就今年來看,企業面臨最主要的資安威脅主要來自APT攻擊,Fortinet為了協助因應,除了持續強化旗下產品功能規格,近期更推出具有主動式偵測技術的FortiSandbox專屬設備。
Fortinet台灣區技術總監劉乙提及,以往在Fortinet設備中,基本就是防毒、防駭、網頁過濾、VPN等功能,亦有針對APT防禦機制的解決方案ATP(Advanced Threat Protection),來提供進階型的防禦機制。只是過去較偏向靜態型防禦,例如特徵值、檢查值(Checksum)、固定的URL比對,為了因應進階型攻擊行為,已陸續加入了Botnet黑名單、C&C位址等,超越以往資安業者提供的機制。
 |
| ▲Fortinet台灣區技術總監劉乙預期,在4G系統開通後,網路服務勢必更加蓬勃發展,屆時自然會帶來更多資安威脅,甚至可能超過現在的桌上型電腦。 |
「而Sandbox機制更是在FortiGate 5.0的系統中就已經內建,稱為Quick Sandbox。」劉乙說。該偵測技術可以快速找到經由Script執行的程式,用戶只要在設定畫面中勾選願意啟用雲端Sandbox,就會把認為可疑的程式送到雲端Sandbox檢測,而且還可以做一個月的統計,指出可能為APT攻擊之處。
為了得以達到快速辨識,既有的Quick Sandbox並無設計模擬作業系統來運行。近期Fortinet推出新款Sandbox產品──FortiSandbox,則可模擬Linux、Windows、Mac OS等系統運行環境,深入辨識是否為惡意程式。
哪一類型攻擊會跟作業系統無關又具感染性?劉乙解釋,像是JavaScript、Adobe等具跨平台技術的程式,擁有獨立的執行環境,即可利用Quick Sandbox快速執行檢測。其採用的是Fortinet專利的CPRL(Content Pattern Recognition Language),來描述病毒長相與行為,在啟用的虛擬主機中啟動Fortinet自主研發的防毒引擎,採用直譯器(Interpreter)方式,當網路封包經過FortiGate,就可發現是否有類似的Pattern。至於FortiSandbox則是模擬用戶端的作業環境,觀察檔案執行狀態,是否有改寫註冊機碼等異常行為,來判定是否為惡意程式。
可是現在的惡意程式皆具有隱匿特性,甚至會確認所處的環境是否為Sandbox,例如最簡單的方式是詢問該系統版本,或是乾脆不立即動作,讓檢查機制無法察覺。更聰明的作法是,會先偵測輸出入裝置的驅動狀態,以判別是否為「真人」使用中的系統,例如確認滑鼠開始操作後,才會進行下一步動作。為了反制駭客諸如此類隱匿的特性,在FortiSandbox內即可加入模擬動作。
跟駭客交手本來就是種攻防戰,Sandbox的偵測機制必須越來越接近使用者操作模式,才能讓惡意程式在不設防下露出原形。