Defense against sophisticated endpoint threats - The New Approach to EDR

Media Coverage @ wepro 180

2021-11-24

隨著企業增加使用遙距辦公室，並擴大採用混合工作模式的員工團隊，端點因此更易受到攻擊。有個別國家更作出行政命令，指示必須提升網絡安全防禦力，而其中一項目標就是關於提升端點偵測及回應（Endpoint Detect and Response, EDR），可見政府機構及企業在端點防禦上吃了不少苦頭。事實上，企業在數碼轉型或遙距工作模式的大趨勢下，必然要加強端點防禦，所以早前 ICT 服務供應商中信國際電訊 CPC（以下簡稱 CPC）及網絡安全公司 Check Point 便舉辦了一次座談會，由雙方的專家講解部署端點防禦及其所面對的挑戰，並分享提升 EDR 效能的心得。

雲端應用普及 拉闊網絡安全防禦面

「Endpoint = Weak Point」，CPC 戰略和產品開發及管理部高級產品顧問 Sung Liu 一開始已點出了現時企業網絡安全問題的癥結，無論是因為企業的數碼轉型熱潮，抑或受新冠疫情所影響，都令企業採用更多雲端應用服務及遙距辦公工具，大大拉闊了網絡安全的防禦面。 Sung 強調在網絡安全上，人是最難控制的元素，但由於以往大部分企業都會建立一個相對安全的內部網絡環境，包括架設防火牆、入侵預防系統（IPS）等阻止黑客入侵，當員工在公司內使用電腦工作，即使員工疏忽打開可疑檔案或連結，仍有安全工具作為把關防線。「不過，疫情下企業改變成遙距工作模式後，即使部分企業會向員工提供公司電腦，但由於已離開了內部網絡，防禦力被大幅削弱，黑客自然不會放過大好機會，因此EDR 服務便變得非常重要。」

Defense against sophisticated endpoint threats - The New Approach to EDR

CPC 戰略和產品開發及管理部高級產品顧問 Sung Liu 指出端點防禦是企業在數碼旅程中必然要克服的難題，盡早做好保護措施，企業才能專心拓展業務。

難百分百迴避入侵的風險 預防措施減中招風險

對於端點防禦，Sung 認為在上述不安因素下雖然難以達到百分之百零中招，但仍有不少措施可以減低入侵風險。首先必須控制員工可以使用的應用服務，因為員工有可能使用影子 IT（shadow IT）工具例如個人雲端儲存服務，與客戶或同事分享公司資料，這些工具因缺乏安全保護，增加數據外洩風險。其次是為員工提供沙盒（sandbox）工具，讓員工透過沙盒開啟可疑的連結或檔案，減低企業安全風險。此外，企業在發生資訊安全事故時，亦必須盡快控制入侵範圍，減少損失。他以一個製造業客戶的成功個案為例，今年中這間公司的端點設備曾被勒索軟件入侵，但在 CPC 的事件回應（Incident Response）服務及 Check Point 的 EDR 工具的防護下，成功阻止勒索軟件感染其他電腦設備。CPC 亦非常重視事後審查，找出黑客利用的漏洞再加以堵塞。因為過往有不少真實個案顯示，勒索軟件的受害企業在交付贖金後，很快又再度受到攻擊，箇中原因是漏洞仍然存在，黑客輕易地再利用相同方法入侵，因此必須找出問題所在，才能確保端點不會再受攻擊。

整合端點數據 及早揪出可疑行為

Check Point 香港及台灣技術總監 Kev Hau 則從黑客行為的轉變，以及數據可視性方面，道出了部署 EDR 的難度。「黑客的攻擊手法有很大轉變，以勒索軟件為例，現時黑客入侵後未必急於執行加密程序，反而會潛伏在網絡內搜尋機密資料，於日後向企業作雙重勒索（double extortion）。」Kev 說這些行為本身已經非常隱密，如果企業在端點上安裝的各種安全代理（agent）如防毒軟件（anti-virus）、資料外洩防護（DLP）、虛擬專用網絡（VPN）之間無法兼容，數據可視性自然不會理想，並進一步增加偵測入侵行為的難度，因此必須整合（consolidation）端點代理的數據傳輸，才能及早發現及阻止黑客入侵。他說 Check Point 擁有三十多年的網絡安全經驗，自主研發的 EDR 解決方案便將多種安全代理功能集於一身，可滿足 90% 以上端點安全所需的功能，企業便毋須擔心兼容問題，而且 Check Point 的 EDR 代理佔用很少資源，不會影響企業其他 IT 應用服務的表現，有助保持良好的客戶體驗。

Defense against sophisticated endpoint threats - The New Approach to EDR

Check Point 香港及台灣技術總監 Kev Hau指出，公司的 EDR 代理非常「輕身」，有不少企業成功個案可同時部署一至兩萬個，澳洲更有客戶一次過部署 11 萬個 EDR 代理，網絡及運算資源亦不會受影響。

