以防毒軟體為核心建立多層式防禦架構,可說是Symantec Endpoint Protection(SEP)發展理念。
針對新型態威脅手法,以及未知型攻擊,賽門鐵克今年亦推出Symantec Advanced Threat Protection(Symantec ATP)整合性解決方案,包含端點、郵件、閘道端,三種不同技術領域,協助企業對抗已知與未知型攻擊。
台灣賽門鐵克首席技術顧問張士龍說明,若用戶端下載的檔案中隱藏可疑程式時,首先會先由端點的網路層偵測發現,主要是因為SEP內建的HIPS機制中,包含勒索軟體特徵碼與中繼站資料。多數加密型勒索軟體,通常會搭配Portal伺服器,也就是中繼站,主要用途即是用來收取受害者的贖金,同時保存解密金鑰,因此,勒索軟體加密完成後勢必會執行上傳金鑰到中繼站的連線行為;或者從中繼站的單一入口網下載金鑰,並加密受害者電腦的檔案。當端點出現中繼站的連線行為,HIPS就會主動發現並予以阻斷,藉此達到網路層級的偵測與封鎖。
 |
| ▲ 台灣賽門鐵克首席技術顧問張士龍認為,在滲透攻擊手法持續進化下,儘管端點防護平台無法百分百抵禦,但至少可阻擋八成以上的攻擊,至於最新的變種病毒,已超越端點可偵測的範圍,即需要不同的作法才得以完整因應。 |
通過了網路層檢測之後,檔案準備下載到本機,當下載完成後會透過基本的防毒…防間諜機制檢查,此階段即是採特徵碼比對。在使用者點選執行檔案的同時,SEP會透過Insight檔案信譽評等機制,上傳Hash值到研發中心分析比對。若至此皆未發現問題,檔案即可順利被開啟,之後則由SONAR機制持續觀察應用程式的行為模式為正常或異常。張士龍舉例,最常遇到的狀況是PDF文件內嵌惡意程式碼,在檔案被執行時啟動執行下載惡意軟體,或是呼叫其他可疑的工具軟體,已非單純開啟PDF文件檔而已,SONAR即會判斷為異常,並加以攔阻。
至於架構在閘道端的ATP設備,主要是透過SEPM(Symantec Endpoint Protection Manager)管理伺服器連動SEP,執行資安事件的偵測與回應(EDR)。當使用者下載檔案時,會先通過ATP設備內建的黑白名單、防病毒、Insight、IPS等基本檢查,若判定為可疑檔案,則交由Cynic雲端沙箱執行模擬分析。
一旦檔案經Cynic確認隱藏惡意行為,IT管理者可透過SEPM內建的Synapse關聯式分析掌握完整資訊,並可基於分析產出的IOC(入侵指標)資訊,搜尋內網所有電腦,釐清受影響範圍,同時呼叫SEP執行檔案隔離,或是由ATP設備執行封鎖已感染的端點,以免繼續橫向擴散,讓災害降到最低。