全部文章分享

       本文擷取自資安人

Check Point® Software Technologies Ltd.的威脅情報部門 Check Point Research 發佈《2023 年第一季品牌網路釣魚報告》，列出今年第一季網路犯罪者企圖竊取個人資料或付款資訊時最常冒充的品牌。跨國零售巨頭沃爾瑪（Walmart）（16%）從去年底的第 13 名躍升至本季榜首，因先前曾遭假冒發動網路釣魚攻擊，誘騙受害者點擊與「供應系統崩潰」相關的惡意連結；緊接在後的分別是 DHL（13%）及微軟（Microsoft）（12%）。就整體產業來觀察，科技業最常被冒充，其次為運輸和零售業。
 
此外，報告中特別提及攻擊者會利用金融組織竊取帳戶資料，排名第 8 的瑞福森銀行（Raiffeisen Bank）於本季首次上榜。在假冒為瑞福森銀行的釣魚攻擊中，攻擊者會企圖引誘收件人點擊惡意連結，以確保帳戶免於詐騙活動侵害，而受害者的個人資料在點擊後會旋即落入攻擊者手中。
 
Check Point Software 數據研究經理 Omer Dembinsky 表示：「犯罪集團希望透過這些網絡釣魚攻擊誘騙更多人洩漏個人資料。在某些情況下攻擊者是想取得帳戶資訊，就如同瑞福森銀行所遭遇的事件；而另一種攻擊目的則是竊取付款資料，例如冒充熱門串流平台 Netflix 所發動的釣魚攻擊。然而，防範網路釣魚攻擊的最佳方式仍是增進相關知識；企業應為員工提供適當培訓，讓他們有能力辨別可疑跡象，例如拼錯的網域、錯別字、錯誤日期及其他透露出其為惡意電子郵件或連結的細節。」
 
在品牌網路釣魚攻擊中，犯罪分子會試圖使用與真實網站相似的網域名稱或 URL 以及網頁設計，來模仿知名品牌的官方網站。導向詐騙網頁的連結可透過電子郵件或簡訊發送給目標對象，並在瀏覽網頁期間被重新導向，也可能經由詐騙應用程式觸發；其中，詐騙網站通常會設計一個用於竊取用戶憑證、付款明細或其他個人資料的表單。
 
2023 年第一季最常被用於網路釣魚攻擊的品牌
全球所有網路釣魚攻擊的品牌出現率排名如下：


沃爾瑪（16%）
DHL（13%）
微軟（12%）
LinkedIn（6%）
FedEx（4.9%）
Google（4.8%）
Netflix（4%）
瑞福森銀行（3.6%）
PayPal（3.5%） 

瑞福森銀行網路釣魚電子郵件—帳戶竊取範例


以下範例為攻擊者試圖透過網路釣魚郵件竊取用戶的瑞福森銀行帳戶資料。信件的寄件人名稱雖為「Raiffeisen」，但 Webmail 位址為「support@raiffeisen-info[.]com」；主旨則是以羅馬尼亞文撰寫「尚未啟用新的 SmartToken 服務」，信件內容則提到受害者須啟用 SmartToken 服務確保帳戶免於詐騙活動侵害，並附上一個引誘受害者點擊的惡意連結「https://urlz[.]fr/kxnx」，企圖竊取其帳戶。




主旨為 「尚未啟用新的 SmartToken 服務」惡意電子郵件


Netflix 網路釣魚詐騙—企圖竊取付款資訊


在 2023 年第一季 Check Point 曾發現一封冒充 Netflix 的惡意網路釣魚電子郵件。這封看似來自「Netflix」的電子郵件，實際上來自一個 Webmail 地址「support@bryanadamstribute[.]dk」；其主旨為「請更新—帳戶暫停服務」，信中聲稱收件人的 Netflix 帳戶因次期帳單未授權已暫停服務，並提供一個續訂連結要求受害者輸入付款資訊，但該連結卻將使用者導向惡意網站「https://oinstitutoisis[.]com/update/login/」，企圖竊取其付款資訊。

資安專家示警：Windows 系統管理者應立即修補嚴重的 MSMQ QueueJumper 漏洞

           

      本文擷取自資安人

WithSecure™唯思安全針對不斷變化的勒索軟體推出了「Undo button」按鈕—活動監視器(Activity Monitor)，即時監控惡意軟體對資料進行修改，並在偵測到加密過程時，阻止加密且將資料回溯復原到未加密狀態，確保環境不受任何攻擊威脅。
 
