領先業界的事故回應與威脅獵捕系統,更快速的偵測(Detection)與回應(Response)

現今企業的安全團隊,想盡辦法要取得端點的數據以做為調查和主動防禦惡意攻擊行為的依據。現實是殘酷的,安全及IT 人員正正缺乏對可疑行為的能見度。所以需要一個工具或方法,可以幫助團隊做出正確的判斷。

CB Response 是一種領先業界的事故回應與威脅獵補解決方案,專為安全營運中心(SOC)團隊所設計。CB Response 能持續紀錄並儲存所有全局未經過濾的端點資訊, 讓安全專業人員可以即時獵補威脅,並且將完整的攻擊擊殺鍊以視覺化的方式呈現在用户眼前。它將CB Predictive Security Cloud 的彙合式威脅智能運用於端點活動系統,以紀錄證據並偵測已辨識完成的威脅與行為模式。

頂尖的 SOC 團隊、IR 公司及MSSP 都已經採用CB Response 做為其偵測及回應能力的核心。客戶也可以使用CB Response 來強化或取代舊的防毒解決方案,因為這些舊解決方案無法提供視野及脈絡,客戶只能盲目地應對攻擊。CB Response 可以藉由安全管理服務提供商,或直接以軟體服務的形式取得。

CB Response 提高了我們在調查上的信心,因為它能產生比傳統防毒軟體更豐富的發現。這包括偵測先進的惡意軟體及諸如Rootkit 等惡意行為,同時可以進行主機隔離、雜湊禁止、執行鏈接等等功能。」 -- IAC 資訊安全資深總監 MEHAN KASINATH

適用情形與效益

威脅獵捕以未經過濾的端點視野加速IR 及威脅獵補

事故回應:更快速的端對端回應及修補

預先準備面對侵害:減少因重現與服務台工單而產生的IT 困擾

警示驗證與分類:減少因重現與服務台工單而產生的IT 困擾

根本原因分析:迅速辨識攻擊者活動及根本原因

鑑識調查:確保能遠端存取受感染的端點以進行深入調查

主機隔離:以自動化獵補對未來的攻擊提供更好的保護

主要能力

  • 持續的集中式紀錄:未過濾端點數據的集中式存取意指安全專業人員擁有所需的資訊,得以進行即時獵補並在侵害發生後進行深度調查。
  • 遠端修補用即時回應有了即時回應,事故回應人員可以創造一個與受感染主機間的安全連結,在世界上任何地點開始或中止檔案刪除程序、執行記憶體傾印以及快速進行修補。
  • 攻擊鍊視覺化與調查CB Response 能為攻擊鍊做出直覺式的視覺呈現,讓辨識根本原因變得又快又容易。分析師可以迅速地瀏覽攻擊的每個階段、了解攻擊者的行為、封閉安全漏洞,並且從每一項新興的攻擊技術中學習,以避免再度淪為相同手法的手害者。
  • 以開放的整合式程式介面落實自動化Carbon Black 以堅強的夥伴關係以及開放式平台自豪,因為它們使安全團隊能將像是CB Response 這類的產品整合進他們現有的安全堆疊中。

功能

創新的客製化行為偵測

內建多達21種威脅情報,包含了許多公開的威脅情資內容,像是專門收集各式資訊系統安全漏洞、由美國政府成立的國家弱點資料庫(National Vulnerability Database,NVD),以及來自非營利社群、網羅惡意網域名冊的Malware Domain List(MDL),還有Facebook推出的ThreatExchange等

重客製化威脅情資來源,若是企業已購買了其他情資服務,例如FireEye iSIGHT,可自行匯入。

自動化白名單捕捉查詢

集中式資訊處理及二元搜尋

互動式攻擊鍊視覺呈現

迅速修補用即時回應

開放式程式介面以及超過120 種創新的整合

On-prem、虛擬個人雲端平台、SaaS MSSP

能與BigFix漏洞修補平臺整合,能快速修補端點電腦的漏洞。

在Cb Response的儀表板裡,彙整了有關企業內部資安情形,包含了尚待處理的警示通知,與列管端點電腦的狀態,這裡也提供了事件處理時效的態勢,像是清除威脅的效率,惡意軟體存活的時間,以及遭攻擊的端點電腦比例等。

