在資訊安全領域中，不管國內、還是國外，通通無一倖免的持續爆發各種大型資安事件。正因為資安防護隨著網路時代來臨，虛擬世界逐漸與真實世界接軌，越來越多有利可圖的機會。讓攻擊者們無不想盡辦法，以獲取最佳利益。這種爆發式的獲取利潤的狀況，反而提升資安市場最基本的需求大餅。於是各種類型的資安產品紛紛出籠，資安的新創市場也是相當的熱絡。但是，客戶的反應往往都是最直接，而且犀利的，你們賣的產品有用嗎？沒錯！當客戶採購一定程度的資安解決方案後，隨之發生的資安事件，不一定對資安市場造成衝擊，但是客戶對資安設備的信任度，卻是隨之不停下降。

於是，客戶開始提問，如果你的產品沒效，那要怎麼辦？

現實是：當資安設備漏抓，當然沒有警報產生，客戶也不會知道沒效。

在目前的資安防護概念中，依賴資安設備自動化的偵測能力，是我們最主要的手段。但是隨著資安事件不停發生，是時候開始修正資安的防護策略。最常被排斥，但實際上又非常需要的事件處理相關的技術，又開始回到眾人的視線上。

何時我們會需要事件處理？標準答案無非就是：當資安事件發生時。然而，事件處理需要分析大量LOG，要從被入侵的端點取得惡意程式樣本進行分析。這是個耗費大量時間與人力的過程，而且事後發生的處理，往往已經無法挽回已經產生的損失，所以每個人都希望可以自動化防禦住所有攻擊。但是現今各種類型的資安事件，也明確表達出一個訊息：這個理想的資安解決方案，目前世界上還尚未出現。

無論資安人員喜不喜歡事件處理，這是目前偵測率最高的資安技術。

因為事件爆發後，也只能選擇做資安事件處理！

展望最新的資安防護趨勢，國內外的資安廠商都不約而同地往端點前進，各種端點偵測與回應(EDR)產品如雨後春筍般冒出。為何資安市場有這麼明顯的變動趨勢？其實原因也很簡單，因為不做事件處理，不利用數位鑑識的技巧，偵測率就無法再提高上一層。不管你花多少錢的預算，投資在自動化偵測類型的產品上，當你發生資安事件，最後還是必須找資安專家，透過資安事件處理，來釐清受入侵的範圍。而理論中常提到的，透過鑑識找出來源，進而持續強化防禦機制。這樣的概念，也常因為現實中，各企業是否願意投入足夠費用，去保存用來長期追蹤的記錄，非常的備受挑戰。無法保存足夠用來分析的LOG，這往往是資安鑑識人員心中的另一種痛。最終，人力處理資安事件依然是效率不高，不是廣泛受到歡迎的做法。

過往我們累積十數年的資安事件處理的經驗，分析過許多的惡意程式，也從中取得各種情資。這種你追我跑的資安戰爭，至今仍然沒有任何明顯縮短差距的情況。攻擊者入侵成功後，能透過資安設備自動阻擋成功，這樣的情況是零和競賽，幾乎不可能兩件事一起發生，因為這是兩種完全沒有交集的情境。

理想是：攻擊者入侵進來後，資安設備會發出警報通知我。

現實是：當攻擊者能成功入侵，就表示資安設備被繞過，所以沒有任何警報。

結果是：等到事件爆發，再選擇要重灌主機還是做事件處理。

過去資安產業剛開始發展，攻擊者跟防禦需求都相對較少，所以透過整理出攻擊的模式，再用自動化的方式去因應，已取得相當不錯的成果。但是隨著攻擊者誘因大增，非法獲利持續創造新高的同時，攻擊的方式也變化的越來越快。此時，累積約30幾年的「模式比對」的防禦技巧，正面臨到嚴重偵測效率與運作成本不佳的考驗。正是如此，越來越多號稱可以有效回應的產品出現在市場上，而這些產品其實就是收集了更多分析用的資料，期待客戶可以自行分析，然後「自行」完成事件處理。請注意，這邊用的字眼是「自行」，而非「自動」。是的，以目前的技術，資安事件使用人力分析依然是無法避免。

