Endpoint Detection and Response Dynamic Application Containment Endpoint Protection Platform Symantec Endpoint Protection Adaptive Threat Protection McAfee Endpoint Security Kaspersky Endpoint Sec OfficeScan WannaCry XGen EPP EDR SEP ATP DAC

過期系統遇上零日威脅 無更新可用照樣防護漏洞

2017-07-06
現代企業IT基礎架構、使用者行為模式的轉變,皆可能衍生資安威脅的推陳出新。就WannaCry事件來看,趨勢科技技術總監戴燊觀察,以往勒索軟體加密較少見利用作業系統漏洞擴散,也幾乎沒見過採用蠕蟲來發動。

「在WannaCry發作第一時間,客戶服務部門接收到最多的電話,主要是MIS看到媒體大篇幅報導後,因為擔心而直接詢問最正確、最新的資訊,先行了解感染途徑,再評估自家公司是否具風險性。所幸趨勢科技企業客戶幾乎未受波及。」

由此看來,國內外新聞媒體大幅度的報導WannaCry危險性,確實讓多數人提高警覺心,開始更新修補程式或病毒碼,才未釀成更嚴重的災情。但是以長期來看,戴燊認為,犯罪者受到利益的驅動、攻擊門檻降低的影響,勒索手法勢必會持續改變。因此企業當然要重新檢視資安防禦措施以及內部的關鍵伺服器、端點環境,依據重要性來規畫不同層級的防護措施。

弱點遮蔽與虛擬補丁 捍衛終止支援系統安全

為了強化資安防禦,多數企業的管理政策會要求登入網域。實際上戴燊發現,即使登入網域仍有潛在威脅,因為Active Directory伺服器也可能被滲透成功,以取得關鍵系統權限的帳號與密碼。如此情況下,即可採用趨勢科技Deep Security提供的弱點遮蔽(Vulnerability Shielding)功能,提高入侵難度。


▲ OfficeScan XG預測性機器學習,偵測新變種的未知威脅。

畢竟攻擊滲透主要是利用系統或軟體的漏洞,為避免客戶重要主機遭受零時差攻擊,Deep Security解決方案中亦具備虛擬補丁(Virtual Patch)能力,搭配趨勢科技旗下專責研究零時差攻擊的資安漏洞研究組織ZDI(Zero Day Initiative),在軟體原廠尚未發布修補更新之前,針對性地防範漏洞的入侵。實作方式是運用作業系統環境的入侵偵測防禦機制,可針對零時差的弱點,在修補更新程式發布前,先撰寫防護規則,讓攻擊程式無法成功滲透。不僅是伺服器,端點亦可採用Deep Security方案中獨立出來的TMVP(Trend Micro Vulnerability Protection),讓企業用戶得以較低的價格增添部署建置。

除了零時差防護以外,TMVP還可被應用於生產線專用的電腦,可能早期開發的應用程式限制了作業系統版本無法升級,原廠又已經終止更新與技術支援,也可以透過TMVP機制來建立防護;或是透過Safe Lock建立應用程式白名單,將未經允許的EXE、DLL、驅動程式、Script等檔案均設定為封鎖執行,不需要仰賴特徵碼比對分析,即可擁有防護力,相當適用於工業控制、嵌入式系統等架構的應用環境。IT管理者可經由管理主控台監控運行記錄與執行狀態,藉此得知是否有未被允許的檔案嘗試進入系統。

XGen建立靜態與動態偵測 加快檔案判讀

▲ 趨勢科技技術總監戴燊建議,現階段評估EDR關注的焦點應該偏重於資安服務項目而非工具,更重要的是服務供應商須有專業資安人力解讀事件分析結果,才能釐清問題、準確地回應。
在用戶端的解決方案方面,趨勢科技為中小企業提供的是Worry-Free服務,透過雲端平台來提供,只要帳號與密碼登入,即可查看公司狀態、統計報表,不用自行架設伺服器,即使非IT人員也能上手;中大型企業則是內含最新XGen技術的OfficeScan XG端點防護,可大幅提升未知病毒的攔截能力。

「其實過去的OfficeScan也強調針對未知病毒的攔截,只是隨著變種病毒數量攀升,既不屬於已知惡意、又從未出現過的檔案實在太多,因此研發推出XGen技術輔助快速偵測,來提升精準度、降低誤判率。」戴燊說。

XGen技術包含機器學習與全球威脅情報,可分析靜態檔案進階特徵,以及監控動態執行程序行為。其運作程序,首先第一層的過濾,是採用網頁與檔案信譽評等、漏洞攻擊防護(Exploit Prevention)、應用程式控管等機制,先行分類檔案為正常與惡意;第二層是採用執行前(Pre-execution)的機器學習演算法篩選靜態檔案,同時執行雜訊消除;第三層是行為分析(Behavior Analysis),屬於原有OfficeScan的技術。

當檔案開始執行,即屬於動態,運用執行時期(Runtime)機器學習演算法來協助判斷,最後結果再回饋到全球威脅情報,讓後續的動作得以更有效率,不需要每次都運行相同流程。

EDR將納入端點防護 平台 降低資源排擠

至於端點安全市場近年來興起的事後調查與回應(EDR)方案,戴燊則認為,最終還是會被整合到端點防護平台一併提供,就如同個人防火牆、IPS、應用程式控管等機制,初期出現在市場上也是獨立提供的功能,隨著技術發展日趨成熟後,才逐漸整合在單端點防護平台。

「EDR在端點運行會有資源排擠問題,畢竟多數客戶不樂見在端點環境安裝更多代理程式,既然端點防護平台已具備完整的功能性與穩定性,整合到單一引擎提供多重措施,才可符合企業所需。」戴燊說。

對事件處理(Incident Response,IR)團隊而言,戴燊不諱言,EDR確實有幫助,可藉此蒐集端點運行的所有資料,提升事件調查與回應的效率,趨勢科技旗下的事件處理團隊自然也有採用。只是目前把EDR方案推向市場最大的障礙,主要在於企業內部不具備專業資安人力可解讀與分析;甚至市場上銷售EDR方案的廠商,恐怕也不見得擁有足夠專業人才。

他認為,畢竟EDR應用於事後調查,所產出的資料需要資安專家解讀,若為內部自建,無法發揮效益。況且EDR最重要的價值是解析速度、準確度,進而改善防禦體系,以免類似資安事件再次發生。但是目前市面上技術,尚未發現有重大突破,仍需要資安專家介入,距離商業應用還有一段差距。

「對趨勢科技的客戶而言,無法容許出現誤判,因此最新產品設計的機制,採用的是成熟、可應用於商業環境的技術來實作。」戴燊強調。端點安全廠商的優勢之一,即在於長期以來累積的客戶基礎與龐大資料量,如今可運用較以往成熟的人工智慧,從龐大資料中學習資安領域知識,持續訓練演算模型增進精準度,強化端點的防護力。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!