Fortinet數位風險防護系統囊括EASM、品牌保護、敵情掌握
隨著網路威脅情報服務的持續發展,衍生出多種形式的資安解決方案,近期崛起的外部攻擊面管理系統(EASM)就是一例,目前已有不少廠商推出這類型的產品與服務,像是去年我們曾報導的Cybersixgill Investigative Portal,以及Microsoft Defender EASM,而去年12月初,他們首度在臺灣舉行的年度大會上,介紹自家包含EASM功能的產品FortiRecon。
FortiRecon最初發表的時間與場合,是在2022年6月初召開的RSA資安大會,Fortinet表明這是一套完整的數位風險防護服務(DRPS),當中結合機器學習、自動化處理等功能,以及該公司威脅情報研究單位FortiGuard Labs的網路安全專家,協助企業用戶管理資安風險態勢,並且獲得有意義的應變行動建議,而能保護公司的品牌信譽,以及所屬的各種資產及資料。
若對照該公司公布的相關線上說明來看,的確FortiRecon是在2022年6月推出第一個版本22.2,9月底發布22.3版,11月中22.4版上線,今年1月23.1版登場。
相較於市面上其他同類型的資安解決方案,FortiRecon並非只有EASM,還包含企業與組織品牌的防護Brand Protection(BP),以及聚焦在敵對者的威脅情報服務Adversary-Centric Intelligence(ACI),協助用戶在對方進行刺探與勘查時,能夠及時察覺攻擊初步階段的異常活動信號、採取必要的反制作為,進而降低風險,減少攻擊後期為了緩解威脅而需額外耗費的時間與成本。
EASM涵蓋資產探查、資安問題挖掘、行動建議提供等功能
以專司外部攻擊面管理的功能模組而言,FortiRecon可協助用戶了解自身面臨的資安風險現況,而能早一點進行緩解。Fortinet在此提供整個組織與附屬單位的資安狀態總覽,可識別已知或未知IT資產是否暴露在公開網路與相關的資安漏洞風險之中,也能優先列出重大問題的修補資訊。
目前FortiRecon的EASM可偵測多種資安暴露風險,像是伺服器、帳號密碼、公有雲服務的組態設定錯誤(misconfigurations),以及攻擊者正在濫用的第三方廠商軟體漏洞。
基本上,他們的EASM就是希望提供以攻擊者角度出發的IT整體環境觀察,展現有心人士在勘察階段所能探查到的資訊,因此,這裡會運用外部掃描的方式,尋找各種暴露在攻擊者眼前的已知與未知資產,像是網域名稱、子網域名稱、自治系統編號(ASN)、IP區塊、IP位址,隨後識別其是否具有可濫用的資安漏洞,像是設定錯誤、SSLL認證問題、可能導致攻擊的通訊埠、暴露在外部網路可存取範圍的資料庫服務、DNS相關問題、已遭外洩的資料或帳號密碼。若是在過程中找到任何資安問題,FortiRecon會列出細部敘述與可採取對應矯正動作的資訊。而對於國際化的企業與組織而言,也能透過整合全球地圖的呈現,從中縱覽各個國家地區已暴露的數位資產,並且根據資安威脅嚴重性,依處理優先順序列出須盡快處理的資產或漏洞。
除了偵測暴露在外的IT資產、進行威脅緩解,FortiRecon EASM也提供持續產生的比較報告,能夠秀出企業與組織呈現在外部的資安態勢,了解相關改善作為是否與時俱進,同時,用戶也能透過這裡呈現的資訊,像是能連上網際網路的IT資產、開放對外連線的網路埠,過期失效或即將失效的SSL憑證,檢視本身的外部攻擊面變化、弱點矯正趨勢,以及過去的狀態資料,可藉此協助識別變化的模式、違反政策的行為、需要改善的層面,以及其他潛在風險。
值得注意的是,FortiRecon在弱點與威脅資訊的處理上,有一部分採用他們自行發展的AI技術,能夠在整個資安產業最大與最多樣的資料集之上進行訓練,進而產生精準、通過驗證的資訊;而有超過四分之一的統計報告,則是由專家收集網路威脅情報而成,可呈現最逼近現實狀態的組織潛在風險態勢。
