Advanced Persistent Threat Threat Prevention Platform Malware Forensics Memory Forensics Kaspersky Lab Xecure Lab Trendmicro Root cause 進階持續性滲透攻擊 Websense FireEye Sandbox XecMail XecScan Botnet 社交工程 艾斯酷博 趨勢科技 湛揚科技 卡巴斯基 C&C APT 沙箱

獨門演算法揪出駭客 自動化鑑識免依賴人工

2014-01-14
自主研發XecScan與XecMail專屬設備的艾斯酷博科技(Xecure Lab),自2011年由一群經驗豐富的資安技術專家所創立,在台灣市場中充斥著國際大廠,及本土龐大資安團隊競爭下,仍創造出超過四十個客戶的成績,Xecure Lab創辦人邱銘彰認為,主要是因為產品設計的面向跟其他廠商完全不同,擁有自己的特色。
Xecure Lab並非以傳統掃毒引擎為基礎,而是利用專利演算法來達成偵測與辨識。「以前採取演算法技術為人詬病之處是誤報過多,但是我們的誤報率非常低,甚至低於掃毒軟體,可說是得以受到市場肯定的重要原因。」邱銘彰強調。

▲Xecure Lab創辦人邱銘彰指出,運用底層開發技術來實作鑑識工具,技術門檻相當高,同時,還必須充份了解駭客的技術與攻擊思維,才得以設計出有用的工具來協助。
由於APT攻擊或目標式攻擊,跟電子郵件息息相關,郵件成了近十年來被駭客利用的首要管道,因此Xecure Lab研發出XecMail系統,不需仰賴掃毒引擎、病毒碼比對,即可直接過濾惡意郵件,甚至經過加密、壓縮檔的郵件附檔亦可處理。邱銘彰強調,目前資安產業幾乎都還是維持採用原始技術來實作防禦機制,但Xecure Lab則是透過完全不同的方式,特別是從XecMail郵件過濾與偵測切入,如此一來,才得以藉此掌握高階的駭客攻擊情報,從中取得第一手樣本,來強化過濾與偵測引擎。

此外,Xecure Lab亦具備端點掃描工具,較特別的是,主要提供自動化數位鑑識,也就是惡意程式鑑識(Malware Forensics)。該鑑識的動作並不是掃描執行程式,而是分析程式的執行狀態屬於正常或異常,可深入至檔案啟動執行時在記憶體中的狀態,並指出哪一段程式碼有問題、或惡意程式碼正在活動,因此亦可稱之為Memory Forensics。

因此在XecMail郵件以外,會搭配電腦主機的資安健檢與事件調查,協助評估端點是否有潛伏的惡意程式。有別於一般常見安裝代理程式方式,Xecure Lab從伺服器遠端派送無需安裝的綠色軟體,執行掃描後回傳報告至伺服器端統整與分析,如此一來,即可協助資安人員快速掌握惡意程式躲藏之處。

「過去的數位鑑識往往需要專業人力追蹤記錄才能辨識,根本緩不濟急。因此我們設計一套自動化鑑識架構,讓所有電腦得以經過鑑識工具執行偵查後產生報表,再彙整到伺服器端,完整掌握所有端點現況。目前像是國防部等政府單位即採用此工具協助事件調查。」邱銘彰說。

他指出,倘若資安事件全仰賴專家人工來辨識,根本無法跟得上駭客攻擊的腳步,只要稍加攻擊量即可超越,因此唯有擴展資安能量,才得以與駭客相抗衡。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!