目前端點保護產品使用的防毒引擎，一旦發生可疑活動就立即阻止，在少數情況下，這可能會導致誤報和系統短暫的延遲，如應用程式的標準更新可能會被阻止，因為系統從未見過且試圖從遠端伺服器下載並執行代碼，而全新活動監視器則解決了這個疑慮，特別是對於勒索軟體攻擊，由於該功能在監控開始後回溯任何的更改，因此無需在第一時間阻止可疑活動，發生誤報和對用戶的干擾將明顯減少。
 
活動監視器技術是特別為勒索軟體而設計的，通常勒索軟體會對檔案進行加密，而不是竊取它們，當勒索軟體開始在您的電腦上執行，系統就會自動監控其工作階段，並即時追蹤所有活動，如果惡意代碼啟動了一個程序，該程序又啟動了另一個程序，且在系統的不同區域中擴散，則該工作階段的每一步都會受到監控，並建立相關檔案的臨時備份，一旦任何檔案被加密，系統就可以輕鬆地「回溯」該工作階段所做的任何更改。
 
最新的活動監視器技術已在WithSecure唯思安全Elements Endpoint Protection雲中控端點防護解決方案運作，該解決方案是Elements網路安全防護平台的一個模組。基於雲端的平台提供了針對勒索軟體和先進攻擊的有效保護，並由單一中控台簡單管理，它可以整合所有端點設備，確保企業不會遭受網路攻擊。
 

         本文擷取自資安人

根據最新公佈的分析報告，2022年釣魚郵件的發送量驚人地增長了569%。

Cofense 研究人員使用人工和機器學習分析篩選了來自 3500 萬用戶的全球數據資料後，發布了最新的《電子郵件安全狀態報告》，顯示2022年釣魚郵件的驚人增長。

該電子郵件安全報告揭示了五個具體的趨勢：

憑證釣魚郵件數量激增了478％；
Emotet和QakBot是觀察到的頭號惡意軟體家族；
商業電子郵件犯罪（BEC）連續第八年排名第一；
Web3的使用率增加341％；
在資料外洩方面，Telegram機器人使用增加800％。

Cofense資安長 Tonia Dudley在談到電子郵件安全報告時表示：「網路安全形勢在不斷變化，因此及時掌握最新的趨勢和策略至關重要。國家級攻擊和整體重大事件的增加，持續對董事會、企業高管和資安保險公司等施加壓力，以推動組織的安全計劃的可視度。」

             本文擷取自資安人

Sophos發布《2023 年網路安全現況：攻擊者對防禦者造成的業務影響》調查報告，揭露亞太地區和日本的 93% 組織執行一些重要的安全性作業 (如威脅捕獵) 時遇到難題。問題包含理解攻擊是如何發生的，其中 76% 的受訪者表示他們很難找出事件背後的根本原因。在這種情況下，組織可能會難以進行適當的修復，容易受到相同或不同攻擊者的重複和/或多重攻擊，特別是當有 71% 的受訪者回報表示他們無法及時進行修復時。

此外，74% 的受訪者表示他們無法找出哪些訊號/警示需要調查，71% 的受訪者回報他們不知道如何安排調查的優先順序。

Sophos 商業現場技術長 John Shier 表示：「全球只有五分之一的受訪者認為漏洞和遠端服務是 2023 年最重要的網路安全風險，但在現實上，這些風險經常被主動的攻擊者所利用。這一連串作業上的問題，代表這些組織無法看到全貌，並可能根據不正確的資訊採取行動。沒有比過度自信地犯錯更糟糕的了。進行外部稽核和監控有助於消除盲點。我們可以像攻擊者一樣檢視您的系統。」

其他發現還包括：

50% 的受訪組織表示，現在的網路威脅對他們來說太先進了，無法單獨應對
63% 的受訪組織希望 IT 團隊可以花更多時間處理戰略性的問題而非回應威脅，55% 的受訪者表示，對付網路威脅的時間已經影響了 IT 團隊在其他專案上的工作
雖然 94% 的受訪者表示他們正在與外部專家合作來擴大作業範圍，但大多數仍然會參與威脅管理，而非全面採取委外的方法

