Deep Discovery Endpoint Sensor Deep Discovery Email Inspector Advanced Persistent Threat Deep Discovery Inspector Indicators of Compromise Deep Discovery Analyzer OpenIOC DDES DDEI YARA 趨勢科技 APT DDI DDA IOC

7年APT實戰經驗 化為偵防利器

2015-01-30
早在七年前就開始研究APT(Advanced Persistent Threat)攻擊的趨勢科技,二年前為了因應日漸增多的客戶遭受APT攻擊滲透,成立資安事件調查(Incident Response,IR)團隊協助處理,至今已承接過超過250個專案,亦藉此累積駭客攻防戰的實務經驗,近年來更進一步將防禦技術商品化,開發出Deep Discovery解決方案,期望協助更多組織單位與企業建立新型態惡意威脅的偵測機制。
Deep Discovery解決方案中,除了DDI(Deep Discovery Inspector)設備於閘道端執行網路流量監控、即時分析與報告,以及採用沙箱技術設計的DDA(Deep Discovery Analyzer)動態分析設備,2014年又陸續添加DDES(Deep Discovery Endpoint Sensor)端點裝置防護、DDEI(Deep Discovery Email Inspector)郵件防護,並且偕同旗下的OfficeScan端點安全平台、InterScan Web Security網頁安全過濾相互連動,同時整合第三方的HP TippingPoint與ArcSight防禦系統,幾乎涵蓋可能被駭客利用來發動滲透的重要管道。


▲趨勢科技新推出的DDEI(Deep Discovery Email Inspector)郵件防護設備,協助企業從最容易被駭客用來發動攻擊的電子郵件,建立偵測機制。(資料來源:趨勢科技)

趨勢科技資深產品經理吳韶卿指出,若企業端預算有限,初期希望從入侵攻擊最常被利用的郵件系統進行偵測,即可採用最新的DDEI設備,內建靜態與動態偵測引擎及URL分析,若偵測到未知型惡意程式,可選擇直接執行攔阻,或依據風險等級的高低,以決定郵件隔離檢查的必要性。

重要文件須經由郵件傳遞時,為了避免外流,常會在文件中加設密碼保護。

此日常溝通模式,如今已開始被駭客利用,在惡意郵件內文中直接提供附件密碼,誘使收件者開啟。而DDEI設計的模擬偵測方式,是抓取關鍵字以實際輸入密碼開啟檔案,觀察該附件的執行行為是否存在惡意。

萬一端點已被惡意程式滲透得逞,則可安裝DDES以掌握軌跡資訊。透過DDES在背景監視與追蹤惡意程式正在連線的中繼站、檔案名稱、擴散的範圍等資訊,即可協助調查與分析攻擊入侵。

就如同資安事件調查團隊到事故現場蒐證,也會採用工具輔助,只是DDES更多了Endpoint Sensor Manager管理程式,可提供互動式儀表板檢視與追蹤調查結果。

在DDI蒐集到特定入侵指標(Indicators of Compromise,IOC)後,可提供給DDES,或是在DDES中納入OpenIOC及YARA等參數值,以擴大蒐集諸如通訊連接埠、系統登錄活動與執行程序、所有檔案相關資訊等,最後以圖形化方式呈現調查與分析結果,協助處理事件調查中繁瑣的工作。「已設置資安團隊的組織單位,如今即可利用自動化工具協助執行基本的資安調查,除非需要更深入分析時才尋求專業廠商協助即可。」吳韶卿說。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!