近年來進階持續性攻擊(Advanced Persistent Threat,APT)令人聞之色變,原因即在於攻擊者是鎖定目標對象的弱點,「客製化」設計精密的惡意軟體,使得傳統以特徵碼比對為主的防毒、入侵防禦系統(IPS)等防禦措施,因難以補捉到惡意程式的樣本,而無法產生病毒碼來進行更新防護。
面對這種持續性的攻擊威脅,企業也必須採取持續性的阻擋防護予以因應。但現在的資安設備皆著重在發現有攻擊跡象,或惡意軟意進入網路閘道的當下予以偵測,也就是只有一次的機會來決定是否阻擋惡意流量。以往這類防禦架構是將重點擺在防止惡意程式進入,但卻缺乏事後的事件處理機制,若是遇到加密的網路流量,或一旦惡意程式進入內部後,便缺乏應變的補救修正措施。Sourcefire北亞區資安技術總監王賢輝即強調,「尤其是面對持續性的攻擊,事後的處理同等重要,卻常被忽略。」
對此Sourcefire針對APT攻擊所推出的FireAMP(Advanced Malware Protection),便以回溯性偵測為其訴求,透過檔案軌跡追蹤(File Trajectory)與設備軌跡追蹤(Device Trajectory)的方式,了解其感染途徑,像是設備的進入點、帶入的應用程式、經過的設備等,並了解該惡意程式的行為,以找出資安事故的發生原因,徹底解決APT所導致的各項潛在威脅。王賢輝進一步提到,FireAMP是一套兼顧網路與端點的防護方案,即使該惡意檔案在第一時間未被攔截,或是使用者的裝置攜出遭感染後再帶回,皆能藉由FireAMP端點防護來補救,發揮其連續性回溯分析的優勢。
 |
| ▲雲端沙箱服務整合現有的資安機制,阻斷惡意程式持續性攻擊。(資料來源:Palo Alto Networks) |
同屬網路安全閘道器廠商的Palo Alto Networks,則是以整合沙箱(Sandbox)技術為特點,透過多層次的防禦來達到APT的防護效果。Palo Alto Networks大中華區技術總監梁耀康認為,現在一談到防範APT的專屬設備,通常指的就是沙箱技術。
但是從APT以社交工程、中繼站連結、惡意程式下載、入侵滲透的攻擊步驟來看,沙箱主要就是負責在未知檔案進入企業網路時,將此檔案放入虛擬環境中去模擬開啟該檔案的程序,偵測其是否有惡意攻擊行為,至於其他的防禦機制則相對不足。「Palo Alto沙箱技術的最大特點,就是可結合其他資安設備,來達到APT的防禦效果。」梁耀康指出。
Palo Alto於2011年即推出WildFire的雲端沙箱服務,讓用戶端能將未知且可疑的檔案藉此進行檢測。對於把檔案上傳有洩密疑慮的用戶,也在今年6月發表可部署在企業內網的WF-500設備,同樣具即時沙箱分析機制,能將經過沙箱模擬收集的資訊,立即回饋到自家的防火牆設備,再透過應用程式辨識、URL過濾、IPS、AntiVirus等不同模組來達到APT的防禦。「其他類似技術是在發現為惡意程式即宣告結束,但對我們而言,則是全面防堵的起點。」梁耀康強調。