Shier 表示：「當今的威脅需要及時和協調的回應。不幸的是，太多組織都只能採取被動的守勢。這不僅會影響組織的核心業務，還對人員造成了巨大的影響。全球超過一半的受訪者表示，網路攻擊讓他們輾轉難眠。免除猜測，並根據可操作的情報採取防禦性控制，可以讓 IT 團隊將重心放在推動業務上，而不是試圖撲滅永無止盡的主動式攻擊。」

      本文擷取自iThome

Sophos 是創新和提供網路安全即服務的全球領導者，今天發布一份網路安全業界如何利用 GPT-3 (即眾所周知的 ChatGPT 架構背後的語言模型) 當作輔助來協助擊敗攻擊者的最新研究。最新報告「適用於你我的 GPT：在網路防禦中使用 AI 語言處理」詳細介紹了 Sophos X-Ops 開發的幾個專案，他們使用 GPT-3 的大型語言模型簡化在安全軟體的資料集中搜尋惡意活動，更準確地過濾垃圾郵件，並加快了對「就地取材」(LOLBin) 攻擊的分析。
Sophos 首席威脅研究員 Sean Gallagher 表示：「自從 OpenAI 在去年 11 月推出 ChatGPT 以來，安全社群關注重點都是在這項新技術是否會帶來潛在的風險。人工智慧能否幫助潛在的攻擊者編寫惡意軟體，或是幫網路犯罪分子寫出更具說服力的網路釣魚電子郵件？或許是吧，但是 Sophos 長期以來一直將 AI 視為防禦人員的盟友，而不是敵人，我們將 AI 視為 Sophos 的基礎技術，就連 GPT-3 也不例外。安全社群不僅應該注意潛在風險，還應該關心 GPT-3 帶來的無窮機會。」

Sophos X-Ops 研究人員，包括 SophosAI 首席資料科學家 Younghoo Lee 等，一直致力於三個原型專案，用於展示將 GPT-3 當作網路安全防禦人員助手的潛力。這三者都使用一種稱為「小樣本學習」的技術，只用少量資料樣本來訓練 AI 模型，減少必須收集大量預分類資料的需要。

Sophos 使用少樣本學習方法測試的第一個應用是自然語言查詢介面，用於篩選安全軟體遙測中的惡意活動，特別是在 Sophos 旗下端點偵測和回應產品中測試了這個模型。透過這個介面，防禦人員可以使用基本的英文命令過濾遙測數據，而無需了解 SQL 或資料庫的底層結構。

接下來，Sophos 使用 ChatGPT 測試了一個新的垃圾郵件篩選器，並發現與其他用於垃圾郵件篩選的機器學習模型相比，使用 GPT-3 的篩選器明顯更準確。最後，Sophos 研究人員開發了一個程式來簡化對 LOLBins 命令列進行逆向工程的程序。這種逆向工程是出了名的困難，但對於理解 LOLBins 的行為以及在未來如何阻止此類攻擊非常重要。

Gallagher 補充說：「安全營運中心越來越關注的問題之一是傳入的『雜訊』太多。需要整理的通知和偵測結果太多，但許多公司卻都只有有限的資源。我們已經證明，透過 GPT-3 之類的技術，我們可以簡化某些勞力密集型的程序，將寶貴的時間歸還給防禦人員。我們已經將上述一些原型整合到我們的產品中，並且在 GitHub 上為那些有興趣在自己的分析環境中測試 GPT-3 的人提供了我們的研究成果。未來，我們相信 GPT-3 很可能成為安全專家的標準副駕駛。」

到 Sophos.com 取得「適用於你我的 GPT：在網路防禦中使用 AI 語言處理」報告，了解更多 GPT-3 將如何協助防禦人員的詳細資訊。
 

         本文擷取自資安人

根據 Check Point Software《2023 年網路安全報告》，規模更小且靈活的駭客和勒索軟體團體正鎖定混合辦公環境下的合法協作工具；從新型變異勒索軟體的興起，到東歐與中東衝突地區蔓延的駭客激進主義。2023 年企業須審慎防範的三大網路威脅為：

