最近更新文章
2017/10/20
職場監視尺度須拿捏 兼顧資安保護及員工隱私
2017/10/20
AI/運算/感測相繼成熟 自駕車隨技術水到渠成
2017/10/19
樺賦科技全新 N2350 和 N4350 儲存伺服器
2017/10/19
雲服務接地氣 電信級標籤防偽
2017/10/19
微服務容器不是易開罐
2017/10/18
記錄檔案伺服器存取軌跡 免費達成稽核調閱要求
2017/10/17
希捷推出高容量 12TB NAS 硬碟
2017/10/17
網路櫃攸關機房運作 細節著手管理更可靠
2017/10/17
解危IoT威脅 資安委外滅火
2017/10/16
大世科成立全台首座企業級資安實戰演練中心
2017/10/16
合勤科技 2017 BBWF 首次亮相最新 WiFi Mesh 解決方案
2017/10/16
緊盯資安最脆弱環節 專家解析主機異常活動
2017/10/16
正確撰寫Dockerfile 製作最好用容器映像檔
2017/10/15
Hitachi Vantara 全新商用 Lumada 軟體堆疊, 強化工業物聯網平台市場
2017/10/14
恩智浦運用 Google Cloud IoT Core 促進智慧裝置的邊緣運算
2017/10/14
達友科技獨家代理資安品牌 OPSWAT 抵抗惡意攻擊
2017/10/13
NEC 研發出世界首創的聲音AR技術
2017/10/13
Nutanix 發表最新的企業雲平台 採用單一OS混合雲
2017/10/13
統轄大型複雜虛擬化環境 vROps監控管理有效率
2017/10/13
電商連資安險都拒保 專業防護贏回競爭力
2017/10/12
Openfind Mail2000 協助企業輕鬆做好資安防護
2017/10/12
NETSCOUT 推出 AIRCHECK G2 全新功能
將此篇文章跟 Facebook 上的朋友分享將此篇文章跟 Plurk 上的朋友分享將此篇文章跟 Twitter 上的朋友分享列印轉寄
2017/7/4

網路沙箱與端點安全聯合防禦 共同反制未知威脅入侵

事先紀錄以還原檔案執行 讓加密勒索軟體失效

洪羿漣
外部資安威脅手法變化多端,企業往往防不勝防,像是近期眾所周知的WannaCry蠕蟲,雖然蠕蟲形態並不稀奇,但是應用在加密勒索卻是首見,因而引起全球資安廠商嚴密關注。面對現代攻擊威脅,卡巴斯基實驗室台灣技術總監謝長軒認為,企業首要必須強健資安體質,先擬定安全策略規畫,以便定義優先順序,再逐步建置適合的解決方案實施政策,才是因應之道。


根據卡巴斯基實驗室於2016年統計報告中指出,「肉雞」(受駭客操縱的殭屍電腦)的價格愈來愈便宜,每台大約6美元即可取得,可說是相當便宜的犯罪「服務」;若用於發動DDoS攻擊,下單之前還可以試用;加密勒索軟體也有簡單易上手的工具,僅需滑鼠點選即可自行產生變種。

如此情況下,謝長軒觀察,不斷發布最新特徵碼的傳統防禦模式,即使IT資源充裕的大型企業,防禦體系都未必能趕上變種的速度。因此卡巴斯基除了發展資安解決方案,也積極加入由歐洲刑警組織與專業機構共同組成的非營利組織防範勒索軟體聯盟(No More Ransom),以掌握惡意程式製作者為主要目標,才能藉此降低惡意程式產生的數量。

APT沙箱搭配威脅感知平台建立內部聯防

就端點保護平台解決方案的發展來看,卡巴斯基所架構的多層次防護,包含入侵管道(檔案、網頁、郵件)威脅防護、雲端情報服務、反勒索病毒防護、主機型入侵防禦(HIPS)及網路威脅防護、自動漏洞入侵防護(Automatic Exploit Prevention,AEP)、機器學習與行為模式分析偵測技術。

所謂多層次,謝長軒解釋,意思是對不同威脅特徵以不同機制阻擋。從使用者下載檔案的瞬間開始,先偵測檔案來源的URL;存放到端點時經過防毒引擎掃描;被點選開啟後,載入記憶體時,立即檢查執行緒;執行當下則監看運作程序行為,過程中若發現問題隨即阻擋。


