Content and Malware Analysis Symantec Endpoint Protection Palo Alto Networks File Data Record Check Point DeepSight Symantec ProxySG McAfee 聯合防禦 情資分享 縱深防禦 達友科技 資安

挾全球情資提供預警 提升委外即時監控效率

2018-02-09
資安產業發展多年,市場上已不乏企業營運所需的解決方案,但是針對惡意行為的判斷,準確度卻不盡相同。賽門鐵克首席技術顧問張士龍觀察,原因之一在於欠缺更豐富的情資來協助,使得觀察點過於狹隘,往往導致最終釀成重大事件。
多數資安廠商內部皆有設立研究室,解析客戶端通報的資安事件,累積成為龐大知識庫,提供更多企業用戶建立防範機制,甚至也進一步整合來自不同領域的情資,來提升判斷準確度。張士龍以賽門鐵克的DeepSight預警服務為例說明,累積豐富的大數據資料,不僅可輔助識別惡意IP位址,同時可呈現包含其所屬殭屍電腦類別、連線的釣魚網站或中繼站、攻擊來源區域等資訊,以及判定該IP位址為惡意的信心指數。

即使企業或組織配置有專屬資安人力,但每天監看的安全相關資料相當多,仍需要運用工具協助解讀,並依據風險等級列出必須優先處理的項目。賽門鐵克提供的情資,並非僅告知IP位址為善意或惡意,還包含歷史行為解析,以及更細節的分類,可協助資安或IT人員提升資安控管效率。

單一控管平台統合閘道與端點資訊

▲賽門鐵克首席技術顧問張士龍建議,企業或組織建置情資平台時,為避免餵入龐大情資之後才發現誤判率過高,可依據攻擊危險等級,階段性地餵入,再調整適合於企業或組織IT環境的判斷參數。
自從賽門鐵克於2016年併購Blue Coat,產品線整合後使得縱深防護有了新面貌。張士龍說明,閘道端除了透過第一層的ProxySG及郵件過濾閘道器(Messaging Gateway),以特徵碼方式執行防毒、防垃圾郵件等檢測之外,亦增設內容與惡意程式分析(Content and Malware Analysis)方案,成為第二層次的防護機制。

第一層主要是提供基本防禦,第二層的關鍵則是動態運行沙箱與靜態信譽評等資料庫比對。較特別的是,內容與惡意程式分析後產出的資料,可直接整合到SEP(Symantec Endpoint Protection)端點控管平台,只要經過沙箱模擬分析偵測到問題,透過已整合的API介接並遞送相關情資到SEP端點控管平台,IT管理者即可定義執行的指令,例如隔離檔案或禁止在所有的端點環境中執行。 其實早在2016年推出的SEP14版本中,本就已開放API整合閘道端的資安建置,亦包含第三方廠商的技術平台,只要偵測到有問題,可透過API溝通,通報SEP發現可疑的檔案,來執行後續的處理;在閘道端的ProxySG則是透過標準的ICAP(網際網路內容調適通訊協定)相互整合,郵件過濾閘道器中也運用類似ICAP溝通模式,傳遞檔案到內容與惡意程式分析方案進一步檢測。

「外部威脅滲透入侵管道不外乎郵件與網頁,前者防護方案為郵件過濾閘道器,後者為ProxySG,兩者皆可再搭配內容與惡意程式分析,輔助偵測進階威脅,若發現問題立即自動通報SEP端點控管平台,讓IT管理者決定威脅檔案處置方式。」張士龍說。

DeepSight掌握情資及早建立預防措施

現代企業IT環境複雜度愈來愈高,若未運用情資協助,恐難以追蹤攻擊者的活動行徑,賽門鐵克提出的DeepSight預警服務,原本僅為內部研發單位,目的在於增進端點安全解決方案的能力,為了協助企業因應逐年倍增的攻擊量,也開始轉變成為服務方式提供。

張士龍指出,賽門鐵克提供的情資服務,是以長期累積的全球智慧網路(GIN)為基礎,首要優勢是其端點安全方案在全球用戶數量相當多,可從中取得各式樣本檔案,整合解析成為情資。其次是賽門鐵克透過全球佈建誘捕機制,蒐集至大數據平台後予以整合執行分析。


▲賽門鐵克以SEP(Symantec Endpoint Protection)端點控管平台為核心,彙整來自內容與惡意程式分析方案取得郵件、Proxy的資料,建立聯合防護架構。(資料來源:Symantec)

DeepSight預警服務可藉由全球智慧網路所彙整的情資,掌握駭客組織的攻擊活動行徑,企業或組織除了可透過單一網站登入介面查看細節,亦可藉由Datafeeds API整合直接拋送入侵威脅指標情資到SIEM、網路設備、漏洞管理等防禦系統環境,提升判斷威脅活動的能見度。例如資安團隊通常需要掌握近一個星期在台灣地區活動的惡意程式類別,即可從DeepSight網站中取得所需的資訊,進而從中發現攻擊來源、TTP(戰略、戰術、程序)等重要細節,藉此建立先行制定預防措施,以免遭受波及。

掌握攻擊細節 解決事前、事中、事後問題

資安需求不外乎事前、事中、事後等三個階段,張士龍說明,情資資料可說是事前應用的關鍵,先行掌握威脅才有能力建立相對的防護措施;事中則可採用賽門鐵克提供資安委外管理服務(MSS)即時監控,這些監控機制皆與DeepSight保持連結,例如發現可疑的IP連線位址時,可透過DeepSight的資訊細節,即時偵測判斷是否該逕行攔阻;事後則屬於資安事件回應服務,通常需要專業人力介入,此時,DeepSight亦可提供追蹤駭客組織活動的研究報告,稱之為委外管理攻擊者與威脅情報(MATI),釐清攻擊發起方式、資料搜集與分析調查、攻擊屬性、代表的意義、背後動機等完整資訊。

此外,針對事後的調查與鑑識,在日前推出的SEP14.0.1新版本中,針對APT攻擊防禦在端點環境增加資料記錄器(File Data Record)功能,可如同飛機的黑盒子,在失事時還原所有的操作記錄。透過文字檔案記錄端點執行的指令、開啟的資料夾與檔案、下載的檔案等行為,在遭遇資安事件後,可從中釐清問題根源的惡意程式,並且追蹤最初進入的源頭,從記錄資訊還原整起事件的全貌,如此才得以徹底解決被利用來滲透入侵的弱點,免得資安事件反覆發生。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!