駭客激進主義：由國家支持的網路攻擊行動可匿名又免於罰則，導致此類行動和駭客主義間的界限逐漸模糊；非附屬於國家的駭客組織也更具組織規模，攻擊效率也更高。 
 
勒索軟體：勒索軟體的攻擊行動變得更加難以追蹤和究責，依賴偵測加密行動的現有保護機制恐日漸失效；未來企業應該專注偵測資料清除和外洩。

尤其Check Point Software提醒發生在台灣的勒索攻擊事件高於全球平均四倍。就行業而言，Check Point Software 台灣區總經理劉基章點名醫療行業須留意，「全球平均來看，駭客對醫療行業的攻擊價值比其他行業高三倍。」 
 
雲端上的第三方風險：各組織於 2022 年受雲端網路攻擊的次數遽增，年增率達 48%。攻擊者轉向掃描雲端服務供應商的 IP 位址範圍，顯示出其對存取機密資訊和重要服務的濃厚興趣。 

劉基章表示，近六個月來台灣企業或組織每周平均被攻擊3205次，高於全球平均次數1181次
。大多數攻擊都是從EMAIL郵件夾帶惡意檔案開始。惡意檔案的三大類型是Banking Trojan (Danabot)、RAT(AgentTesla)木馬病毒、Botnet(Danabot)殭屍病毒。演變至今，有高達48%的惡意檔案是以微軟office檔案佯裝，如: .xls, .docx, . pptx.. 檔等。
 
因此Check Point Software提醒企業資安長在未來一年應更重視防範措施，包括降低複雜性彌補網路技能落差、限制雲端配置錯誤衍伸的成本，善用自動化和人工智慧檢測人眼未能及時發現的網路風險。
 
Check Point Software 大中華區董事總經理何偉國指出：「2023 將成為新 AI 元年，蓬勃發展的生成式 AI 雖降低了打造惡意程式的門檻，但如何發揮 AI 的潛力卻更為關鍵，企業可善用此技術打擊愈加複雜的網路攻擊。」



 Check Point Software 台灣區技術總監傅國書(左)、Check Point Software 大中華區董事總經理何偉國(中)、Check Point Software 台灣區總經理劉基章右)


Check Point 3C絕佳防護理念
Check Point Software Technologies Ltd. 今年適逢公司創立 30 週年，推3C絕佳防護理念（3Cs of Best Security），協助企業加強資安防禦。3C指的是更全面（Comprehensive）、更整合（Consolidated）且更協作式（Collaborative）的解決方案理念。新產品包含：


Check Point Quantum SD-WAN
10,000 個以上的應用程式和用戶優化路由，實現次秒級容錯移轉（failover），解決連網不穩定的問題、確保網路會議不中斷。全新擴增功能為用戶和企業各據點提供一致的安全性和連接性；結合 Quantum SD-WAN 和 Harmony Connect（SSE）打造一套由 Check Point Infinity 雲端平台管理的 SASE 解決方案。 

Check Point Horizon XDR/XPR
透過智慧資料關聯分析（correlation）阻止來自電子郵件、雲端、網路和端點等管道的攻擊手法；即時執行全面的資安資產威脅防禦，快速識別看似無害的事件並找出其關聯性以發現網路攻擊。Check Point Horizon XDR/XPR 不僅能夠立即採取阻止和結束程序、隔離資產和資料夾等防禦措施，還可整合 Check Point 和第三方資安產品；持續從危害指標（IOC）、全球威脅情勢、Check Point 研究及第三方情報等多個資料集中獲取資訊，透過威脅情資和事件關聯分析持續改善資安態勢。 
 
Check Point Infinity Spark
高達 99.7% 的防禦捕獲率可替中小企業提供AI 安全防護和整合式連接能力，跨網路、電子郵件、辦公室、端點及移動設備提供企業級安全防護，保護中小企業免受網路釣魚、勒索軟體、憑證盜竊及網域名稱系統（DNS）攻擊。
 



AI資安木馬SD-WAN

        本文擷取自資安人

資安廠商 CheckPoint 旗下的資安研究人員，近日發現一組共 16 個冒充為網路速度測試工具的 NPM 程式套件，表面上無害，但實際上會盜用受害電腦的資源，為駭侵者挖掘加密貨幣。

NPM 是網路上著名的開源 JavaScript 程式庫，內含 220 萬種以上的開源 JavaScript 程式套件，提供開發人員自由使用，以加速程式開發的速度。

CheckPoint 是在 2023 年 1 月 17 日時發現這些惡意程式套件，全都由一個用戶名稱為「trendava」的 NPM 帳號上傳到 NPM 程式庫中；該公司立即通報 NPM，NPM 則在隔日將這 16 個惡意程式套件下架。

