駭客技術與手法不斷精進,像是隱蔽殭屍網路(Stealth Botnet)、動態木馬(Dynamic Trojans)、針對性攻擊(Targeted Attack)、APT(Advanced Persistent Threat,先進持續滲透威脅)等,都是近年來相當熱門的攻擊類型。
威播科技總經理劉榮太指出,尤其是APT,其實並非採用什麼創新技術來偷資料,卻造成最多商業利益方面的損失。既然威脅持續在精進,網路設備也得跟得上腳步,對此威播科技(Broadweb)即推出新一代EnforcerX網路入侵防禦系統(IPS)來因應。
像是針對性攻擊或APT,劉榮太認為主要都是來自惡意程式(Malware)所引起。這類程式變動性高,幾個小時就有位址的變異,所以必須能快速收集到這些變種,才能研發防禦對策。挑戰是數量不僅多,且很隱蔽。
 |
| ▲威播科技總經理劉榮太表示,新一代IPS有兩個重點:網路應用程式管控,及對Botnet、APT的防護,尤其應用程式的部份有地域性,這點在地的威播會比外商有更好的條件。 |
除了惡意程式以外,另外一個常被提起的,莫過於應用程式的可視性。劉榮太說明,傳統的防火牆只能監控到第4層,而現在開發的應用程式多數都可運行在HTTP上,因此防火牆只會監控到一堆HTTP連線,卻無法更進一步解析這些HTTP原來是P2P、Facebook或Skype。「攻擊不斷地轉變已是趨勢,如同Gartner所說,威脅升級了,網路設備也得跟著升級。」他強調。
新一代的IPS定義,必須做到應用程式感知(Application Awareness)、情境感知( Context Awareness )、內容感知(Content Awareness)、流量控制與配額管理(Agile Engine)等特性。劉榮太解釋,所謂的感知,以情境感知來看,意思是要具有接收外來資訊的能力,藉此提升判斷精準度。新一代IPS跟上一代最大的差異,最主要就在於以往做的Binary處理與比對,被換成一些更具可視性、更清楚的資訊,例如連線是來自於哪一類應用程式、位置在哪裡等,比對將更精準。而這些特性同時也被包含在威播科技新一代的EnforcerX系統中。
當然,功能變強、運算能力變好,相對的硬體設備資源也必須能夠支持。EnforcerX搭載的是Intel多核心運算處理器,同時系統核心程式特別以平行化運算架構來撰寫,使得整體效能得以有效提升。
至於怎麼攔阻惡意程式?劉榮太解釋,威播擁有惡意程式分析雲,先做惡意程式收集,再進行靜態與動態分析,最後產出一個Signature,包含C&C(Command and Control)伺服器的IP位址、網域名稱等,再加以阻攔。集合現代版入侵防禦手法於一身,因此不用買很多種不同功能的設備,就可以達到多重保護。