▲ 卡巴斯基以威脅感知平台(Cyber Hunting Platform),發展防護、偵測、回應、預測相關技術,協助企業建構資安循環體系。


「由於惡意軟體變種數量過多,端點保護平台業者為了提升資料判別速度,紛紛開始強調機器學習技術,其實卡巴斯基原本就已採用機器學習來協助判斷。但是大家沒有提到的是,這只能用於判斷非營運相關、風險低的檔案,在偵測發現時立即執行刪除;但是對營運相關、風險較高的檔案,即便發現惡意狀態,也不得輕易處置,以免造成營運中斷。這也是資安市場上出現APT解決方案原因之一。」謝長軒說。

由於APT解決方案屬於網路層的進階解析,在偵測發現攻擊活動時,主要是產出報告再由資安人員分析調查後判斷與執行。問題是,台灣有能力配置資安人力的企業或組織根本寥寥無幾,因此APT解決方案開始協同第三方防禦機制,讓沙箱分析所產出的入侵威脅指標(IOC),可透過防火牆、端點保護平台等機制執行阻斷。

謝長軒指出,卡巴斯基於2016年推出的KATA(Kaspersky Anti Targeted Attack)解決方案,即是提供企業內部自建的沙箱分析機制,搭配威脅感知平台(Cyber Hunting Platform)統合外部威脅情資,「用別人發生過的經驗為基礎,檢視自家內部安全性,」達到預測與內部聯防。

資安人員或IT管理者可經由入口網頁,輸入可疑檔案的Hash值、IP位址、URL,來查詢內部哪些物件曾經透過URL下載,或者是曾經有過連線存取,讓事件調查時得以縮小範圍,降低人工篩選資料的負擔。

從執行程序監看 即時阻斷惡意行為

▲ 卡巴斯基實驗室台灣技術總監謝長軒建議,企業欲確保資安無虞,即需要預防的方法、偵測機制、事後調查與回應、從已經發生的資安事件中預測,才能免於遭受攻擊造成的傷害。
其實端點保護平台有個現實面的問題,謝長軒指出,也就是事件發生當下分析得愈仔細,則愈可能干擾到使用者,例如沙箱技術,雖可達到完整的模擬分析,但由於過度耗用實體資源,實際上無法被納入到端點安全方案。因此卡巴斯基才發展多種不同偵測防護機制來輔助,例如2015年推出Kaspersky Endpoint Security第10版時,就已增添了系統監控(System Watcher),運用機器學習與行為模式分析偵測技術實作,以最低程度的佔用資源,提升偵測未知檔案的效率。

謝長軒說明,檔案在下載、啟動、執行時,不同階段會採用不同檢查機制。對於已知威脅,由於已掌握檔案屬性,經由Hash值即可快速比對;新的惡意軟體變種,屬於未知威脅,則主要是在執行時進行檢查。首先,下載時會透過卡巴斯基安全網路(KSN)的龐大資料庫分析比對;啟動時開始載入記憶體準備執行,或者是呼叫其他物件,此時則亦可透過內建的行為模式分析、自動漏洞入侵防護及系統監控來執行防護。

「卡巴斯基的自動漏洞入侵防護的作法,概念上如同虛擬補丁,但並非由網路傳輸層來執行阻擋,而是針對執行程序運行時,若出現漏洞存取行為,則直接阻斷運行。」謝長軒強調。

至於系統監控機制,則內建了記錄執行程序,假設發現未知檔案開始執行,系統監控會主動記錄系統環境當下的狀態,並透過行為模式分析與機器學習於背景偵測,一旦發現異常執行行為,例如開始加密大批檔案,不僅只是阻擋惡意行為,同時亦可回復到執行前的狀態。如此一來,即便是沒有特徵碼的未知型檔案,或是在離線狀況下,皆可阻擋加密勒索軟體的執行。

「今年的解決方案發展藍圖,主要是著重於APT與端點的整合。」謝長軒說。欲提高偵測能力,現階段有網路沙箱、網路行為分析來協助。至於在端點方面,額外增添EDR機制,主要即為強化事件回應能力,可整合於端點保護平台一併提供。如此一來,網路層的沙箱技術模擬分析過後,產生出IOC檔案,透過端點偵測與回應(EDR)機制即可辨識,再由端點防護措施執行阻斷,兩者搭配建立完整的端點保護方案。

這篇文章讓你覺得滿意不滿意
送出
相關文章
趨勢科技:勒索病毒攻擊全台已超過2千萬次
防禦戰線持續向內延伸 就近攔阻威脅活動
威脅意識帶動資安預算 NGFW/UTM市場火熱
高性價比擊中甜蜜點 口碑服務打開市場空間
醫療產業網路攻擊激增 循國際標準管控資安風險
留言
顯示暱稱:
留言內容:
送出