這 16 個惡意 NPM 程式套件，名稱大多和網路速度測試有關，列表如下：

lagra
speedtesta
speedtestbom
speedtestfast
speedtestgo
speedtestgod
speedtestis
speedtestkas
speedtesto
speedtestrun
speedtestsolo
speedtestspa
speedtestwow
speedtestzo
trova
trovam

CheckPoint 指出，這 16 個惡意軟體，雖然目的都是挖掘加密貨幣，但每個套件中惡意程式碼使用的手法都略有不同。CheckPoint 認為，駭侵者可能是要藉以觀察哪種方式比較不容易遭到防毒防駭機制發覺阻擋。

鑑於這類開放程式庫中經常混入駭侵者上傳的惡意套件，建議程式開發者在利用這些方便的套件前，必須先仔細檢視其 source code，以辨識其中是否夾帶惡意程式碼。

       本文擷取自資安人

Sophos公佈了兩個位於亞洲、規模龐大且仍在運作的殺豬盤 (sha zhu pan) 騙局的詳細資訊，這些精心設計且過程漫長的金融詐騙可能會使受害者損失數千美元。其中一個總部設在香港，牽涉到一個假黃金交易市場，而另一個總部設在柬埔寨，與中國的組織犯罪有聯繫，在短短一個月內就透過加密貨幣淨賺了 50 萬美元。

在這兩個騙局中，詐騙者分別直接透過 Twitter 和私聊直接鎖定 Sophos 首席威脅研究員 Sean Gallagher，而不是透過傳統的交友 App 來尋找受害者。Sophos《愚人金：剖析一個假黃金市場的殺豬騙局》報告重點在詐騙分子設於香港總部的內部運作，展示這些騙子如何提高他們的技術複雜性以引誘和詐騙目標。
 
Sophos 首席威脅研究員 Sean Gallagher 說：「兩年來，我們一直在追蹤並回報這些殺豬騙局下的一個子項，稱為 CryptoRom。這是一種特殊的交友詐騙，詐騙者利用人們熱衷交友的誘惑，透過交友 App 接近潛在受害者，然後要求他們使用詐騙性的加密貨幣交易 App。但 CryptoRom 實際上只是冰山一角。自新冠疫情開始以來，這種類型的網路詐騙已大規模擴展。這些騙子現在以所有主要社群媒體平台，甚至是私聊來鎖定目標，此外他們不只會利用加密貨幣，還會利用黃金和其他形式的貨幣或交易來吸引受害人。他們實際上是無所不用其極。」
 
在 Gallagher 調查的第一個騙局中，他花了三個月的時間與一名在 Twitter 上直接聯繫他的騙子進行了互動。詐騙者假扮成一名來自香港的 40 歲女性，她很快就試圖將對話平台轉移到 WhatsApp。然後，騙子試圖說服 Gallagher 投資一個假黃金交易市場，吹捧她與她據稱是前高盛分析師的『馬丁叔叔』的關係。然後，她將他引導帶到一個網站，該網站複製了一家名為 Mebuki Financial 的合法日本銀行公司，該銀行有提供外匯和商品交易服務。
 
雖然與 Sophos 調查 的其他案例相比，此騙局的社交工程手段還不夠好，但它象徵這類集團的技術成熟度顯著提高了。詐騙者巧妙地結合了高效率的搜尋引擎最佳化、精美的詐騙頁面以誘使新客戶在假 Mebuki 網站上「註冊」，以及包含惡意程式碼的海盜版合法交易 App (MetaTrader 4)，以便從受害者那裡竊取資金。他們還積極更新該騙局的詐騙基礎架構，以避免被關閉。
 
Gallagher 補充說：「這兩個騙局仍在運作，而且很難關閉。雖然我們將攻擊者在香港使用的網域名稱和 IP 地址標記為惡意，但他們的詐騙活動已經轉移到新的網域。他們已經為他們的海盜版 MetaTrader App 準備了新的下載位置，因此現在我們實際上是在玩『打地鼠』的遊戲。不幸的是，隨著騙局的範圍越來越廣，更多地區和不同平台會被鎖定，這就是現實。從加密貨幣轉成黃金，也表明這些集團可以多麼容易地找到一個新的利基市場來下手。這意味著最好的防禦措施就是讓大眾意識到這些詐騙類型。人們應該警惕來自陌生人的任何簡訊、交友 App 或社交媒體私聊。這些陌生人會發起對話，然後建議將聊天平台轉移到 WhatsApp 或 Telegram，尤其是當他們聲稱可以從加密貨幣或其他交易中獲利時。」

