Advanced Persistent Threat FireEye as a Service Fuzzy-Fingerprinting APT Premium Service Cisco Umbrella Trend Micro Threat Grid kill chain Fortinet FireEye iSight Cisco Talos Ethos Spero 趨勢科技 FaaS APT

海量情資訓練資料模型 輔助偵查隱形威脅

2018-04-02
陸續發展已超過半世紀的人工智慧,在大數據時代下取得長足的進步,不僅引領各個產業創造數位新時代的競爭力,同時也改善專業人力的工作負擔,尤其是在不容易培養專才的資安領域,更亟需仰仗現代機器學習演算法來處理大數據,建立具備領域知識的資料模型,運用人工智慧自動判讀已知與未知的惡意攻擊型態,讓資安專家更快速、精準地做出回應。
威脅情資可說是訓練機器學習資料模型的重要基礎。思科台灣技術長馮志良強調,思科所提供的資安解決方案,皆具備Talos研究團隊解析大數據情資,每天蒐集取得150萬個惡意檔案樣本、6千億封郵件、160億網頁存取行為等資料,累積成為大數據,運用自然語言處理(NLP)龐大的非結構化檔案,讓機器理解內容,透過演算法技術不斷地訓練輔助辨識的模型。

思科AMP(進階惡意程式防護)解決方案中的核心引擎,即是以人工智慧與機器學習實作的機制,提供檔案信譽評等資料庫、Ethos模糊式指紋識別(Fuzzy-Fingerprinting)、Spero機器學習引擎、進階分析引擎、Threat Grid沙箱運行動態分析,用以持續分析與回溯遭感染的檔案,讓惡意攻擊活動難以達到目的。

依據攻擊狀態 採取不同資安措施

多數企業或組織因應APT攻擊所採用的沙箱模擬分析技術,主要是為了在攻擊發動初期即可攔阻惡意檔案滲透入侵。馮志良說明,就狙殺鏈模式來看,從攻擊者事前的研究評估,透過釣魚或社交工程郵件、LINE訊息等方式,誘使攻擊目標點選執行惡意檔案或連線存取惡意網站,都只是建立灘頭堡的階段。

待滲透成功之後,攻擊者遠端操控惡意程式執行掃描,蒐集內網資訊並描繪整體架構,例如IP位址、應用系統等細節,再針對弱點或漏洞執行擴散攻擊,目的在於找到有利可圖的應用伺服器。因此遭到滲透的電腦,大多會出現提高權限的行為,以竊取機敏資料甚至整個資料庫,由於檔案可能相當大,若直接由應用伺服器傳送到外部恐會被偵測發現,因此常見的手法是利用已被控制的端點為跳板遞送到目的地位址。


▲內部防禦建置搭配雲端平台提供AMP技術,建立持續分析與可回溯能力,在惡意程式發作時得以盡速調查與回應。(資料來源:思科)

這整個攻擊流程得以成功,往往是因為駭客發現尚未被揭露的漏洞,並且針對性地開發攻擊程式。企業若能採用沙箱技術提高檔案的可視性,便可較以往更精準掌握駭客用來建立灘頭堡的檔案,究竟有哪些行為模式,以便進行下一步的調查與建立防禦措施。例如調整NGFW/NGIPS與端點防護的政策,加強縱深防禦;抑或是採用思科AMP技術的多引擎解析,在攻擊活動的前、中、後階段提供不同的協助。

在發生攻擊之前,AMP可基於Talos研究團隊掌握的全球威脅情資防範已知威脅;攻擊當下,AMP整合的Threat Grid動態分析可辨識與攔阻違反執行政策的文件類型,以免遭滲透成功;儘管通過靜態與動態分析過後未發現惡意,但也難以保證絕對安全無虞,因此AMP會持續監看檔案執行行為,萬一開始發作出現橫向感染狀況,除了觸發檔案隔離以外,同時可提供內部感染狀況,包含惡意程式來源位置、受影響系統範圍、執行何種操作等軌跡,以便盡速完成調查工作,並且修復受感染的系統。

AMP多重引擎檢測強化惡意行為偵查

▲思科台灣技術長馮志良提醒,面對APT攻擊威脅,除了傳統南北向防禦,亦須提升東西向的可視性與可控性,讓資安風險降到最低。
思科AMP技術已應用在閘道端(AMP for Network)與端點(AMP for Endpoint),強化威脅防護能力。馮志良說明,思科Firepower次世代防火牆可說是閘道端的第一道防線,亦可同時啟用入侵防護系統(IPS),在不影響吞吐量之下檢查東西方向流量,以免內部交叉感染;同時,也可啟用AMP功能,在相同硬體平台打造不同型態的偵測機制。 「在閘道端增添防禦能力較容易實現,但是要在端點增添額外程式,客戶考量恐影響系統運行等因素,往往難以實施,因此AMP for Endpoint現階段在台灣的主要客戶,偏重於安全性要求較高的軍方、政府單位、大型企業。」馮志良說。

AMP技術不論是建置在閘道或端點,都是用於解析已知與未知型惡意檔案。架構上來看,檔案會先經過AMP檢查,未知型檔案才會遞送到Threat Grid沙箱分析。馮志良進一步說明,既然是已知為惡意的檔案,在第一道防禦機制時就必須予以攔阻,增添AMP的優勢是可運用雲端平台建立靜態與動態分析,以提升判別已知與未知型態惡意檔案的效率與精準度。

在次世代防火牆系統中啟用AMP,可直接擷取網路封包中的檔案,運行多重引擎偵測。首先是基於SHA256演算出該檔案的指紋(Fingerprint)雜湊值,才遞送到雲端平台的檔案信譽評等資料庫進行比對檢查,並非傳送檔案因此沒有資安或法規遵循的疑慮。

由於檔案信譽評等屬於一對一的特徵碼比對機制,基礎在於資料庫的數量;Ethos模糊式指紋識別則是基於模糊理論執行一對多的比對,檢查檔案與其他檔案之間是否有從屬關係。Ethos引擎採用的演算法建立資料模型,特性是查看檔案一對多的關係,並非單純比對雜湊值,而是進一步依據檔案屬性資訊,相較於其他檔案的差異,以從中發現惡意檔案相關的部分。

此外,AMP內建的Spero機器學習,提供的是啟發式偵測引擎,根據400種類別執行程序的特徵,例如程序表頭、呼叫DLL檔、元件格式屬性等,來偵測惡意檔案。同時亦整合ClamAV防毒引擎,運用多種機制偵測已知為惡意的檔案,若未能發現可疑之處,才會進入Threat Grid沙箱模擬分析,查看檔案是否有自動在記憶體中產生執行檔、呼叫其他執行程序、連線到外部網站等惡意行為。

現代駭客組織的技術精湛、手法詭譎,儘管企業設置多重偵測惡意程式仍可能全數繞過,如此情況下,AMP提供的持續分析檔案與流量機制,即可發揮功效。透過AMP在端點持續監控、分析、記錄所有檔案行為與連線狀態,在發作當下提供資安調查所需的歷史軌跡資訊,加快釐清問題根源的速度。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!