進階持續性攻擊肆虐 托管SOC服務應運而生

Kaspersky正式於香港推出Kaspersky Managed Detection & Respond (KMDR)服務，客戶可在儀表板上看到保安事故和嚴重程度，並會有應變方案。

新科技速遞

零日攻擊和進階持續性滲透攻擊（Advanced Persistent Threat, APT）不斷增加，據FireEye Mandiant M-Trends 2021報告，亞太地區的機構平均要76天 ，才能得悉本身的企業網絡，已受到黑客入侵。

Mandiant Consulting首席技術官Jurgen Kutscher表示：「2020年，亞太地區機構平均需要76天，才得悉網絡遭入侵。但入侵者不須76天時間，便可找出重要資料，並將其加密，迫使交付贖金。」

另一方面，企業愈來愈依賴網絡運作業務，加上拓展電子商務，結果每次入侵造成更大破壞，加密勒索金額非常驚人。一般企業可能到了業務無法運作，才知道受到了攻擊。

一般的企業沒足夠人手和資訊作24小時的監察，一般的防火牆和防毒，已經無法偵破APT，本港流行防毒軟件卡巴斯基（Kaspersky）推出Managed Detection & Respond (MDR)，以偵察APT和其他難以察覺的攻擊。

托管式服務屬舤外判式服務，責任交由24/7專業安全監控，可解決IT人手不足。Kaspersky表示MDR是透過機器學習（Machine Learning）及專業人員配合，提供24/7無間斷防護，威脅分析、調查和事故應變。

托管SOC服務

APT的設計是用於避開現有的防線，SOC則可從網絡和系統紀錄找到蛛絲馬跡，以相關規則（Correlation rule）匹配，以發現不尋常的活動，找出APT攻擊線索，但判斷有關的線索，又要有特定專業知識，經內部培訓或者專業人員。

根據Kaspersky的報告，企業面對數據洩露事件時，如果在事故發生後超過7天才發現及處理，會比立即能處理，平均多損失40萬美元。

Kaspersky的Managed Detection & Respond提供遠程SOC，毋須企業具備專門威脅獵捕（Threat Hunting）和事件分析技能，解決了本港IT資源有限，對於中小企尤其重要。

該方案以Kaspersky的多重偵測技術，以及其在威脅獵捕和事故應變方面專業知識的全球研究與分析團隊（GReAT）組成，具備人工智能分析（AI Analyst），實現自動警報解析，SOC分析人員專注處理最重要警報，保護客戶防範迴避偵測式威脅，包括試圖避過偵測，以模仿合法程式的攻擊。

**集成多個方案 **

Kaspersky的MDR其實集成了多個產品，包括Kaspersky Endpoint Protection或Kaspersky Endpoint Detection & Respond，將遙測（Telemetry）傳送到Kaspersky Secure Network，然後SOC使用針對客戶環境所度身定制、700多種持續更新、基於TTP專有「Hunts」捕獵規則，以各種檢測引擎遙測分析。

從端點收集警報，串連在各端點偵測到可疑活動，找出攻擊鏈，Kaspersky團隊進一步驗證偵測結果，決定優先次序作出應變。

經調查後，客戶會收到事件警報和下一步行動指示，如通過Kaspersky Endpoint或EDR Agent處理。客戶可同時選用Kaspersky MDR及卡巴斯基事故響應（Incident Response服務），外判事故調查、法證及威脅處理的服務。

Kaspersky MDR服務分為兩個層級，基礎MDR Optimum為客戶提供專業防護服務，而高階的MDR Expert層級客戶，則可以直接與卡巴斯基的SOC團隊、持有OSCP, GCTI, SANS SEC560, SANS SEC660等認證的威脅分析專家互動取得更多關於威脅處理的意見，使用Kaspersky Threat Intelligence Portal，亦能透過API將Kaspersky MDR整合至企業現有的網絡安全防護流程。

卡巴斯基港澳總代理立高科技總經理郭偉僑認為：「Kaspersky MDR以托管形式，為企業提供專業的威脅捕獵服務及事故響應指導，比建立內部或外判SOC簡易、快捷及低成本，更適合預算有限、但面對愈來愈多高階威脅的企業客戶。」