站在目前資安市場的風向上，我們可以明確知道，資安廠商開始透露出一種訊息：設備能在自動化偵測的能力上，暫時碰到一定的瓶頸。只好交由產品幫忙記錄很多資訊，同時有效率的保存並整理，但最終的處理還是要交給資安人員決定。所以不管是聰明的人工智慧，還是聽起來很厲害的大數據分析，最終要下決定，要採取哪種回應方式的R (Response)，還是要依賴專業的資安人員。資安產品走過幾個世代之後，在現今這個時間點，最終還是把決定權暫時交回到人類手中。

越來越多產品的英文名稱縮寫中，有個R字。這個R字代表Response(回應)。顧名思義就是：當資安事件發生的時候要怎麼回應或處置。重灌電腦是一種處理方式，加碼買上更多防禦方案也是一種方式。但是越來越多的資安設備附加「回應」的功能，都是明確的告訴客戶，坐在座位上等警報跳，再動動手指下指令的美好日子已經結束。管理者真的需要自己分析LOG，自動化設備已沒辦法再做的更多，不花時間處理不行。

綜合前面所說，現在的資安防護策略，大概可以整理成幾項：

1. 投資一定規模的自動化資安偵測解決方案

2. 投入人力維持資安政策的推動與落實

3. 當資安事件發生時，有事件處理團隊可以快速反應，降低損失

在過往的經驗中，因為政策方面的要求，具備項目1跟2的企業或組織已經有一定比例。但是項目3幾乎是被放棄的，原因很多，但是除成本因素外，個人認為找到足夠品質的專業人力，才真的是難中之難。為此我們投入大量資源，將過往累積的事件處理經驗轉換成EndBlock解決方案，EndBlock為一個MDR(Managed Detection & Response)的服務。我們的目標就是提供一個專業資安團隊的技術能力，協助客戶可以快速、有效、正確的面對資安威脅。我們提供下面的項目，作為主要的服務內容：

1. 主動系統異常狀況分析與鑑識

2. 提供吃到飽的資安事件處理(IR)

3. 提供惡意程式分析的報告

4. 各種資安相關問題的諮詢服務

5. 分享資安防護實務上經驗

為何我們建議客戶應該要開始重視MDR服務，而非是買進更多自動化的偵測設備。因為投資在自動化偵測的資安設備上，是已經非常容易被接受的概念，也非常多企業或組織也正在落實的策略。但除非可以運用在資安的費用是無窮無盡的，否則沒人可以保證自己的環境能有足夠的資安防護力，尤其當涵蓋範圍越廣，費用就會增加的越驚人。以2020年底被發現的SolarWinds事件為例，若非Fireeye的資安人員發現VPN有異常登入現象(*1)，若非Fireeye的工程師心血來潮，檢查該次錯誤的登入資訊，否則入侵多達上百企業與政府組織的攻擊行為，早於2019年9月就已經發生(*2)。這些超大型資安事件的調查結果都可以證明，面對資安的威脅不可能只靠自動化設備對抗。

但是用人力來處理資安事件也明顯不合成本，效率也不夠快，所以如何加速系統自動化完成，同時不能只依賴資安設備的警報，就是我們認為MDR該有的關鍵。

EndBlock MDR成功關鍵：

EndBlock服務提供事件處理（Incident Response，IR），不是單純的自動化偵測設備。在傳統資安防護架構中，事件處理是所有資安防線的最後一道防線。在目前所有可知的資安事件中，事件處理是惡意程式偵測率最高的技術手段。但傳統的事件處理並不被市場歡迎，因為必須要等到事件爆發，損失已經造成才會處理。

EndBlock解決傳統事件處理的缺點，主動收集端點系統活動資訊，比對MITRE ATT&CK®的攻擊方式，達到隨時收集，隨時鑑識的能力。加上網路攻擊的早期階段，因為攻擊者擁有的資訊與權限相對稀少，所以攻擊的手段相對單調，容易辨識。所以EndBlock可以讓任何疑似攻擊的系統活動，在早期階段就被分析並辨識正常與否。越早開始進行處理，就可以越有效的降低損失。

EndBlock結合了多年資安事件處理的豐富資安經驗，研發設計能提供主動事件分析與處理的MDR服務，EndBlock提供給客戶具備專業能力的團隊，在攻擊階段非常早期的階段，就開始主動進行事件處理，讓客戶如同擁有一個專業資安團隊的防護效益，卻無須負擔維持一個專業資安團隊的高昂成本。

*1 : 參考資料：https://www.isecurity.com.tw/news-and-events/20201221-us-gov-attacked-by-russian-hacker/

*2 : 參考資料：https://www.ithome.com.tw/news/141753