經過近一年來加密勒索軟體肆虐後,端點安全防護解決方案勢必有所因應,紛紛傳出將在年度更新版中增強對抗能力。以長久以來累積的龐大特徵碼資料庫為基礎,搭配運用現代機器學習演算法來強化偵測力,可說是主流端點安全廠商於新推出的版本中一致的發展方向。
台灣賽門鐵克公司總經理莊昊龍指出,目前多數的防毒軟體,面對新型態攻擊卻難以發揮,例如勒索軟體(Ransomware),有企業客戶即便已安裝友商防毒軟體,卻仍舊遭受感染。無法有效攔截勒索軟體的主因,在於病毒變種速度過快,特徵碼分析已無法趕上未知型變種病毒的速度。如今賽門鐵克最新發布的Symantec Endpoint Protection 14(SEP 14)新版本不僅可偵測已知,更進一步納入未知型態的攻擊偵測能力,運用人工智慧(Artificial Intelligence,AI)與進階機器學習(Advanced Machine Learning,AML)技術,並且整合閘道端執行協同防禦,讓企業用戶不致再遭受最新變種病毒的危害。
賽門鐵克首席技術顧問張士龍進一步說明,進階機器學習技術主要是由雲端安全平台來運行,來增強未知型攻擊的辨識度。但是,賽門鐵克的機器學習相較於其他資安廠商有何優異之處?他提到,賽門鐵克擁有最大的商營全球威脅情報資料庫,如今又有Blue Coat加持,更增添情資的豐富程度,總資料量達3.7兆。
以此為基礎,即可運用機器學習技術來實作分析。不論正常或異常的檔案,每個檔案至少取得150個檔案屬性,加以分析比對,即便是僅為部分惡意程式碼也可從中發現。張士龍強調,「經過實機測試後,未知型攻擊的偵測率從原有的43%,提升到87%。」
 |
| ▲Symantec Endpoint Protection 14新版中運用進階機器學習,搭配龐大的威脅情報網路資料量,不僅作為特徵碼分析比對,亦藉此實作未知型攻擊的偵測。(資料來源:賽門鐵克) |
滲透入侵最常利用系統或軟體漏洞來發動,就賽門鐵克2015年統計數據來看,已有發現多達54個零時差漏洞。但是從發現漏洞、公開,之後原廠或相關單位發佈修補,企業端經過測試確認更新程式不致產生衝突或影響效能,才會執行安裝,整個流程預估超過一個月。而這段期間,即是惡意攻擊大肆發揮的時段。
張士龍以知名的Locky勒索軟體為例,手法是透過記憶體損毀漏洞,執行滲透入侵。「因此SEP 14版本中,特別納入控管應用程式機制,也就是注入DLL檔,以確認應用程式運行狀態、執行防護。此機制不需要更新特徵碼即可避免Java、Heap Spray、SEHOP等相關攻擊。」
至於閘道端的整合回應,SEP 14內建可透過REST API整合自家的Blue Coat閘道端技術,當Blue Coat偵測到檔案含有惡意程式,可主動通報SEP管理平台,同時加入黑名單,阻止端點用戶執行。此透過REST API開放的機制,其實不限Blue Coat,只要閘道安全設備亦支援開放介接,同樣可擴大達到協同聯防效益。