優先顧及小企業需求 全模擬沙箱偵測更精準

創立於2011年的Lastline，是由Engin Kirda、Christopher Kruegel和Giovanni Vigna共同成立，由於三位專家在防禦惡意軟體、對抗惡意攻擊對策方面，擁有多年豐富經驗，所以合力為防禦APT攻擊推出的商業解決方案，也受到許多雲端服務商、企業用戶的肯定。

代管、多租戶齊下 滿足企業實際需求

Lastline推出的APT解決方案，是由中控平台、沙箱機制、網路封包收集，以及全球威脅情報資料庫所組成，由於企業不需要斥資購買設備，只需軟體安裝在普通x86伺服器上，所以在採購成本上相對便宜不少。至於產品部署方面，可選擇全部由企業內部同仁自行維護，亦能向Lastline雲端服務租賃中控平台、沙箱機制，公司僅保留網路封包收集機制，降低企業用戶的人力負擔。

Lastline區域銷售總監陳至彥說：「雖然雲端服務已經很成熟，多數企業也都能夠接受此種服務，不過仍然有許多金融、高科技製造、政府單位等寧可自建防禦平台，除擔心檔案傳送到雲端平台的安全問題之外，也是為了符合資料不得攜出境外的規定。事實上，Lastline雲端平台不但很安全，更能彌補多數台灣企業都缺乏足夠資安人員的問題，所以雲端代管模式反而很適合中小企業。」

▲Lastline在台灣藉由中飛科技協助，不僅成功拓展市場同時也擴大與多種資安設備的整合。由左至右為Lastline區域銷售總監陳至彥、Lastline區域銷售工程師諶沛傑、中飛科技產品行銷處產品經理孫英家。

考量到小型企業的需求，Lastline也積極跟全球各雲端業者、電信業者合作，提供多租戶的雲端服務方案，如在台灣市場是與中華電信合作，只要企業用戶是租用中華電信的寬頻網路，僅需加購HiNet資安艦隊的服務，便能享受到APT狙擊手標準版服務。中華電信在HiNet網路機房端，是以Lastline架設APT防護分析管理平台，提供APT狙擊手標準版服務，系統會自動檢視客戶網路流量與信件中，是否含有APT異常行為與惡意檔案。由於網路封包會回傳到後端平台處理，並運用沙箱機制迅速找出受駭客戶，阻止客戶再度連線到有害網站，達成防堵 APT攻擊的目標。

結合其他資安設備 建構聯合防禦平台

由於APT是透過攻擊型態多變的手法，許多資安業者都會用沙箱技術分析可疑程式的運作，而駭客組織為了躲避追查，也在惡意程式中預先加入反偵測功能。簡單來說，就是在惡意行為啟動前，會先確認環境中的作業系統版本、記憶體、處理器等狀況，一旦發現程式是處於虛擬環境之中，則會選擇繼續保持偽裝狀態，靜待通過沙箱分析這關之後，再伺機行動或散播到其他電腦之中。

Lastline區域銷售工程師諶沛傑解釋，Lastline雖然也是採用沙箱模擬技術，但在沙箱環境設計上，是採用全系統模擬方式，而非市面上常見的虛擬環境模擬。這項技術最特別之處在於，處理器、記憶體、應用程式與作業系統等都是採用與實體環境相同的配置，所以不容易被惡意程式察覺。

▲ Lastline偵查機制可深入硬體層的核心架構，對處理器、記憶體的運作進行監控與分析，清楚掌握可疑程式在端點運行時的狀況。

此外，該系統內建的偵查機制，可深入硬體層的核心架構，對處理器、記憶體的運作進行監控與分析，能清楚掌握可疑程式在端點運行時的狀況，如果發現軟體有刻意規避資安設備偵查、側錄鍵盤輸入資訊、複製帳號與密碼等動作，乃至於連線至疑似中繼站時，系統就會立刻封鎖該程式的運作，避免發生任何資料外洩的可能性。

更重要的是，Lastline建有雲端威脅資料收集中心，各地系統也會將動態分析結果，加入到威脅情報資料庫之中，進而大幅提升惡意程式的偵測率與速度，有助於快速找出駭客組織新型態、客製化的惡意程式，降低企業遭受到APT攻擊的風險。

陳至彥指出：「儘管Lastline在偵測APT攻擊行為上，有許多獨到之處，但若要建構一個安全無虞的資安環境，仍然必須企業內部現有的防火牆、入侵防禦偵測等相互搭配，才能保護伺服器、端點裝置的安全，所以Lastline也能其他資安設備串連。」

根據LastLine提供資料顯示，除已與HP TippingPoint順利整合之外，在台灣市場方面，在中飛科技的協助下，亦能與Fortinet、Palo Alto Networks、Juniper等資安設備整合，建構出自動聯合運作的防禦平台。

孫英家指出，隨著數位鑑識工作日形重要，Lastline也已能夠與Niksun設備順利整合，能夠清楚列出事前、事中、事後的行為軌跡，有助於資安顧問進行事後鑑識，找出遭致APT攻擊的真正弱點感染源，相信對保護企業整體安全會帶來很大幫助。