回顧2016年，發生在臺灣且讓人印象深刻的資安事件，首推第一銀行ATM盜領案，其基本上就是進階持續性威脅(APT)之攻擊，與過往黑暗首爾、Target、Sony等重大事故如出一轍；其次則是層出不窮的勒索軟體威脅。

中芯數據資安顧問吳耿宏認為，進入2017年，預期APT與勒索軟體等威脅仍持續存在，但前者嚴重性更勝後者，只因勒索軟體之所以造成嚴重損失，主要源自使用者備份行為的改變，若企業從線上備份走回離線備份老路，至少擁有一份以上的非同步備份，勒索軟體殺傷力便大幅降低。至於APT，近年來年年都有大事件，而事件苦主皆投注可觀的人力工時與金錢進行鑑識，藉以釐清事發原因；遺憾的是，不論大家多麼努力追查真相，期待可以生聚教訓、防範未然，但攻擊事件仍一再發生，尤其讓人氣餒的是，斥資部署那麼多資安設備，也佈建SOC監控機制，面對APT仍是沒轍。

吳耿宏指出，綜觀重大資安事故，起始點大多是駭客利用社交工程或零日漏洞，成功穿透閘道端防禦設備，才啟動後續攻擊流程，故中芯數據將服務重點定位於內網威脅；企業只要能設法解決兩個難題，便可有效率的解除內網威脅，其一是如何快速在大規模的主機範圍中，完成惡意程式清查。以一銀為例，當資安事件發生後，動員大批人力逐一清查可疑設備與歷史記錄，最終分析出攻擊過程。但是，在過往事件處理的經驗中得知，只要有小量跳版主機沒發現，整個攻擊活動立刻又會捲土重來。所以高效率、非純人工的大範圍清查作業就變的非常重要。

另一個難題，則是如何盡早並即時的分析資安事件的攻擊過程。一銀事件透過攝影機，快速逮捕到相關嫌犯，同時可以追蹤整個犯罪的活動歷程。如果資安解決方案可在察覺到惡意活動的當下，透過資料收集與巨量資料分析機制，快速還原整個入侵歷程，以理解駭客的攻擊脈絡，據此轉化為行為規則，就可以建立持續監控機制，避免相同攻擊事件重覆上演。

“中芯數據資安顧問吳耿宏認為，企業若有即時監測並分析所有端點設備的行為活動，並借助巨量資料分析機制，快速還原惡意活動脈絡，即能有效防制內網威脅。 ”

藉由立即偵測與追蹤，持續瓦解APT攻擊活動

中芯數據為幫助企業有效對抗內網威脅，提供兩項解決方案，一是負責主動獵殺惡意程式的Active Defense，另一是扮演哨兵角色、有助於持續消滅內部威脅的Sentinel。

Active Defense藉由DDNA專利分析技術，進行自動化逆向工程分析，比對惡意程式內部的功能，檢查記憶體中的所有程序並各別給予計分。假使企業發現DDNA計分高於30的程序，扣除掉已知的正常程式之後，即可快速判定是否為惡意程式，更能透過遠端管理介面直接移除。換言之，企業毋需顧慮端點數量多寡，只要將Active Defense代理程式派送下去，可以在短時間內偵測惡意程式，同時完成後續的清除工作。

至於被定義為APT SOC的Sentinel，是一套強大的巨量資料分析平臺，收集系統中的程序、機碼、檔案及網路的詳細操作紀錄，一旦發現異常的系統活動。便可即時分析每個警報箇中Events，逐層深入檢查相關程序、檔案，一步步按圖索驥追蹤源頭，還原整個事件始末，幫助企業快速分析歸納並定位攻擊點，以利做出即時回應與處置。

進一步了解中芯數據>>