許多資安閘道設備將防禦延伸到終端,端點安全防護方案則擴展到閘道端,顯然資安防線的整合已是國際大廠一致的發展方向。以次世代防火牆軟體著稱的Check Point,因應外部威脅變化的腳步,在日前發布的R80.10版本核心平台中,以Infinity單一控管平台,統合既有的預防性威脅能力,擴展到雲端與行動化應用保護的整合式架構。
從實際接觸企業客戶的經驗中,Check Point台灣區技術總監傅國書發現,許多企業高階管理層,通常會期待採用一套方案即可實作所有防禦措施,殊不知資安領域相當廣泛,不同技術各有擅長廠商,因此才需要在導入工具之前先行依據企業內部營運環境與可承受的風險等級,擬定合適的資安控管政策,然後在工作流程中的重要環節部署工具輔助達到目標,如此一來,導入的資安技術才可發揮效益。
儘管資安領域發展大約已近二十年,但對於本土多數企業或組織而言,以往的態度較容易輕忽,除非有法規遵循的壓力,才會制定較完整的資安控管政策,並且建立控管措施輔助。然而近兩年在勒索軟體連續的襲擊下,許多企業高階管理層在實際遭受的感染事件中記取教訓,已快速地扭轉面對資安議題的思維。
勒索軟體敲響資安警鐘
從商業損失的角度來看資安威脅,勒索軟體雖然遠不及商業電子郵件詐騙、APT攻擊導致資料外洩來得嚴重,卻直接讓人深刻體認到新型態攻擊的危險性,因而敲醒本土業主的資安意識。
傅國書觀察,APT攻擊大約是從2011年開始出現,當時資安議題尚未被高度重視,儘管多數IT管理者理解新型態攻擊的危害,也認為必須有所因應,問題是,初期的APT解決方案價格過高,再加上本土企業主普遍思維是自家未必會遭受攻擊,因此對於駭客攻擊已轉型的現況始終未加關注。
 |
| ▲Check Point以最新的R80.10版本為核心平台,建構威脅防禦、vSEC雲端安全、SandBlast Mobile等整合式架構。(資料來源:Check Point) |
直到惡意加密型勒索軟體CryptoLocker出現,開始肆虐台灣中南部,揚言若不支付贖金,被加密的檔案將永久損毀,才讓大眾甚至是企業主驚覺事態嚴重,緊急尋求經銷商或系統整合商協助處理。2017年的WannaCry在全球爆發,經過媒體大肆報導後,即使是從未遭受勒索軟體襲擊的企業主也理解新型態攻擊威脅,才開始化被動為主動,要求IT單位提出強固資安防禦的做法。
Infinity整合式地端、雲端、行動化應用
 |
| ▲ Check Point台灣區技術總監傅國書指出,整合式的資安架構,除了情資分享平台,亦包含單一的控管介面,統合端點、閘道端、本地端建置的控管機制產出的資訊,並且提供分析與統計報表。 |
在全球駭客組織轉變為以獲利為目的,甚至已形成產業鏈的狀況下,資安防禦端勢必也需要有所因應調整。傅國書指出,在2016年時Check Point提出一個新的概念稱之為「Infinity」,目前是以最新的R80.10版本為核心平台,整合三大範疇所建構的整合式架構。
首先是威脅防禦,主要由既有次世代防火牆提供的聯合防禦所組成,包含沙箱、SandBlast端點安全、勒索軟體防治等技術;其次為Check Point vSEC雲安全方案,可支援AWS、Azure等公有雲平台,亦可整合於VMware NSX、OpenStack等軟體定義網路環境;第三個是SandBlast Mobile,為行動威脅防護(Mobile Threat Defense)解決方案,對於惡意App、接取免費Wi-Fi後遭受中間人攻擊、簡訊發動釣魚網站,甚至是行動作業系統漏洞,皆會主動偵測同時發出告警通知。
Infinity整合式架構所蒐集取得的資訊,可藉由ThreatCloud雲端情資平台執行檢查,不論在任何地點的終端裝置只要經過掃描發現問題,回報ThreatCloud之後即可將相關資料派送到全球客戶端環境,藉此發揮聯防效益,以預防威脅事故蔓延。
除了整合自家方案所蒐集取得的情資,ThreatCloud亦有餵入來自不同產業別的種子(Feed),例如金融業,若客戶需要掌握國際間的攻擊活動最新資訊即可採用。傅國書進一步說明,現在資安業界探討已知與未知威脅的偵測,大多是針對惡意檔案,所謂已知檔案的辨識,主要是仰賴龐大資料庫存放的特徵碼,問題是檔案只需稍有修改即會改變Hash值,參考性有限,若只是單純比對Hash,誤報率將無法降低,始終追不上惡意程式變種的速度。但是情資交換的內容,並非為特徵碼資料庫,而是專業資安人員經過調查分析、還原攻擊程式執行過程的研究報告內容。
「針對Infinity須強調的是,其中包含的SandBlast Mobile並非防毒軟體,不會涉及手機中存放的檔案傳輸與存取,保護標的是App本身的安全性,通常會整合MDM方案一起推廣。」傅國書說,其運行方式是當使用者在手機上下載App,同時會把Metadata資料傳送到雲端掃描檢測,若是從未見過的App,則先到商城下載App到雲端平台中模擬執行。即使是國際知名的App亦陸續被揭露漏洞,可能不見得是軟體開發商的故意,而是內嵌的開源套件被惡意植入後門,因此不得不有所防備。
「一鍵還原」遭勒索軟體加密檔案
在近期發展的功能項目中,最受客戶歡迎的莫過於端點防護方案SandBlast所設計增添的防範勒索軟體功能。傅國書以WannaCry為例,當惡意程式觸發執行後,會開始加密各種不同類型的檔案,SandBlast機制較特別的是會監看所有加密執行程序,偵測到後自動追蹤與統計,並且在SandBlast介面上顯示統計被加密的檔案數量,若有需要可直接透過「一鍵還原」功能立即恢復檔案。
事實上,SandBlast不僅監看所有的檔案加密程序,同時會針對判別為可疑的行為,觸發快照機制執行備份該行為存取的檔案。所謂的可疑,主要是依據全球一百多種知名的勒索軟體,大致區分為將近十種不同行為模式,只要加密執行程序符合其中一項,隨即列入觀察名單,同時會根據執行程序存取的檔案進行快照,以免檔案遭損毀,對於防範勒索軟體確有實質上的效果。除非又出現全新概念的勒索軟體,否則幾乎不至於發生遺漏。