撰文 / 數聯資安編輯部

時至歲末年終，駭客犯罪集團也頻頻出招搶業績，光是11月初在短短一周內就有多家上市櫃公司通報企業伺服器遭駭客攻擊，而近期也有券商通報其下單系統遭駭客持已外洩的用戶帳密憑證嘗試破解登入。種種跡象顯示，不管是鎖定內部伺服器或從對外服務系統入侵，企業既有的資安防護機制對於難以招架當今駭客多變的攻擊手法反應能力不足。
 
正因如此，今年8月行政院頒布《資通安全管理辦法》子法修正條文，明文規定A、B級公務機關需部署「端點偵測及應變機制」以及「資通安全弱點通報機制」。且在10月，金管會才宣布將擬法要求上市櫃公司應揭露重大資安事件及其影響損失、因應措施等。足見日益難防的新型態網路攻擊事件，促使政府連連透過修法來提醒公、民營單位應強化防禦與通報機制。

EDR具備偵測、遏止、調查、修正四大功能 彌補傳統防毒之不足

由於現今的勒索病毒或新型惡意程式相當擅於隱匿且狡詐，只要稍作改變就能躲避防毒軟體偵測。且惡意程式還經常夾帶在合法軟體工具裡潛伏到目標企業中，傳統採用特徵碼掃描技術的防毒軟體難以比對偵測出此類新型惡意程式。因此在這次修訂的《資安法》及子法中，特別要求A、B 級公務機關應導入端點偵測及應變機制（EDR）技術，同時法條文件中對端點偵測及應變機制下了清楚定義，是指「具備對端點進行主動式掃描偵測、漏洞防護、可疑程式或異常活動行為分析及相關威脅程度呈現功能之防護作業。」
 
更明確來說，根據Gartner對EDR的定義，EDR需包含以下四大基本功能：偵測、遏止、調查、修正。採用行為分析技術的EDR能彌補傳統防毒軟體之不足，傳統防毒軟體較著重於預防，以比對特徵碼的方式預防中毒，而EDR不只能持續偵測網路連線行為，也能阻擋遏止可疑的連線服務，更提供調查與修正的功能，能與資料庫比對、觀察異常行為，留下記錄並進行通報。

該如何選擇正確的EDR解決方案，有效落實端點安全並符合資安規範要求?
當遭遇駭客入侵事件時，如何讓入侵軌跡立即浮現?  閱讀完整文章