產品服務

數位鑑識-事件應變處理

0916135426
athenayeh@talent-jump.com

數位鑑識服務是屬於「資安事件」發生後提供的服務,透過詮睿的專業資安服務技術團隊對可疑主機進行調查主機作業系統遭植入惡意後門程式、系統上的留存紀錄、SmartIT 管理工具的中控端點。找出攻擊來源及分析目前受駭情況,將企業的損害降到最低。

數位鑑識資安服務

二、主要業務介紹

詮睿科技成立於2007年,是專業從事資安服務及系統整合服務,並以駭客的思維及甲方實務經驗提供最專業的資安解決方案,主要業務涵蓋資安顧問服務、系統整合等專門領域,提供紅隊演練、滲透測試、弱點掃描、資安健診、遠端虛擬桌面 VDI、網頁應用防火牆 WAF、企業系統整合服務及產品開發服務,協助企業提高資安意識及架構。

詮睿秉持著「資安為本」的概念,持續關注資安攻擊手法的演變及更新,不間斷的加強自我本身的能力,期望能以最迅速及最專業的服務,提供企業專業的技術支援與顧問服務。

數位鑑識服務是屬於「資安事件」發生後提供的服務,透過詮睿的專業資安服務技術團隊對可疑主機進行調查主機作業系統遭植入惡意後門程式、系統上的留存紀錄、SmartIT 管理工具的中控端點。找出攻擊來源及分析目前受駭情況,將企業的損害降到最低。近年來,駭客APT(進階持續性威脅)攻擊及各類惡意程式攻擊,已造成國內各行業領域的組織機關及企業單位均遭遇極大的資安威脅,在長時間內保持高隱蔽性。

調查方向為:

1.主機作業系統可能遭植入Malware

2.作業系統留存紀錄及可疑檔案

3.Smart IT管理工具中控端點

4.系統上安裝的其他服務的留存紀錄


二、產品/服務功能說明(含可解決的問題、可達到的效果、競爭產品/相似服務比較分析、創新性及國際競爭潛力等說明與相關證明)

近年來,駭客APT(進階持續性威脅)攻擊及各類惡意程式攻擊,已造成國內各行業領域的組織機關及企業單位均遭遇極大的資安威脅,在長時間內保持高隱蔽性。高級長期威脅包含三個要素:高級、長期、威脅。高級強調的是使用複雜精密的惡意軟體及技術以利用系統中的漏洞,針對特定目標,並從其獲取數據。而詮睿負責調查出駭客是從何入侵,且建議該公司如何去修補漏洞、加強防護,避免該處再次受到2次入侵。

產品名稱

詮睿科技

事件發生應變處理服務

xx科技

資安事件應變服務

服務類型

數位鑑識

數位鑑識

可偵測系統

Windows、Mac、Linux

Windows、Linux

維護模式

7x24x365

7x24x365

APT事件掃描

具備

具備

硬體取證分析

針對主機、記憶體、防火牆外,再調查每一個有紀錄的軌跡,進而分析駭客從何入侵。

調查關鍵主機,找尋零號病患。

事後報告

具備

包含駭客從何入侵、何處的log遭抹除、改善建議。

具備

根本原因的分析、程序檢討、見解和改進的建議

資安研究

1.CVE漏洞發表

2.APT攻擊事件。ex.與趨勢科技在DRBControl專題共同發表:

(TWCERT通報編號為
ICST-ANA-2013-0018)

證照

CISSP、CEH、CHFI、LPT、ECSA

具備

市場

金融、遊戲、電商

金融、電商


有鑒於駭客APT攻擊及各類惡意程式攻擊,已造成國內各行業領域的組織機關及企業單位均遭遇極大的資安威脅,高級長期威脅包含三個要素:高級、長期、威脅。高級強調的是使用複雜精密的惡意軟體及技術以利用系統中的漏洞。長期暗指某個外部力量會持續監控特定目標,並從其獲取數據及機敏資訊,而詮睿針對高級、長期、高級的資安威脅提出3項分析。

1.系統日誌分析:針對組織疑似或確認已遭入侵的系統做進一步系統日誌分析,主要目的用以查找更多可用於關聯追蹤之線索。

2.記憶體行為分析:透過記憶體行為分析將依附注入於主機系統內的惡意後門程式挖掘出來,併進一步分析找出惡意程式的主體及更多相互關聯的主機。

3.網路行為分析:經由受駭主機之網路主動連線行為初步觀察後門程式實際聯網行為,用分析駭客中繼站存取方式。

以上分析結果進行調查,目的是為了找尋攻擊的入侵來源,且加強防護避免再次遭受駭客入侵。還有詮睿科技因網路連線所提出的網路連線阻斷計畫-『針對組織內部目前既有之防禦設備進行確認是否可有效近行網路阻斷,另外亦需針對內部電腦系統透過資產管理系統或任何其他方式確認無穿牆軟體已達完整之網路阻斷』

  • 針對目前發現之威脅情資(Indicator of Compromise)進行網路偵測,以封包側錄或透過防火牆 Traffic Log 持續進行監控,如發現有任何觸發與威脅情資內的 IP / Domain 連線行為,應儘速將該主機進行網路隔離並進一步調查分析。
  • 發現內部使用者端點與伺服器環境均有多數主機具備第三方商用、免費遠端遙控管理工具,由於該些工具有可能遭受攻擊者利用於連線至內部環境,建議未來應避免用戶任意安裝相關軟體,如有特殊使用需求應透過政策嚴加管控,降低可能因工具遭濫用導致可能出現的潛在問題。

目前內部環境除 Smart IT 之外無統一管理的機制,建議可建立如微軟的 AD Server 或. LDAP 的中控管理主機,針對內部環境的相關機器進行統一管理。

  • 由於本次事件調查因重要伺服器的相關 Log 遭攻擊者進行足跡清除導致線索中斷,為了提升未來事件發生的調查性,建議應將個系統的事件轉拋至 SIEM 或 Log Warehouse 收容,並針對各系統的稽核日誌進行調整,將重要的事件記錄下來以便日後調查佐證資訊。
  • 針對內部環境建議未來可導入端點防護 Endpoint Detection Response 產品,加強各端點防護偵測能力,此外也可尋找專業資安產商協助進行 Managed Detection and Respons,藉由資安廠商的專業協助企業內部環境進行威脅偵測與狩獵,及早發現攻擊行為降低傷損。
  • 質化效益:

    遭遇之駭客入侵攻擊資安事件提供應變處理計畫,採用標準方法論將依循國際安全組織SANS所定義之4大資安事件處理執行步驟Preparation、Identification、Containment、Eradication將在數位鑑識服務中協助企業做出緊急應變處理、從何處發生威脅,並在哪些主機進行機密資料竊取,評估受害範圍。儘速發現攻擊行為降低傷損並且改善漏洞,避免同樣區域遭受2次攻擊。

    資安團隊會進一步調查該公司是否還有APT(進階持續性威脅)的事件,分析攻擊者採用的威脅情資 (Indicator of Compromise)來進行後續之清除與改善。如員工有多數主機具備第三方商用、免費遠端遙控管理工具,由於工具有可能遭受攻擊者利用於連線至內部環境,避免使用者任意安裝免費商用軟體,將攻擊者能入侵的機率降至最低。