隨著資安威脅模式的轉變,單點防禦已無法發揮效益,Palo Alto Networks的次世代防火牆亦開始搭配威脅情報智能雲、進階端點保護,共同建構成為新世代安全防護平台。
Palo Alto Networks技術顧問藍博彥指出,新型態APT攻擊的解決方案,主要著重於網頁與郵件的偵測防禦,均屬於閘道端,但企業邁向行動化發展後,已無法僅仰賴邊界防禦,勢必需要納入端點安全控管,因此Palo Alto推出Traps端點防護,主要來自去年(2014)收購Cyvera取得的技術。
「Traps主要是監看應用程式的執行緒,避免未知的惡意程式利用漏洞進行滲透,跟主要防範已知型威脅的防毒軟體彼此互補。」藍博彥說。從勒索軟體在全球橫行的狀態即可發現,現行的防毒軟體等機制,實際上已無法攔阻惡意軟體變種的速度。
 |
| ▲Palo Alto Networks技術顧問藍博彥認為,未來資安的發展,勢必需基於雲端運算平台,運用Big Data技術以協助分析取得情資,進而強化閘道端與端點防護機制的有效性。 |
「與其不斷地追逐變種程式,不如掌握核心技術,」他指出,其實駭客不論採以調整程式執行緒、變更中繼站位址等方式迴避偵測,核心技術模式皆大同小異。畢竟駭客研發設計惡意滲透程式的門檻相當高,必須超越現行最先進的資安防禦機制或發現前所未有的漏洞,才得以設計出有效的攻擊手法,相當耗費時間。而Traps引擎中已內建24種惡意程式滲透攻擊的模型,已幾乎涵蓋全球駭客活動所採用的技術,因此能從容持續與駭客鬥法。
基於WildFire雲端分析服務所打造的威脅情報智能雲,集結了全球Palo Alto客戶回饋的資訊,運用Big Data技術分析取得入侵指標(IOC),再發布至NGFW與Traps。同時包含全球資安情報分析平台(AutoFocus),只要以攻擊程式為關鍵字進行搜尋,即可列出全球駭客組織使用的行為、工具、網站、利用的漏洞等相關資訊。
藍博彥進一步指出,Palo Alto的情資之所以完整,除了來自客戶回饋,美國總部亦成立白帽團隊,直接臥底加入駭客組織的社群,以深入了解駭客的思維與動態,例如日前發佈鎖定iOS的惡意程式YiSpecter,主要針對台灣與中國的用戶而設計,透過Apple提供的Private API來散佈。之所以能夠掌握第一手資訊,即是白帽團隊在駭客社群中取得情資。而目前NGFW與Traps均為各自接收與回報至威脅情報智能雲,未來不排除進一步整合發展端點與閘道端的聯合防禦。
目前Palo Alto在台灣正在推動技術支援與教育中心建立顧問服務,在實際專案中累積的經驗,可透過定期教育訓練方式,以新聞事件為案例來說明攻擊手法,讓維運人員藉此了解惡意程式如何利用漏洞,才得以善用Palo Alto的防禦。