        本文擷取自資安人

近年來層出不窮的惡意軟體攻擊事件不難看出，無論是政府機構、金融業還是高科技行業，儘管已俱備較高的網路安全防護也難以避免，只要稍有不慎就會被網路犯罪份子盯上，做為全球網路防護的領導者，安克諾斯Acronis深知只有整合資料備份加上網路安全的多合一解決方案，才能為跨多個平台及作業系統的使用者，提供全面有效的安全性，主動出擊強化資安聯防，幫助企業資料安全無虞又免受加密勒索的惡意軟體攻擊。
 
安克諾斯Acronis Cyber Protect的防惡意軟體以獨家的Active Protect(主動防禦技術)為基礎，層層演進加入Acronis static AI analyzer(靜態AI分析器)、Acronis anti-malware engine(防惡意軟體引擎)、Acronis behavioral engine(行為引擎)，而成就了最新世代的安克諾斯Acronis Cyber Protect全方位防護解決方案，為使用者防範任何網路威脅，無論這些威脅利用的途徑是網站連線、零時差攻擊、惡意植入、經混淆處理的惡意軟體，還是無檔案型攻擊這類避開傳統防毒軟體的其他先進惡意技術，一律無所遁形。
 
任何形式的業務中斷或有損信譽的事件將使企業付出高昂的代價，隨著資料量的增加及存取方式的變更，仍依賴傳統防毒軟體的企業，正一步步讓寶貴資訊曝光於風險之下，安克諾斯Acronis Cyber Protect透過分層防護方法(積極式、主動式和回應式資料防護技術)的創新組合，提供高效益、靈活的解決方案，協助您在當前和未來的威脅環境中保持安全。

        本文擷取自資安人

Check Point Software Technologies Ltd. 為其 Check Point CloudGuard 整合式雲端原生安全平台（CNAPP）新增全新風險管理引擎及多項強化功能，包括智慧風險優先排序、無代理掃描、權限管理和工作管線安全（pipeline security）；這些新功能注重情境、速度和自動化，支援雲端安全操作，再也無須面對傳統型獨立雲端安全警報的複雜性和提示噪音，資安團隊將能專注打造從程式碼到雲端的全面威脅防禦，同時強化 DevOps 敏捷性。
 
企業持續導入雲端和數位轉型，《Check Point 2022 年雲端安全報告》指出 35% 受訪者在雲端運行超過 50% 工作負載，但 72% 受訪者非常擔心雲端安全、76% 受訪者表示難以同時管理來自多家雲端廠商的產品，這常導致配置錯誤、缺乏可視性和遭受網路攻擊；研究更顯示「配置錯誤」因需要人員全天候資安操作和衍生的警報疲勞，被視為導致資安事件的首要因素。
 
在推出有效風險管理（Effective Risk Management，ERM）後，除了雲端身份和權限管理（Cloud Identity & Entitlement Management，CIEM）、無代理工作負載狀態（Agentless Workload Posture，AWP）和工作管線安全工具外，Check Point CloudGuard 現在更提供智慧風險優先排序，支援團隊在整個軟體開發生命週期中根據風險嚴重程度快速消除重大漏洞，例如配置錯誤和逾越權限的造訪。透過上述工具協作企業將只會收到簡單明瞭的建議，專注於至關重要的威脅，減少過往令人困擾的複雜指令，而簡化的建議也有助於減緩威脅。
 
Check Point Software 雲端安全副總裁 TJ Gonen 表示：「隨著企業持續加速導入雲端，簡化雲端安全防護能力變得至關重要。通過新增有效風險管理和強化 Check Point CloudGuard 功能，我們可幫助企業將 CNAPP『左移（Shift Left）』，採取預防為主、易於管理的雲端安全方案。透過 Check Point 的情境式人工智慧和風險評分引擎，資安團隊不必再手動確定應優先處理哪些警報，而是交由機器完成；減輕此負擔後，客戶可以放心專注於將關鍵工作負載遷移至雲端。」

