Moving Target Defense – Zero-day/Fileless Attack/Exploited Prevention Specialist
Morphisec ช่วยปกป้องคุณจากภัยคุกคามทาง Cyber ระดับสูงได้อย่างเด็ดขาด ก่อนที่ภัยจะเริ่มคุกคามด้วยการปิดช่องโหว่ด้านความปลอดภัย
ปัจจุบันรูปแบบพฤติกรรมด้านการรักษาความปลอดภัย มีหลายรูปแบบ เช่น AI, ML, Anomaly Detection (การตรวจจับความผิดปกติ) ซึ่งรูปแบบดังกล่าวนี้ นอกจากมีความซับซ้อนในการดูแลและติดตั้งแล้ว ยังเป็นการเพิ่มงานให้กับทีม SOC ด้วย เพราะเสียเวลาไปกับการดักจับ malware ที่มีอยู่แล้วในระบบ ทีมงานต้องเสียเวลาไปกับการ alert ทุกๆอย่าง จำนวนมาก โดยบางครั้งก็เป็น False Positive (เข้าใจว่าเป็น malware แต่ไม่ใช่) และทางทีมงานก็ไม่สามารถจัดการกับจำนวน alert ได้ทัน เพราะมีปริมาณมาก อีกทั้งเครื่องมือดังกล่าว ยังต้องใช้คนที่มีความเชี่ยวชาญในการจัดการปัญหา หรือถ้าไม่มีก็ต้องจ้าง outsource หรือที่เรียกว่า MDR เข้ามาบริหารงานแทน ซึ่งมีราคาแพงกว่า แต่คุณสมบัติของ Morphisec สามารถระงับการโจมตีได้ตั้งแต่ขั้นตอนเริ่มต้น คือ ขั้นตอนของการป้องกันได้ก่อนที่การโจมตีจะสามารถ execute ได้ หรือก่อนที่ความเสียหายจะเกิดขึ้น โดยไม่ต้องลงไปถึงขั้นตอนการตรวจจับและขั้นตอนการแก้ไข ดังนั้นการป้องกันจึงเป็นสิ่งที่สำคัญที่สุดและระงับการโจมตีได้ก่อนที่จะเกิดเหตุจะช่วยลดความเสี่ยงให้ต่ำลงและความเสี่ยงจากการมีต้นทุนที่สูงขึ้น
ช่วงหลายปีที่ผ่านมา ระบบคอมพิวเตอร์เป็นเป้าหมายที่สามารถคาดการณ์ได้และไม่ได้มีการเปลี่ยนแปลงอะไร ดังนั้นจึงเป็นช่องโหว่ให้ผู้โจมตีสามารถศึกษาและเรียนรู้ข้อเสียของระบบได้ตลอดเวลา วิธีที่ผู้โจมตีลงมือ คือ พยายามมองหา resource และ location ใน memory ในการที่จะเจาะช่องโหว่ ซึ่งพื้นที่ตรง memory space เป็นเป้าหมายที่สามารถคาดการณ์ได้อยู่แล้ว ดังนั้นรูปแบบของ morphisec คือ ต้องระงับก่อนที่มันจะเข้าไป execute และทำให้ memory structure และ resources ที่อยู่ใน memory เป็นเป้าหมายที่ไม่สามารถคาดการณ์ได้และเคลื่อนที่ตลอดเวลา เราจึงเรียกวิธีการทำงานของ Morphisec ว่าเป็น “Moving Target Defense” ในขณะเดียวกัน ผลการวิจัยของ Gartner ได้กล่าวว่า 60-70% ที่การจู่โจมขั้นสูงจะถูกโจมตีที่พื้นที่ memory เป็นหลัก
ขั้นตอนการป้องกันโดย Morphisec
Moving Target Defense
ขั้นตอนแรก คือ ทุกครั้งที่เราเรียก application ขึ้นมาใช้งาน Morphisec จะ morph (แปรรูป) โครงสร้าง memory ทั้งหมด หมายถึง การคน DLL หลายๆตัวเข้าด้วยกัน การเปลี่ยนชื่อ การเปลี่ยนลิงค์ การย้าย location ของ memory structure โดยย้ายไปเรื่อยๆไม่ให้ hacker คาดเดาได้ว่าจริงๆแล้ว actual memory อยู่ที่ไหน หรือแม้แต่เปลี่ยนรูปแบบ sequence ของการโหลด Attacker จะไม่มีความรู้ที่จะเจาะเข้ามาในพื้นที่ memory จริงได้ เพราะไม่ได้รับ link การเชื่อมต่อกับ new actual memory ซึ่ง morphisec จะทำการ run ตามปกติ โดยไม่ได้เปลี่ยนแปลงพฤติกรรมหรือเปลี่ยนแปลง performance ใดๆเลย Morphisec จะทำการแปร DLL ทุกครั้งที่มีการโหลดไฟล์
