當前駭客攻擊背後的目標大多以竊取機密資料為主,滲透手法較以往更加低調隱匿,才能成功迴避傳統網路端資安防禦機制的辨識與攔截。為了因應這類攻擊事件,既有的入侵預防系統(Intrusion Prevention System,IPS)、防火牆等資安設備,勢必需要更加精進才足以與之抗衡。
就近年來在台灣資安領域備受關注的進階持續性滲透攻擊(Advanced Persistent Threat,APT)來看,HP資訊安全事業部北亞區資深技術協理蕭松瀛觀察,客戶認知上仍會將IPS、防火牆定義為網路安全防禦,而APT攻擊事件則被視為單獨的新議題,且並非僅視為未來趨勢,去年下半年已開始出現實際導入以沙箱(Sandbox)技術為基礎的APT解決方案應用案例。
整合運行 發揮沙箱技術效益
「畢竟IPS是以特徵碼為主來阻擋駭客攻擊,沙箱技術則是偏向經由模擬分析取得IP、DNS等詳細資料的機制,兩者發展的取向不同。」蕭松瀛舉例,就如同前幾年的IPS與應用程式防火牆(Web Application Firewall,WAF),雖同屬於網路層的防護,可是定位還是有所不同。IT應用環境即使沒有WAF仍舊需要IPS、防火牆,若欲進一步抵擋網頁漏洞,以免遭受跨網站等攻擊,IPS抵擋雖可發揮部分效果,但真正要對付各式針對網頁而來的攻擊行為,仍得仰賴WAF協助。面對APT攻擊事件也是同樣如此,沙箱機制的解決方案跟既有的資安設備定位不同,彼此間較偏向是互補合作關係。
實際上,駭客會採用的攻擊型態很多種,APT只是近來駭客較常運用的其中一套手法,只要系統或應用程式存在漏洞,就可能會被利用進行滲透。資安建置本來就是點滴補強,讓災害降到最低,在IPS設備上,當然也可以增添沙箱機制,但既然是互補關係,相互整合才能發揮最大效益。
HP TippingPoint推出API 整合APT方案
但是沙箱模擬分析後產出的Log檔格式並非標準,該如何在資安設備上配置攔阻政策?蕭松瀛說明,目前HP提供兩種作法,一個是透過ArcSight系統收取Log檔案再通知TippingPoint執行攔阻;另一個是日前才發布的ATA(Advanced Threat API)整合機制,透過HP TippingPoint安全管理平台(Security Management System,SMS)介接APT解決方案,目前已可跟趨勢科技的Deep Discovery、Lastline、Blue Coat以及Damballa相互整合實作。經由ATA所整合的設備進行沙箱模擬分析,產出的Log檔傳送到SMS之後,即可直接通知TippingPoint進行阻斷。
 |
| ▲HP TippingPoint新推出ATA(Advanced Threat API),整合APT解決方案運行的偵測分析與阻斷架構。(資料來源:HP) |
而TippingPoint本身則是發展增添Anti-Malware選項以因應。「但不是UTM(Unified Threat Management)的作法。」蕭松瀛強調。「由於TippingPoint現有Reputation Digital Vaccine(RepDV)機制,可接取由DVLabs提供的黑名單與白名單,資料來源則是透過全球防禦機制所蒐集,這是屬於外部名單,作用類似防火牆。如今加入的Anti-Malware特徵碼機制,可能有人會誤以為是內嵌防毒引擎,但實際上我們處理惡意程式的方式是由總部提供特徵碼來阻斷,並非如UTM採防毒引擎掃描的技術。」
他解釋,若設備內建防毒引擎,需要重組整個網路封包才能分析內容,如此一來勢必影響效能,但若僅以特徵碼比對,不需經過封包分析即可發現是否含有惡意程式,才是TippingPoint的作法。即使有惡意程式成功繞過偵測進入內網,之後也必須連接至中繼站回報資訊(Call-back),此時則會由DVLabs的黑名單來發現予以阻斷。
蕭松瀛強調,身為IPS技術提供者,HP TippingPoint發展的方向並不是入侵攻擊手法的研究,而是惡意程式的行為辨識,並納入沙箱機制的分析資訊來執行防禦,如此整合應用才能發揮最大效益。
Palo Alto新版系統 強化分析能力
定位為新世代防火牆的Palo Alto Networks,早在PAN-OS 5.0版核心系統時就已提供沙箱分析機制,只是並非直接內建在既有設備中,而是由獨立產品線WildFire-500提供,若分析為惡意程式,則可提交至WildFire雲端產生特徵碼,最快可在30到60分鐘內發布更新至防火牆進行防禦。
Palo Alto Networks代理商逸盈科技產品經理暨工程部經理楊進盛觀察,此設計的重點考量是效能問題,在既有的設備上增加需要耗用實體資源的分析機制,勢必會影響整體效能表現,因此才另外推出專屬運行沙箱模擬分析的設備。
他進一步說明,Palo Alto Networks最初的硬體設計,就已將管理與流量各自以專屬晶片、執行序分離運行。防火牆基本的路由、NAT等功能,是採用ASIC晶片運行,其他像是SSL加解密等複雜運算,則交給x86多核心處理器。最耗效能的IPS、防毒引擎等以特徵碼為基礎的辨識技術,採用是速度快、可程式化的FPGA晶片。網路封包只要一次拆解,可同時在三個晶片中運行。當然,開啟防毒引擎功能後吞吐量難免會降低一些,但整體運作仍相當穩定。
針對沙箱技術,今年初進一步發布PAN-OS 6.0新版,增加可分析Office文件、PDF、Java程式格式檔,較特別的是還可模擬分析Android的APK檔案,iOS的安裝檔案則尚待審核通過才會加入。此新版主要是針對未知的檔案型態,先行透過沙箱分析機制,偵測檔案是否會出現駭客攻擊行為,當被判定為惡意檔案時,緊接著會由WildFire雲端產生特徵碼,隨著病毒碼的更新發布至全球用戶端設備。就算沒有在第一時間攔截,用戶端仍舊順利開啟了夾帶惡意程式的檔案,該檔案後續所產生的連線也都可被Palo Alto Networks辨識阻擋,且內建的App-ID應用程式辨識技術可解析連線執行行為,同時可指出觸發該行為的使用者帳號名稱,方便IT人員進行後續的清除作業。
「就實務面來看,沙箱技術確實有用,但是對企業用戶而言是否有幫助,則要看IT配置狀況,例如擁有研發能力的高科技產業多半不需要解藥,只要找到問題程式,分析出會造成的後果,後續的清除作業會由內部IT人員自行處理解決。」楊進盛說。
APT防護絕對無法仰賴單一技術抵擋,以特徵碼為基礎的比對與阻擋機制,勢必要進一步發展對付未知型攻擊行為的方法,不論是從應用程式或檔案等方面著手,才能協助企業因應現代化駭客攻擊,保護重要資料不被竊取。