代理商中芯數據技術顧問許志成表示,之所以在漸趨成熟飽和的端點安全市場下,再引進Webroot來台,主要著眼於傳統端點安全防護機制不夠即時,必須經過本機掃描比對後才得以發現惡意程式;加上Android、iOS、Mac OS等行動系統平台應用興起後,即使眾多端點方案皆相繼納入支援,仍很難避免受系統版本限制或更新影響而出現問題。Webroot SecureAnywhere雲端防護機制,則不須掃描引擎,只要端點安裝Webroot元件,連網即可納入管控。
 |
| ▲Webroot代理商中芯數據技術顧問許志成認為,採用雲端服務控管的優勢即在於不分終端作業系統平台,只要連接網路皆可納入管控,可支援的程度最廣泛、辨識速度也較及時。 |
「Webroot元件可安裝於Windows、Mac OS、各種實體與虛擬伺服器、iOS、Android等端點系統,且運行程式不需跟系統核心檔案相關連,即使本機作業系統版本更新也不影響元件執行。」許志成強調。其比對機制是採檔案指紋(Fingerprint)技術,所累積的資料庫已達150TB,此外,亦具有IP、URL、App信譽評等資料庫可交叉比對。
他表示,在元件第一次被安裝時,會先進行完整的預先掃描,也就是鑑識記錄,為檔案執行行為判斷基礎。之後監看運行狀態,發現未經記錄的檔案時會有兩種處理,一是管理者定義識別機制,若為企業內部自行開發的應用程式,像是差勤系統、工作流程系統等,管理者可由中央管控平台定義該應用程式為安全,也就是加入白名單;另一種才屬於真正未知型檔案。當檔案的指紋被傳送到雲端平台進行比對,在鑑識記錄中顯示為未知,會自動啟用沙箱(Sandbox)以進行模擬執行,觀察存取行為軌跡。
「Webroot提供用戶端與雲端兩種模式的沙箱機制。坊間端點防護機制大多不採用沙箱技術來模擬分析,主因是要模擬操作環境等於要完整建立一套作業系統,會耗用過多本機資源。但Webroot的沙箱僅模擬一個小型的應用基本環境,觀察未知的檔案經執行後會發生哪些行為。」許志成舉例,像是常見經由隨身碟攜帶檔案連接上桌面端系統時,會先在端點進行沙箱模擬執行,管理者可透過事先定義判斷條件,先讓沙箱模擬識別與攔阻,以防止惡意程式趁機滲入。
由於一開始安裝時就有進行鑑識記錄,並且在檔案上進行標記,一旦系統被滲透成功開始進行修改核心檔案行為,即可依據Webroot最初安裝時的記錄進行回復(Rollback),讓此攻擊行為失效,同時不致因為清除動作而誤刪核心檔案,反而導致端點系統無法正確運行。