ขั้นตอนที่ 2 Morphisec จะสร้าง skeleton light weight โดยดึงโครงสร้างจริงๆของ actual memory structure ออกมา (ก่อนที่ memory จะถูก morphing) โดยทิ้งชิ้นส่วน skeleton ของ memory จริง ไว้ให้เป็นกับดัก เมื่อ attacker มองเห็นก็จะพยายามเข้ามา execute ในที่ที่ถูกออกแบบให้ execute จากนั้น attacker จะเจาะ memory structure เพราะมีความเข้าใจว่า เป็นเป้าหมายที่ตัวเองคุ้นเคยอยู่แล้ว เมื่อเข้าใจว่า เป็นเป้าหมายเดิม ก็จะติดกับดัก และการโจมตีนั้นก็จะถูกระงับทันทีโดย Morphisec จากนั้น Morphisec จะทำ full forensic detail (การชันสูตรทางดิจิทัล) ว่าการโจมตีนั้นถูกจับได้อย่างไรและพยายามจะเข้ามาทำอะไร โดยจะเห็นตั้งแต่ต้นทางของการโจมตีจนจบ อย่างไรก็ตาม ข้อมูลทั้งหมดจะถูกส่งเข้าไปที่ Management Console เพื่อแสดงออกมาหน้า Unified Security Dashboard ของ Morphisec
คุณสมบัติหลักของ Morphisec
- ทันทีที่การ morph สมบูรณ์ performance ของเครื่องคอมพิวเตอร์ จะไม่ได้มีผลกระทบอะไร เพราะ Morphisec เป็น agent ที่มีขนาดเล็กมาก (ขนาด 2 MB) ทำงานบน Window Service Application เท่านั้น และไม่ได้กิน memory หรือ CPU แต่อย่างใด เนื่องจาก Morphisec จะทำงานเฉพาะตอนที่มีการ morphing เท่านั้น
- Morphisec ไม่จำเป็นต้องพึ่งพากฎใดๆ, ไม่ต้องพึ่ง IOC (Indicator of Compromise), ไม่มี pattern, ไม่ต้องใช้การตัดสินใจใดๆการเปลี่ยนแปลงสถาปัตยกรรมใดๆ, ไม่ต้อง reboot, ไม่ต้อง configuration และไม่ต้อง update pattern / signature เพราะ Morphisec ไม่ได้มี solution สำหรับการสแกนหาสิ่งไม่ดีใน network แต่เป็น solution สำหรับการป้องกันก่อนที่ malware จะถูก download ดังนั้น Morphisec จึงสามารถทำงานร่วมกับ AV ทั่วไปได้อย่างไร้รอยต่อ เพราะทำงานคนละรูปแบบกัน หมายความว่า
- AV ทั่วไปทำงานในรูปแบบที่ต้องขึ้นกับ signature หรือ พฤติกรรม
- แต่ Morphisec ทำงานในรูปแบบของ Moving Target Defense เป็นการป้องกันในเชิงลึก (การป้องกันที่ malware ได้พยายามหลบเลี่ยง AV มาจากพื้นที่อื่นๆแล้ว
- Morphisec สามารถป้องกัน zero day attack ได้จากการเข้า web browsing, phishing email, macros exploit, evasive malware และ backdoor supply chain ตามที่เราเห็นได้ในท้องตลาด และ Morphisec ยังสามารถป้องกันการจู่โจมจากการแทรกซึม, การเจาะระบบ, ก่อนเข้ามา execute, การใช้ shell code execute หรือแม้แต่malware ที่หลีกเลี่ยงเพื่อไม่ให้โดนจับได้ ถึงแม้ว่า attacker จะพยายามเข้ามาเรียนรู้ actual memory structure แต่ Morphisec ก็จะ morph ตัวเองไปเรื่อยๆ ทุกครั้งที่โหลดใหม่ ก็จะมีการคน DLL ใหม่
- Morphisec สามารถช่วยลดภาระเรื่อง False Positive ให้กับผู้ใช้งานได้ เพราะ solution ของ Morphisec ไม่เหมือนกับ Anti Virus ทั่วไป เนื่องจาก Morphisec ไม่ได้เป็น solution ที่ใช้สแกนหา malware ใน network แต่ solution ของ Morphisec สามารถตอบโจทย์ความแม่นยำได้โดย ถ้า application ที่โหลดขึ้นมาใช้งานไม่สามารถถูกโหลดผ่านเข้าไปใน memory ของจริง (ที่ถูก morphing ไว้) นั้นหมายถึง Application นั้น มี malicious code แฝงตัวอยู่ และเมื่อเทียบกับ Anti Virus ทั่วไปหรือกลุ่มเทคโนโลยีที่ใช้ AI / ML จะพบ False Positive ในกลุ่มนี้มากกว่า เพราะความสามารถของเทคโนโลยีกลุ่มนี้ คือ การสแกนหาสิ่งไม่ดีใน network ดังนั้นอะไรก็ตามที่สามารถสแกนจับมาได้ อาจไม่ใช่ภัยคุกคามทั้งหมด และทางผู้ใช้อาจต้องพบความยุ่งยากในการบริหารจัดการกับ Alert Fatigue ในสิ่งที่ไม่ใช่ภัยคุกคามจริงๆ อย่างไรก็ดี Morphisec ไม่มีการทำ Whitelisting ใดๆใน agent เพราะเทคโนโลยีของ Morphisec ไม่ได้ขึ้นอยู่กับการศึกษาพฤติกรรมหรือการสแกนใดๆ
DASHBOARD แสดงข้อมูลการโจมตีตั้งแต่ต้นทางไปจนจบกระบวนการ
Morphisec Information
หากท่านต้องการรายละเอียดเพิ่มเติมเกี่ยวกับ Morphisec กรุณาติดต่อฝ่ายขาย