Lastline Damballa Verint 趨勢科技 威瑞特 亞利安 APT 資安 攻擊 威脅 安全 中飛 叡廷

深入分析程式行為 找出APT關連性

2015-07-09
由於近來APT攻擊太過猖獗,所以主管台灣行政機關資訊安全的行政院國家資通安全會報技術服務中心,在「政府機關(構)資通安全責任等級分級作業規定」中,明訂A級機關除要建置APT防禦設備之外,也必須執行「安全性檢測」之網站弱點掃描與系統滲透測試,寄望降低惡意程式對行政機關帶來的威脅。只不過,多數相關服務業者認為APT攻擊太過複雜,僅靠遵循此規定其實並無法解除威脅,不過對於強化整體資安防護當然還是有幫助。
台灣威瑞特總經理吳明蔚指出:「很多惡意程式本身有偽裝的功能,所以才能夠躲過資安設備的偵察,加上現今很多APT攻擊都有政治目的,所以政府方面開始重視該威脅絕對是件好事情。」 代理台灣威瑞特的亞利安總經理范梓芳說:「至今APT攻擊行為仍沒有規則可循,有些號稱APT防禦設備,其實還是用傳統特徵碼比對的機制,雖然能揪出老舊的APT攻擊,卻無法防範新型APT手法,因此該規範在執行上一定會有些爭議之處,但無論如何仍然有助於減少惡意程式的數量。」

APT攻擊速度快 傳統資安設備跟不上

▲亞利安總經理范梓芳(圖左)說,至今APT攻擊行為仍無規則可循,台灣威瑞特總經理吳明蔚(圖右)補充,很多惡意程式本身有偽裝的功能,所以才能夠躲過資安設備的偵察。
前身為艾斯酷博,後來與以色列公司Verint合併的台灣威瑞特,是Verint第一個位於以色列境外的研發基地,可提供APT閘道端防護、APT自動化分析、辦案用APT鑑識工具、企業用APT鑑識工具等產品。台灣威瑞特總經理吳明蔚認為,APT攻擊已經成為企業最大資安威脅,只是現今多數資安公司提供解決方案,都還是以「黑名單比對」與「行為監控」模式為主,這種作法遠落後於駭客組織的入侵速度,因此自然很難徹底解決APT的威脅。

吳明蔚表示:「面對日益嚴重的資安事件,與愈來愈多惡意程式,傳統掃毒與資安監控根本無法應付,加上人工鑑識需要大量技術與成本,才使得企業對資安事件反應能量無法有效提升。所以我們一直在呼籲企業要揚棄特徵碼比對、黑名單過濾、行為監控等舊思維,轉而從APT駭客與環境互動的足跡探求線索,將APT偵測與數位鑑識相結合,將檢測時效壓縮在數分鐘內,務必要快過攻擊者的佈局與反撲速度。」

市面上APT解決方案的作法,除傳統特徵比對之外,就是持續監控可疑檔案的運作,一旦發現有異常行為時,就會直接將該檔案刪除。只是此種作法沒有辦法根除企業內部的惡意程式,很容易讓APT威脅潛伏於企業內部之中,所以才會有研究發現惡意程式最長潛伏期達到300多天的狀況。相較之下,台灣威瑞特則是以檔案的行為鑑識為主,判別檔案與環境之間的互動關係,只要應用程式出現不正常的存取行為,即可高度懷疑其為駭客入侵的活動。所以接著只要透過一套自動化行為分析程序,便能找出與APT攻擊行為相關的資訊,協助企業用戶徹底清除公司內部的惡意程式。


▲資安人員可以透過Remote Forensics,掌握各端點設備的運作狀況。

拆解惡意程式行為 加快資料分析速度

有別於市面上常見APT防禦設備,台灣威瑞特推出的Remote Forensics端點惡意程式偵蒐系統,是一種部署在用戶端電腦上的防禦機制,採用鑑識導向的分析方式,能在不需要倚賴特徵碼方式下,偵測出後門程式、駭客工具,甚至是駭客活動的蹤跡。該產品內建該公司自行研發的全新惡意程式分析引擎,與自動化報告機制,當用戶啟動正常檢測程序時,即可在幾分鐘內過濾1?4級風險的惡意程式,或者屬於第5級惡意程式的APT攻擊,搭配Verint提供的對應緩解措施,即可清除該部電腦中的惡意檔案。

「市面上多數資安產品都是透過沙箱模擬的技術,找出潛伏的惡意程式,但很多程式本身都有反沙箱功能,所以資安設備能夠阻擋APT入侵的比例其實不高。」吳明蔚解釋:「相較之下,我們則是將監控程式常駐在每台電腦之中,每次只要花上5?15分鐘分析電腦內部中的可疑檔案,再透過惡意程式鑑識模型計算出該檔案的威脅等級,提供給資安人員作參考。」

台灣威瑞特預先在Remote Forensics偵測模型中,加入數百種惡意行為元素與數位指紋,所以才能夠在極短時間內,判別應用程式本身安全與否,以及其危險程度。不過,若惡意程式僅是放在資料夾中,沒有被執行或是有任何其他執行紀錄,此檔案會將被判定沒有威脅,暫時不會出現在威脅報告上,這是與其他資安設備差別最大之處。


▲ 台灣威瑞特可提供企業用戶一套完整資安整治計畫服務,協助資安人員還原APT攻擊的事件全貌,作為日後資安規劃部署及調整之依據。

吳明蔚說:「我們推出Remote Forensics的目標,是儘可能找出電腦中的可疑檔案,為避免駭客組織偽裝單位內常見的軟體來躲避偵蒐,因此會將所有可疑檔案列舉出來,提供給資訊人員作參考。所以當企業內部有IT部門自行安裝的程式,如資產管理軟體、防毒軟體、軟體防火牆,以及管理工具與資安管理軟體等時,便需要IT人員協助辨識。當然,若企業內部的工作環境較單純,亦可利用鑑識模組產生惡意程式清理計畫,以自動化的清除APT威脅。」

此外,台灣威瑞特也會提供企業用戶最新的資安研究報告,以及涵蓋現場鑑識、工具部署、SOP步驟等,一套完整資安整治計畫服務,協助資安人員還原APT攻擊的事件全貌,作為日後資安規劃部署及調整之依據,避免再度發生相同的資安威脅事件。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!