Check Point CloudGuard 將最新工具統合至新一代 CNAPP 中，不僅可協助資安專業人員，更可通過左移工具消除 DevSecOps 的障礙。Check Point CloudGuard 發揮了整合式平台的能力和潛力、提供終端使用者營運價值，包括：

有效風險管理：Check Point CloudGuard 的有效風險管理引擎能夠根據工作負載狀態、身份許可權、攻擊路徑分析及應用程式業務價值等完整情境排序風險，提供可執行的修補指令。資安團隊可專注於處理重大威脅，並以最小程度的安全防護管理達到最大效果。
 
雲端身份和權限管理（CIEM）：CIEM 功能可瞭解使用者和雲端服務的有效權限和識別風險，自動生成明確的最低權限角色建議，減少造訪並撤銷未使用的權限；將 CIEM 安裝至 ERM 後使用者可以瞭解自身權限，並在其雲端環境中執行最低權限原則。
 
無代理工作負載狀態（AWP）：AWP 將 Check Point CloudGuard 無代理基礎架構的可視性擴展到工作負載，可掃描並辨識虛擬機器、容器和無伺服器服務等雲端工作負載中的風險，包括配置錯誤、惡意軟體檢測、漏洞和金鑰。借助這種無代理部署模型，資安團隊能夠在維持效能的同時獲得大規模的深度工作負載安全可視性。
 
工作管線安全：工作管線安全功能全面整合了 Spectral 的自動化程式碼安全服務，可檢測並解決 Check Point CloudGuard 中的配置錯誤、金鑰和漏洞問題；將「開發者優先」的工作負載擴展到 CI/CD 及工作管線，可在問題危害製造環境前快速解決。資安團隊能夠將 CNAPP 左移，從最初開始保護雲端應用程式安全。

          本文擷取自網管人
 
驅動資安技術快速演進到擴展式偵測及回應（eXtended Detection and Response，XDR），藉由雲端平台建構資料湖（Data Lake），可存放大量非結構化資料，以便7×24小時地蒐集聯網裝置、網路傳輸、雲端平台等運行資料，讓後端系統可基於威脅情資運行關聯比對，主動發現攻擊活動以有效降低損害。

SaaS模式訂閱資安服務

根據Check Point威脅情報部門Check Point Research日前公開的2022年度網路攻擊趨勢統計，全球網路攻擊數量較2021年增加38%，特別是第四季度達到歷史新高，平均每個組織每週遭遇1,168次攻擊，最嚴重的前三個行業是教育／研究、政府、醫療。由於教育機構在COVID-19疫情大流行後快速地發展數位教學應用，開放全體師生採線上授課與學習，卻往往缺乏安全防護機制，因而成為攻擊者鎖定標的。從研究報告統計數據來看，教育／研究單位於2022年每個組織平均每週遭受2,314次攻擊，較2021年大幅增長了43%。

Palo Alto Networks日前亦發布《網路安全的下一步》（What’s Next in Cyber）報告，針對全球1,300名垂直行業的高階管理層進行調查，96%的受訪者承認自家公司過去一年曾經歷過網路安全事件和數據洩漏事件，84%同意混合工作模式為主要因素。

缺乏人力、工具與應變程序的企業或組織，大多會採用資安監控中心（SOC）的監控服務，透過基於資安事件管理系統（SIEM）與橫向調配與自動化執行回應（SOAR）建構的平台，掌握最新威脅情資（Threat Intelligence），進而搭配端點部署的EDR機制蒐集資料運行關聯分析，由專業研究團隊執行威脅獵捕，達成主動偵測與即時回應異常活動，讓資安風險受到嚴加管控。

但對於多數IT規模不大、預算不足的企業而言，SOC監控服務過於昂貴，且端點須搭配EPP/EDR，偏重於偵測與回應能力，未必有能力抵禦先進的APT攻擊滲透。對此，XDR方案即可有所發揮，基於SaaS模式訂閱採用即可運行，降低導入部署與維運異質資安防護技術的複雜度。

法規明定部署EDR可望驅動普及

Palo Alto Networks台灣區技術總監蕭松瀛說明，威脅偵測與回應改成「X」，更強調擴展性，不僅著重於掌握端點，亦涵蓋雲端服務運行環境產生的資料，以及擷取網路連線封包內容，將這些全數存放於資料湖後，運用機器學習演算分析，輔助資安維運人員快速釐清與緩解風險。