人工智能應用有道 三大目標提升事件回應效率

Kev 又提到網絡安全專才不足所衍生的問題，「業界人才的流動率很高，有人轉工有人移民，令本來不足的人手更顯緊絀。」他說 Check Point 早已將人工智能技術應用於各種安全工具上，「不少服務供應商都聲稱應用了 AI 技術，但卻未能清楚說明應用的地方。而 Check Point 的應用目標主要有三個，首先是增加事件偵測率，其次是減少誤報（false positive）並為事件緩急排序，最終才可提升事件回應效率，紓緩人手不足問題。」Kev 又提到 Check Point 手頭上有大量威脅狩獵（threat hunting）數據及鑑證報告（forensic reports），有助企業了解最新的入侵方式及網絡安全趨勢，但企業仍需有合資格的安全專家，才能詳加分析利用。問題是維持安全團隊的成本極高，專才亦未必熟練各種工具或安全法規的內容，因此採用網絡安全託管服務供應商（Managed Security Service Provider）便成為全球大趨勢，而 CPC 的TrustCSI™ EDR 解決方案，便是首個大中華區結合 Check Point EDR 工具的安全託管服務。

互取優勢 協助客戶拓展中港業務

談到今次合作，Kev 回應說 CPC 是一間擁有豐富網絡安全經驗及人才的公司，並且在中港兩地均設有辦事處及安全運作中心（SOC），不單掌握到最新的安全風險，而在近年中港兩地陸續落實各種安全法規後，CPC 更可為不同行業客戶提供合規建議，讓企業可更靈活拓展大灣區業務。Sung 則指出 Check Point 在網絡安全界擁有堅實的能力，它在具高公信力的美國非牟利中立組織 MITRE 的端點模擬入侵測試中，因成功攔截 9 成攻擊而獲得最高分，雙方的合作自然可增加客戶的信心。

聽過二人的分享，座談會當日有不少觀眾對 EDR 解決方案深感興趣，在會後提出各種問題。未能出席的企業客戶如欲更深入了解端點防禦，可以點擊以下連結，了解更多。

https://www.citictel-cpc.com/EN/HK/Pages/product-services/trustcsi-security-threat-detection-response

< ~~Previous~~

Back

~~Next~~ >

Products & Services

TrueCONNECT™ Networking

Information Security

Identify & Predict Assessment Services Asset Identification Service Vulnerability Assessment Service Penetration Test Service Code Review Service AI Visual Security

Protect Managed Network Security Device Service Managed Unified Threat Management (UTM) Managed Next-Generation Firewall (NGFW) Managed Web Application Firewall (WAF) Network Security Secure Access Service Edge (SASE) Mail Security Mail Protection Services

Detect Threat Detection Services Managed Security Services (MSS) Endpoint Detection & Response (EDR) Traffic Monitor and Analysis Secure AI (UEBA) Network Traffic Analysis

Respond & Recover Security Response Services Security Orchestration, Automation and Response (SOAR) Threat Hunting Service Security Incident Response (IR) Backup & Disaster Recovery as a Service Versatile Managed Cloud Backup & DR Solution (BRR)

Professional Services & Compliance Professional Services Security Device Migration Service Cloud Professional Services Compliance Services China Cybersecurity Law MLPS 2.0 Compliance Service Cross-Border Data Compliance Assessment Service

SmartCLOUD™ Cloud Solutions

DataHOUSE™ Cloud Data Center

Internet Services

Managed Services

Europe Solutions

Europe to Asia / Asia to Europe Europe & Asia West-East Global Cloud Ring

Baltic Sea DIA PROTECT Internet Based Connectivity Solution Business Internet Solution (On-Net Tallinn) Baltic Sea Cable Estonia Data Center Solution Estonia Cloud Solution

Solutions

Solutions

Technology & Services

Technology & Services

About Us

About Us

Resources Center

Resources Center

Contact Us

Contact Us

Defense against sophisticated endpoint threats - The New Approach to EDR

Identify & Predict
Assessment Services Asset Identification Service Vulnerability Assessment Service Penetration Test Service Code Review Service AI Visual Security

Protect
Managed Network Security Device Service Managed Unified Threat Management (UTM) Managed Next-Generation Firewall (NGFW) Managed Web Application Firewall (WAF) Network Security Secure Access Service Edge (SASE) Mail Security Mail Protection Services

Detect
Threat Detection Services Managed Security Services (MSS) Endpoint Detection & Response (EDR) Traffic Monitor and Analysis Secure AI (UEBA) Network Traffic Analysis

Respond & Recover
Security Response Services Security Orchestration, Automation and Response (SOAR) Threat Hunting Service Security Incident Response (IR) Backup & Disaster Recovery as a Service Versatile Managed Cloud Backup & DR Solution (BRR)

Professional Services & Compliance
Professional Services Security Device Migration Service Cloud Professional Services Compliance Services China Cybersecurity Law MLPS 2.0 Compliance Service Cross-Border Data Compliance Assessment Service

Europe to Asia / Asia to Europe
Europe & Asia West-East Global Cloud Ring

Baltic Sea
DIA PROTECT Internet Based Connectivity Solution Business Internet Solution (On-Net Tallinn) Baltic Sea Cable Estonia Data Center Solution Estonia Cloud Solution