網路資安威脅
整合式 DFIR 工具可簡化及加速資安鑑識分析
探索 Trend Vision One™ – Forensics 這套整合式「數位鑑識分析與事件回應」(Digital Forensics and Incident Response,簡稱 DFIR) 工具如何在真實應用情境當中發揮革命性影響力
資安團隊越來越常遇到精密的資安威脅,這突顯出數位鑑識分析與事件回應 (Digital Forensics and Incident Response,簡稱 DFIR) 在對抗網路駭客活動上的關鍵重要性。可惜,許多企業不是缺乏有效的 DFIR 工具來蒐集證據和回應事件,就是在正在使用一些存在著某些問題的現成解決方案。再加上資安與事件回應人才在整個產業都面臨短缺,因此企業要靠自己的力量在內部執行事件調查工作就顯得更加困難。
本文介紹趨勢科技的事件回應團隊與客戶在建置 Trend Vision One™ – Forensics 之前曾面臨哪些挑戰,以及這套產品對營運所帶來的革命性影響。
採用 Forensics 之前所面臨的挑戰
City of Columbia (哥倫比亞市)
位於美國密蘇里州心臟地帶的 City of Columbia 是該州的第四大城市。該市素以多元的求學管道、文化活力,以及大量的戶外休閒活動聞名,吸引了不少學生、專業人員以及喜愛大學城朝氣蓬勃氣氛的人士聚集。
僅管充滿活力,但該市的政府網路資安團隊卻規模不大,僅由少數幾位專職工程師組成,他們得負責管理數以千計的使用者與端點。
在導入 Forensics 之前,City of Columbia 非常仰賴使用 PowerShell 腳本與勞力密集的手動流程來蒐集資安事件的證據,這樣的作法讓規模不大的團隊承受了沉重的負擔。也因此,當端點發生問題時,他們通常的作法就是直接將端點清除或重灌。
趨勢科技事件回應服務團隊
為了有效降低事件的衝擊,就需要借助趨勢科技熟練的全球團隊迅速而有策略的回應能力。從確切找出入侵的源頭,到提供恢復營運與降低衝擊的指引,趨勢科技的事件回應服務能全天候 24 小時隨時守護我們客戶的安全和韌性。
在 Forensics 推出之前,趨勢科技的事件回應 (IR) 團隊主要使用某個證據蒐集工具來蒐集大量的記錄檔,不過卻缺乏關鍵的威脅情報與惡意程式掃描能力來發掘已知和未知的惡意程式與攻擊。所以,IR 分析師就被迫必須過濾大量的資料,工作起來就有如大海撈針一樣。
不但如此,身為一家全球企業,每一區域的 IR 團隊在事件回應的過程當中都會面臨跨區協同作業的挑戰。而且,區域性團隊還經常必須出差到客戶所在的地點來蒐集證據,進一步拖延了事件回應的時間。
Forensics 如何提供協助?
City of Columbia (哥倫比亞市)
2023 年 9 月,City of Columbia 發生了一次可疑的異常狀況必須執行一次全面的調查。此時 Forensics 雖然還在預覽階段,但該團隊迅速透過 Trend Vision One™ 平台的主控台將它啟用。簡單的幾下滑鼠操作 (例如選擇端點與證據的類型),幾分鐘後,一份 Evidence Report (證據報告) 就出現在眼前,內容涵蓋了許多關鍵的細節,包括:檔案時間軸、網路資料、使用者活動,以及事件記錄檔。結果,該團隊就不必實際存取使用者的電腦來蒐集必要的事件資料,大幅簡化了調查程序。
Forensics 大大提升了該團隊的事件回應效率和能力。那些耗時費事的 PowerShell 腳本撰寫與痴痴等候的過程現在都已成為過去。現在,該團隊就能更快投入事件的全面調查,明顯改善了營運的靈活性。這讓 City of Columbia 能將寶貴的時間分配給一些策略性計畫,例如:強化該市的風險遵歸程序,確保該市擁有一套更強大、更具韌性的資安框架。
趨勢科技 IR 團隊
2022 年第 4 季,趨勢科技的事件回應 (IR) 團隊領導者建議在該平台當中整合一套鑑識分析產品。接下來的幾季,IR 團隊針對該產品的規格提出了許多重要的建議,並成為 Forensics 的第一批測試者。自從這套產品建置在 IR 團隊內部之後,他們立即感受到了以下幾點效益:
- 毫不延遲地啟動 IR 工作:在導入 Forensics 之後,IR 團隊的工作現在都能立即啟動,再也不會受到延遲。有了 Trend Vision One 平台的協助,IR 團隊再也不必實際造訪客戶的辦公室來部署 IR 工具。每一次的事件回應工作都能節省無數小時的前置作業時間。趨勢科技的 IR 團隊可透過遠端輕鬆利用 Forensics 來蒐集證據、調查事件,並且採取回應行動。不僅如此,對於尚未移轉至 Trend Vision One 平台最新版本的趨勢科技客戶,IR 團隊也能迅速協助他們部署端點感測器和證據蒐集功能,15 分鐘內就能開始執行分類。
- 自動化證據蒐集:由於 Forensics 已無縫整合至 Trend Vision One 平台,IR 團隊就能在 Security Playbook (資安教戰手冊) 當中建立規則來根據特定條件自動蒐集證據。這樣的自動化大幅縮短了證據蒐集時間,同時也保留了手動蒐集證據的選項。
- 有利於全球協同作業的統一平台:由於 Trend Vision One 平台採用雲端原生架構,因此全球各地的 IR 團隊都能在 Forensics 應用程式內的同一個 Workspace (工作空間) 或 War Room (戰情室) 當中流暢地協同作業,跨地理的限制全球共同解決事件。這套工具提供了更好的可視性與親和的使用者介面,大大提升了全球團隊的效率。
結論
Forensics 是一套直接內建在該平台當中應用程式,提供零阻力的體驗,專為讓 SOC 分析師或 DFIR 專家輕鬆執行資安調查而設計。您可以從 Trend Vision One 的主控台上直接蒐集端點的數位證據、在工作空間內整理蒐集到的資料,並且透過整合式查詢/掃描功能 (如 YARA 和 osquery) 將端點快速分類。
Forensics 完全無需部署,能搭配原生感測器無縫運作,簡化營運複雜性,確保更快、更有效的鑑識分析與事件回應。如需更多資訊,請點選此處來取得 Forensics 型錄。