跳、第三跳或第四跳… 等等,終將落入IPaaS 偵測與清除的範圍。
即時鑑識 精準定位 簡單處理
如果你想要了解更多關於MDR解決方案的信息,請聯繫銀興團隊,我們將為您提供協助,很高興認識您。