Check Point資安傳教士楊敦凱引述Gartner發布的XDR市場指南指出，XDR為新興解決方案，用於輔助資安維運團隊改善威脅預防、偵測與回應執行效率，目前的XDR市場尚在早期發展階段，訴求重點在於專精在處理資安事件，從感知、偵測到回應處理，整個流程得以藉由自動化方式運行，並運用市場現有的技術來落實。

XDR組成元件包含前端感知器與後端控管平台。前端感知器即為企業熟知的EPP/EDR、網路偵測與回應（NDR）、防火牆、郵件安全、網頁安全閘道等技術，至少須具備超過三種以上。後端控管平台則多為SIEM與SOAR既有特性，例如資料湖、威脅情資、進階分析、事件調查、資源調度、自動化與回應執行引擎等元件，唯一特殊的是採以雲端交付模式，機敏性較高的產業未必可直接訂閱採用，未來或可改由當地MSP（託管服務供應商）來提供服務。



Gartner發布的XDR市場指南說明，XDR組成元件包含前端感知器與後端控管平台。（資料來源：www.gartner.com）


楊敦凱觀察，台灣企業或組織對於國際市場出現的新興技術看法較為保守，通常發展腳步通常較慢，XDR解決方案同樣如此。他進一步說明，當前台灣企業或組織熱門的議題為EDR、偵測與回應代管（MDR），主要驅動力來自2021年行政院頒布《資通安全管理辦法》子法修正條文，明文規定A、B級公務機關須部署端點偵測與應變（EDR）機制，同時完整介接資安弱點通報（VANS），因此近兩年正積極導入部署。

資安技術專家實作拆解APT攻擊手法過程發現，須完整掌握端點產生的日誌才得以還原惡意程式滲透行徑，利用EDR工具蒐集便可追蹤到根本原因進而加以改善資安體質。但是實務上，多數端點設備較為老舊，例如桌機的記憶體只配置8G規格，若任意安裝資安軟體工具恐影響運行效能。再加上預算不足、人力有限，企業或組織只能階段性地汰換，或改採用MDR服務委外代管。

XDR Alliance共推整合框架

傳統SOC服務蒐集取得的資料，主要為偵測發現事故所產生，也就是防毒引擎掃描比對發現為已知惡意程式，逕行隔離檔案的動作，或者是防火牆設定的黑名單，當網路傳輸封包中比對發現時執行阻斷的記錄，皆為SOC蒐集用以關聯分析的資料來源。意味著SOC將受限於防禦機制的偵測能力，若防毒引擎、防火牆等資安技術皆無法辨識，SOC也無從得知相關行為資料。

為了釐清攻擊活動行為軌跡並推論背後的意圖，SOC開始納入EDR完整記錄端點環境檔案執行所產生的資料，甚至是整合網路封包流量、雲端工作負載等異質技術環境產生的資料，依據MITRE ATT&CK框架定義進行關聯分析，釐清攻擊活動屬於狙殺鏈（Kill Chain）的執行階段，及其採用的策略、技術與執行程序（TTP），此時即可搭配SOAR方案預定義的劇本（Playbook）實作事件回應執行步驟，提高控管的有效性。

如今XDR解決方案組成元件是由當前主流資安技術所建構而成，因此對於Check Point、Palo Alto Networks等次世代防火牆業者，抑或是Trellix等進階威脅防護技術供應商而言，先天即具備XDR方案的前端感知元件技術，只須擴展研發再將後端管理系統陸續運用雲端平台設計建構，以便獲取最新威脅情資，同時確保大數據系統的實體資源可彈性擴充，避免遭遇效能瓶頸。

楊敦凱指出，XDR目前最大的挑戰在於整合與實現橫向溝通，為此國際市場自2021年開始出現XDR Alliance組織，期望制定出開放框架，讓資安領域的API得以遵循標準格式，以便彼此互通與交換資料。目前加入的成員除了資安技術供應商，亦包含MSSP、MDR、系統整合商、專業顧問服務等領域，共同協助企業調整配置、導入部署與維運XDR框架，實踐以拓撲圖方式呈現關聯性與歸納分析結果，針對高風險環節採以Playbook執行回應，或提出建議操作步驟，可大幅降低資安維運門檻、提高工作效率，不僅減少人為疏失的機會，亦可讓資安人才缺口問題得到緩解，確保數位應用場域營運韌性。