針對頂著企業與組織品牌的網路相關活動,提供偵測冒用的防護
隸屬於FortiRecon的品牌防護功能,顧名思義是協助企業與組織確保自身的資安信譽,並且識別鎖定其用戶進行攻擊的各種風險,可涵蓋的領域包含社交媒體、網站、行動App。
Fortinet在此採用專屬的演算法,能夠及早偵測透過社交媒體對品牌與商譽進行的多種攻擊伎倆,像是:網頁形式的網域名稱誤植(typo-squatting)/相似URL網址的劫持、網頁置換(defacements)、冒充正常使用者的網路釣魚詐騙、不明App、身分外洩,以及品牌仿冒,能讓團隊更快採取將網站或應用程式下架的動作,阻止與預防更大的傷害發生。
在實際應用上,若要立即查看已被用於欺騙客戶與員工的不法網站威脅,或是了解在社交媒體平臺上的品牌仿冒活動,例如偽造的臉書帳號,均可至FortiRecon品牌防護功能當中檢視。
關於反制這類惡意活動的保護機制上,FortiRecon提供多種作法。例如,提供特製的下架服務(takedown services),能用於帳號、網站,以及非法行動App的處理,以此保護用戶所屬的品牌。
同時,用戶也能基於系統內建JavaScript指令碼而成的數位浮水印功能,將其添加在企業與組織的網站頁面,藉此得知網頁存放的主機所在位置,一旦有心人士將網頁複製到其他網站,企圖發動網路釣魚活動,用戶就能運用上述方式而能快速偵測到惡意網站的所在位置,隨後根據這個資訊來進行下架網站的動作。
關於品牌保護的狀態,FortiRecon同樣提供儀表板風格的呈現,能讓用戶的資安團隊,以及高層主管,快速掌握組織、客戶、資料、品牌信譽等不同角度面臨的風險。
提供更符合個別企業與組織特性的網路威脅情報服務,掌握本身是否成為被鎖定的目標範圍
至於聚焦在敵對者的ACI威脅情報服務,FortiRecon在此可協助企業與組織的安全維運中心(SOC)團隊,掌握更具體的資安態勢,像是目前面臨網路威脅的特定產業與地區,攻擊者的來歷與特殊行為模式,以及可能鎖定的資產類型,進而提升保護效力。
在此項功能模組當中,對於目前活躍的網路犯罪者對個別公司暴露的攻擊意圖,可借重FortiGuard Labs的全球網路安全專家團隊的人為情報處理能力(HUMINT),主動監控暗網、公開與祕密線上論壇、公開的威脅情報來源(OSINT、TECHINT)、P2P網路、Pastebin這類資訊張貼網站,以及線上即時通訊服務頻道、社交媒體,以及其他網路犯罪相關領域。
像是收到邀請才能造訪的地下網站,而且是網路犯罪者持續在此宣傳、張貼相關攻擊訊息,以及販售特定組織的資料與帳號密碼的網站,FortiGuard Labs可依據這些觀察進行分析、評估,從而了解處於潛伏狀態與正在逼近的威脅風險,同時也搭配攻擊者的動機分析,像是散播勒索軟體牟利、發動零時差漏洞濫用攻擊企圖綁架或滲透特定電腦或連網設備,來進行資訊過濾,進而產生為其量身打造的網路威脅情報內容,提供專屬於此公司與組織本身,以及所屬產業、位處地區的資安防護建議,進而盡快採取應變措施。
在實際應用的場景上,FortiRecon ACI可快速辨別是否有敏感資訊落入網路犯罪組織手中,一旦早期發現,用戶就能立即採取密碼重設等作為,縮短對方能夠使用與販售這些敏感資料與帳號密碼資訊的時間,達到預防或阻擋攻擊的效果。
針對金融業用戶,Fortinet也在此額外提供信用卡與發卡行識別號碼(BIN)等資訊的監控,可提供信用卡與簽帳卡號外洩的警示通知。
產品資訊
Fortinet FortiRecon
●原廠:Fortinet
●解決方案型態:SaaS雲端服務,管理主控臺坐落在FortiGate Cloud網站入口
●功能模組區分:External Attack Surface Management(EASM)、Brand Protection(BP)、Adversary Centric Intelligence(ACI)
●最新版本:23.1
