阻斷中繼站連線 直接破壞APT攻擊

▲叡廷產品經理唐培毅指出，一般資安產品的特徵碼偵測技術，根本無法趕上惡意軟體演進的速度，初始偵測率還不到5％，證實現今預防APT攻擊入侵的作法完全行不通。

正因為如此，根據研究機構公佈的研究結果發現，平均每個APT入侵企業後要經過170天後才會被發現，而且有66%的入侵行為，以及95%失竊資料都與惡意軟體有關，這凸顯現今多數APT設備偵測能力不佳，而叡廷代理的Damballa解決方案，則是從加速偵測惡意程式速度著手，縮短APT攻擊在企業內部潛伏的時間。

駭客入侵企業管道多 可躲過閘道檢查

Gartner在2013年APT攻擊事件大量爆發時，曾經公開表示企業面對APT攻擊威脅時，需要採用多層次先進威脅防禦產品所組成的防禦機制，尤其要在網路、傳輸內容（執行檔、文件或Web物件）及端點層面中，至少必須部署在其中二層，才有可能阻擋APT攻擊。

Gartner會發表上述看法並非無所本，因為現今駭客組織侵入企業管道愈來愈多，先是企業內部採用非Windows平台的伺服器或端點裝置愈來愈多，但多數資安設備卻只能偵測Windows平台運作的能力，自然不可能預先找出所有惡意程式。其次，在BYOD趨勢的風潮下，很多員工自行攜帶的行動設備，無須經過閘道端的檢查，便可任意存取公司內部的資源，儼然成為駭客散播病毒的最佳管道。此外，出差員工或外包廠商，亦能在不需要經過閘道端的狀況下，利用VPN通道連回公司內部網路，給予駭客可趁之機，如Target事件即屬此類。

「在上述環境下，企業想要從閘道端防堵惡意程式入侵，幾乎是一件不可能的任務。」唐培毅解釋：「相較之下，Damballa解決方案並非從閘道端進行防禦，而是在企業內部偵測檔案是否有異常存取行為，加上分析封包能力與速度很快，也能能夠將資訊分享給其他資安設備，協助資安人員建構一個高效能的聯合防禦平台。」

▲ Damballa會透過獨家研發的8項偵查及9項風險評估技術，自動化地對網路進行複雜的即時分析，找出有問題網路連線行為。

監控檔案運作 找出可疑連線

現今市面上常見APT解決方案，大致上都是在拆解網路封包後，先與自家雲端資料庫中的特徵碼進行比對，揪出已經被發現過的惡意程式。若發現疑似惡意程式、卻又沒有特徵碼可供辨識時，則會將檔案放到沙箱環境中進行模擬與觀察，一旦發現有問題，除會通知資安人員處理之外，也會將特徵行為寫入雲端資料庫中，由原廠分析並提供給其他企業使用。

只是在企業網路漏洞甚多的狀況下，此種防禦方式明顯無法阻擋駭客入侵，才會導致APT攻擊肆虐的狀況發生。相較之下，Damballa認為無論惡意程式是從社交網站、垃圾郵件等管道入侵，最後都會連回「中繼站」，將收集到的各種訊息，回報給駭客組織，並且等待後續攻擊發起的指令。因此，只要能夠識別此種連線行為，並且通知防火牆、IPS等資安設備協防，即可阻止APT攻擊發生，降低企業可能面臨的災害。

唐培毅說：「傳統資安設備雖然也能夠透過黑名單方式，預先阻斷企業內部電腦連回中繼站，但是在多數中繼站存在時間通常都不到24小時，加上數量龐大的狀況下，黑名單更新速度根本追不上中繼站產生的速度。所以Damballa便根據中繼站產生的變化狀況，研發出以網域產生演算法（Domain Generation Algorithms，DGA），找出駭客自動產生中繼站的規則。」

▲ Damballa雲端平台每天要分析的惡意軟體標本約為10萬個，等於一年要分析3,650萬個以上，所以惡意軟體偵測率會比其他業者要高出不少。

簡單來說，Damballa會透過獨家研發的8項偵查及9項風險評估技術，自動化地對網路進行複雜的即時分析，一旦發現有檔案連上符合DGA技術產生的中繼站時，就會立刻通知企業內部的資安設備進行阻斷，同時也會在管理平台上顯示有高風險性的端點設備，讓資訊人員能夠進行清除動作。

除此之外，Damballa也在雲端平台上提供沙箱分析的服務，一旦資安人員發現有無法辨識的可疑檔案，如文件檔、apk或執行檔時，便上傳到雲端沙箱平台進行分析，由Damballa協助確認是否為惡意軟體。

唐培毅表示：「Damballa雲端平台每天要分析的惡意軟體樣本約為10萬個，等於一年要分析3,650萬個以上，所以惡意軟體偵測率會比其他業者要高出不少，自然能夠帶給企業較佳的防禦效果，徹底杜絕APT攻擊事件的發生。」

儘管Damballa解決方案售價並不便宜，但因分析惡意程式連線的精準度頗高，所以從國外企業導入的成功案例來看，反而夠避免發生不必要的誤判事件，也能夠提升資訊人員的工作效益，堪稱企業解決APT攻擊的最佳選擇之一。