8 / 11 - 12

南港展覽二館

Resilience Matters

韌性決勝

資安新知 Cyber Insight

奧義智慧首創AI驅動資安防護 從點線面讓駭客無所遁形

    分享這篇文章:

奧義智慧科技 共同創辦人 吳明蔚 (Benson)

臺灣資安新創奧義智慧營運邁入第 3 年,半年前甫獲得新加坡淡馬錫Pavilion基金與臺灣華威創投CID集團等兩輪創投資金共約新臺幣2.5億元,2019年繳出漂亮的成績單,訂閱(Subscription)新約金額翻倍突破億元,AI資安監控自動化程度達9成,繼成立日本子公司以即時服務日本上市客戶,亦打造新加坡子公司的資安服務中心,以服務東南亞客戶。

點: 個別片段的資安線索 恐淪為瞎子摸象 

過去好人使用很多性能強大的資安產品,但可能疊床架屋,駭客反而可以聲東擊西觸發玲瑯滿目的資安告警,資安人員得付出更多心力才有機會釐清發生甚麼事。若要改變這種不對稱的態勢,負責產生告警的源頭必須要了解駭侵情境,譬如 MITRE ATT&CK 駭侵手法框架中的哪一招,這樣的告警才有協助資安人員理解威脅是甚麼。

線: 入侵戲法人人會變 巧妙各有不同

當前企業仰賴SIEM為驅動的資安監控中心(SOC)來偵測駭客入侵,但實務上卻仍往往後知後覺多數。越來越多的駭侵是一連串的華麗連續技,而非一招斃命。以至於資安人員所倚重的物證型(Artifact-based)資安調查很難勾稽出駭侵行為。MITRE ATT&CK 駭侵手法框架羅列3百多種駭客手法,不同的駭客族群各自有偏好的連續技與戰術組合,恰好反應實務上空窗期最久的多屬於這類脈絡型(Context-based)複雜駭侵。這類攻擊所產生的告警橫跨多種資料類型,多是難以規則化的可疑活動,企業的資安人力幾乎耗盡在勾稽脈絡型可疑行為,"自動化"程度很低,得靠老師傅經驗從SIEM去大海撈針抓壞人。

面: 惡意程式只是冰山一角 真正的案情又是甚麼

雖然全世界的已知惡意程式已逼近10億個之譜,但駭侵行為卻不必然得靠惡意程式。MITRE ATT&CK 駭侵手法框架在駭客"起手式"(Initial Access)列有 11 種不同入侵技巧,其中最廣為大眾所知的社交工程釣魚郵件,很高機會都可以騙到用戶帳密,而不須用到惡意程式。緊接著駭客可使用各式合法程式如 PowerShell "創作" 各種危險的程式代碼,因為沒有具體的檔案可以分析,駭客執行完後又沒有檔案可以保全證據,種種複雜”案情”不容易規則化,這些都必須仰賴夠強的 AI 來勾稽,把各種看起來微不足道的片段告警,勾稽成 MITRE ATT&CK 手法,最終描繪出一個完整案情。

好人有主場優勢,善用每個端點上的點線面情報,絕對能讓壞人疲於奔命,無所遁形。

更多精彩的 Cyber Insight