從防毒軟體延伸發展至端點安全多年,賽門鐵克強調的是建立多層次防禦機制,降低被滲透成功的風險。然而現代攻擊已轉向針對性,採以客製化惡意程式發動滲透,亦即惡意程式是專為攻擊標的特別設計,從未出現過的機率相當高。對此Symantec Endpoint Protection是透過檔案信譽評等機制。
只是檔案信譽評等以辨識執行檔為主,不包含Office、PDF等文件檔,考量因素是執行檔的資訊傳遞到雲端平台分析,客戶比較沒有顧忌,至於文件檔則可能會有安全方面疑慮。賽門鐵克首席技術顧問張士龍說明,利用文件檔發動的攻擊,常見是夾帶惡意連結或滲透代碼,由於用戶開啟文件後才背景執行下載動作,該行為即可被端點防護機制發現並攔阻。
 |
| ▲賽門鐵克首席技術顧問張士龍觀察,駭客攻擊無孔不入,亦促使端點安全範疇擴展至以往未建立防護機制的ATM,賽門鐵克即是利用白名單來協助,凡未經確認的程式皆禁止執行,補強現行安全防護無法達到的差距。 |
非仰賴特徵碼偵測的SONAR技術,亦是為因應現代攻擊發展的機制,可監控終端系統的執行程序,以防範遭受零時差、網頁、Rootkit技術隱藏的惡意程式等攻擊。此外,今年開始賽門鐵克在端點安全方案中內建網路存取控制(NAC)機制,不須額外添購即可應用。
標準化端點運行環境的安全規範日漸重要,可透過建立網路存取控制政策檢測配置,符合規範才得以執行,以強化整體防禦能力。張士龍舉例,像是定義應用程式的合法性,以黑白名單方式限制執行;裝置方面則是可規範端點周邊的連接埠均不得使用;在電腦啟動後自動檢查更新修補程式是否已安裝,或重要的應用服務啟動狀態,是否遭惡意程式停止或卸載。建立諸如此類的輔助措施。一旦發現端點已遭受惡意程式入侵成功,亦可在網路存取控制機制中指派政策檢查公司內部所有電腦,找到所有已遭受感染的端點。
「至於部署架構方面,目前正在發展類似專屬設備技術架構的產品線,透過Port Mirror或Proxy皆可運行,更進一步深入分析惡意程式。」張士龍透露。當用戶端執行檔案安全性查詢時,會先行連線至該設備,可提供該檔案的統計與分析資訊,偏向於鑑識概念,預計明年將可推出。此外,持續發展中的還有安全委外管理服務(MSS),提供企業用戶全天候的網路安全狀況監控與回應處置通知。
面對新型態未知攻擊的因應方式,目前市場上發展的完整方案大多包含端點、閘道端、雲端分析平台,其中雲端分析平台不只有全球惡意程式活動蒐集的資料庫,也包含安全監控中心(SOC),賽門鐵克基於端點安全防線,亦逐步朝此方向發展。