Cb Response Dashboard

支援平台

端點的代理程式(感應器)所需資源極低,占用不到1%的處理器效能、20MB記憶體,以及平均50Bps的網路流量。感應器支援:

Windows (涵蓋了工作站、伺服器及嵌入式Embedded電腦)

MacOS

Red Hat Linux / CentOS Linux

應用案例 (資料來源ITHome)

如何在Cb Response調查攻擊事件:針對需要進行調查的事件與端點電腦,能進一步解析:

執行了夾帶惡意巨集的試算表檔案,名稱為報價單(含稅).XLS,然後再從Cb Response的管理平臺上,檢視系統所發現的異常情況。透過儀表板,管理者就能在剛才的端點電腦項目中,發現觸發的威脅事件。

從Cb Response的儀表板中,向下追查後,便能檢視整起事件的攻擊鏈。這裡不光顯示了處理程序的完整路徑,還包含執行命令的內容,因此,當我們透過微軟Excel軟體,開啟前述的試算表後,巨集呼叫了系統內建的PowerShell ,之間所下的指令和參數,就能在Cb Response管理平臺上檢視。若要分析這裡的PowerShell處理程序,我們可以看到Cb Response偵測到的指令之中,帶有一串類似亂數的代碼,隨後鑑識人員就能進行複製與分析。

Cb Response Process Analysis

呈現事件裡處理程序間的關聯

Cb Response在端點電腦中,發現了高風險的惡意軟體時(圖示1),管理者可進一步追蹤,列出整個過程,並針對其中的某個環節,檢視其執行的完整命令(圖示2),以及其詳細資訊(圖示3),然後再行處置:像是封鎖電腦連線(圖示4),或是使用命令列即時下達遠端指令(圖示5)等。

內建遠端執行指令工具,以供後續處置與鑑識之用

確認了事件影響的範圍後,管理者可依據其中的檔案雜湊值,進行全域性封鎖,或是暫時停用端點對外的網路通訊,若是想要更進一步連線到端點,遠端下達指令,以取回惡意軟體樣本、傳送解毒工具等,Cb Response也內建了名為Live Response的功能,讓管理者可使用指令作業,像是使用PS命令,可得知端點電腦裡,所有正在執行的處理程序,而利用MEMDUMP,則能截取記憶體的內容。

一般來說,在端點偵測與回應型態的產品中,對於疑似受害的端點電腦,它們大多提供管理者基本的遠端封鎖功能,包含禁止對外連線,或是阻絕惡意軟體在企業內部所有的電腦上執行等。

不過,對於鑑識時想要收集樣本,或是採取其他的措施,可能就要透過額外的遠端工具連線,或是到這臺電腦前操作。而Live Response提供的指令總共有20種之多,包含GET、PUT、KILL、DIR,以及ARCHIVE等,看似基本,卻可以直接支援上述工作的執行,省去介面切換的麻煩。

在命令回應的遠端指令工具中,Live Response也同時列出了電腦資訊,供管理者在調查的時候參考,而無須在端點電腦資訊頁面之間頻繁切換。而透過事件調查時的Go Live按鈕,進入Live Response的畫面後,我們便直接透過管理者權限,進入這臺端點電腦,而無須重新登入使用者帳號。

以我們透過帶有惡意巨集指令的文件,模擬無執行檔的攻擊手法中,就可使用ARCHIVE指令,將這個XLS檔案封裝成GZIP檔案,然後再透過GET指令下載,同時,也能藉由PUT上傳緩解攻擊的工具,在電腦上初步處置。

只是,若是管理者想要呈報企業內部的威脅情勢,Cb Response對於事件內容的報告輸出較為陽春,僅支援CSV檔案格式,部分的圖表能另存為PNG檔案。因此,企業想要產生報表,可能就要透過API,或是匯出上述的CSV檔案,與其他系統連接後,才能製作,流程上必須藉由外部的系統,並不方便。代理商指出,這個部分他們已經提出建議,原廠也尚在規畫,為Cb Response加入相關功能中。

Cb Response Live Response

提供命令列遠端採集電腦樣本

針對威脅事件調查,Cb Response內建了專屬的命令提示字元功能(圖示1),讓鑑識人員能即時遠端操作端點電腦,取回惡意軟體樣本,或是截取記憶體內部暫存的資料。而在畫面右側,Cb Response則是列出電腦的基本資訊(圖示2),以及目前正在執行的處理程序列表(圖示3)。