以提供多引擎架構協助端點安全防護的芬安全(F-Secure),始終持續專注於發展核心引擎技術,其大中華區總代理商翔偉資安營運長杜世鵬指出,面對攻擊型態的轉變,可能遭受零時差攻擊而不自知,企業端更是關注端點安全針對現代化病毒或惡意程式攻擊行為的防禦能力。
芬安全的核心特點即在於深藍技術(DeepGuard)與防範Rootkit機制的BlackLight,不僅是靜態比對,同時包含動態分析行為模式與即時保護。現在的惡意程式設計精良,在攻擊行為發動前,會先行透過反偵測機制確認端點環境,之後才會啟動回報(Call-back)中繼站,此時的行為式分析即可發揮,主動阻擋惡意程式的連線行為。
 |
| ▲ 芬安全大中華區總代理商翔偉資安營運長杜世鵬認為,端點安全主要是避免讓惡意人士利用執行程序的漏洞來進行非法行為,不論任何作業系統平台皆無法避免面臨此類問題,因此重要性也隨著攻擊事件頻繁而增加。 |
「其實早在五年前,芬安全的多引擎架構中即已採用沙箱機制執行動態行為分析,但當時沙箱設計是偵測程式每次的執行行為,恐會耗用較多端點運算資源,因此過去較少被強調。」杜世鵬說。技術發展至今,沙箱已被納入主機入侵防禦系統(Host IPS)中協同運行,行為式分析模式也進展到可依照用戶端應用情境,調整防護等級高與低。例如只是一般上網行為、開啟Office文件的使用行為,端點防護機制維持正常處理即可。當偵測到用戶端正在執行線上交易,芬安全會自動提升安全層級,但並非緊盯作業程序,而是掃描環境中是否存在木馬程式或出現側錄行為。
之所以設計出依據應用情境自動調整防護等級,主要即是為了避免過於嚴謹的防護等級可能影響用戶端系統效能。杜世鵬進一步提到,對於芬安全而言,目標是鎖定多數不懂電腦運作原理的客戶群,需要的是安逸、不被干擾的環境,因此為企業設計的方案中,一直以來有提供選項是讓用戶端發現任何問題時皆不會出現警告訊息,只會在統一控管平台以及報表中呈現,可說是與其他防護機制差異之處。
現在新型態攻擊大多具針對性,若客戶端不幸遭受攻擊成功,且只有特定對象感染,此狀況屬於個案事件,在地服務的翔偉資安即可協助企業進行後續處理程序,把已取得的樣本送回原廠,並且在四個小時以內產生特徵碼供企業端更新進行防護,避免攻擊事件再次發生。
不論企業IT環境如何轉變,端點安全的重要性始終存在,只有作業系統平台的轉變,而解決方案運行架構,則是更仰賴雲端資料庫比對與分析,前端代理程式僅保留常用的比對基礎,以及事件記錄蒐集,如此才得以貼近企業朝向行動化發展應用所需。