Advanced Persistent Threat Mobile Device Management Command and Control CryptoLocker Trend micro 進階持續性滲透攻擊 Fortinet Openfind Big Data FireEye Sandbox SaaS BYOD 資安威脅 駭客攻擊 網擎資訊 趨勢科技 巨量資料 行動化 消費化 APT 中繼站 C&C MDM KVM Xen 雲端化 沙箱 沙盒

跳脫特徵碼比對 依行為辨識未知攻擊

2013-12-26
過去資安防護所仰賴的特徵碼比對辨識方法,只能揪出已知型惡意檔案,相較之下,以提供新型態攻擊解決方案著稱的FireEye,其採用的技術跳脫傳統,改以Sandbox來模擬系統運行、辨識未知型攻擊程式,如今Sandbox技術可說是資安業界提供APT攻擊防禦的重要機制。
FireEye台灣區總經理馬勝彰指出,市場上確實出現許多APT解決方案皆採用Sandbox實作,但其實該系統不外乎VMware、KVM、Xen等免費開放原始碼,駭客自然也可進行研究後建立反偵測機制。「而FireEye獨特之處,即在於虛擬系統是自行研發,且還會隨不同防禦手法再更新與變化,這才是Sandbox重要核心所在。」

對於從未出現過的攻擊程式辨識,FireEye非透過樣本數、特徵碼比對,而是以拆解程式執行行為來判定是否為惡意,才能在當下直接攔阻或隔離。他表示,在客戶端實機測試時,不少企業就直接目睹FireEye攔下惡意程式;或是取得客戶端同意後,由FireEye的合作廠商VirusTotal網站提供惡意程式樣本,以電子郵件方式發送給客戶,在無啟動FireEye機制的情況下,便發現企業原有的防禦系統竟被穿越而收到惡意郵件。

▲FireEye台灣區總經理馬勝彰提醒,儘管資安建置無法達到百分之百防禦,但切勿輕忽其重要性,畢竟攻擊方持續進化下,防守方也要時時跟進,否則終會釀成嚴重的資安事件。
馬勝彰指出,「FireEye主要定位是做感知與阻斷的閘道端設備,至於最後的清除工作,則是將描述惡意行為的IOC(Indicators of Compromise)與MD5匯出,交給端點安全合作廠商Guidance、Mandiant、Bit9等來開發解藥。」 他認為,就領域知識而言,閘道端與端點安全廠商仍有所區隔,而資安防禦體系需要各個不同技術領域的解決方案之間彼此合作聯防,才能發揮更大效益,FireEye也是以此為發展方向,「當然並非所有資安廠商皆願意跟同業合作,舉例像是台灣市佔率相當高的防毒軟體廠商,也有提供APT解決方案,如此就會牽涉到競爭關係下的合作意願。」

姑且不論IT應用趨勢如何發展與變化,現有網路環境的資安機制短時間內不會有革命性的變動,馬勝彰觀察FireEye今年在台灣成交的客戶,都只是在傳統IT基礎架構下加強安全性。但他也表示,針對SaaS、BYOD等新趨勢,FireEye都有相對應的解決方案,像是日前發布的行動平台解決方案,為企業用戶打造雲端服務版本,讓企業在將自行研發的App上架之前,先行經過檢測,以確認沒有被植入非法程式,未來更會進一步提供個人消費端應用。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!