Endpoint Detection and Response Endpoint Protection Platform Symantec Endpoint Protection Web Isolation PacketShaper Hardening Symantec ProxySG Jail EDR SEP EPP

隔離技術降低風險 MEDR攜手災害修復

2019-02-18
全球資安威脅情勢持續惡化,可被利用來攻擊的管道隨著數位化轉型趨勢發展而激增,尤其是近年來快速增長的挖礦程式,以及難以辨識真偽的離地攻擊(Living off the Land)手法,為此賽門鐵克近來針對終端、郵件、網頁等控制點,相繼納入隔離技術,以因應來自四面八方的威脅。同時搭配SEP(Symantec Endpoint Protection)14版,引擎中內建EDR分析威脅情資,以便於事件調查與回應。
Symantec於2017年併購Fireglass取得閘道端的網頁隔離(Web Isolation)技術,台灣賽門鐵克首席技術顧問張士龍認為,「幾乎已可達到百分之百防護。之所以如此有信心的原因,在於網頁隔離技術可讓終端用戶日常操作行為不會再觸碰到程式碼。」

此網頁閘道端解決方案提供的隔離技術,簡言之是一旦終端用戶瀏覽的網站,被雲端全球威脅情資(GIN)判定風險等級高達7以上,亦即極可能遭注入惡意的iFrame,便會將該網頁轉變成虛擬串流(Virtual Stream),也就是轉換成不具備程式碼的圖片方式呈現,並非如同快取技術回傳的HTML程式碼網頁,更重要的是,用戶端不會發現異常之處,同樣可點選畫面中的連結、執行檔案上傳等操作,不致因此改變使用者行為。

「網頁隔離技術得以擷取網頁中各種類型的網站連結,並重新定位予以收斂。畢竟HTML網頁中可能包含多種類的物件,可能潛藏惡意攻擊程式,經過轉換後再遞送到用戶端,可藉此避免遭受感染。」張士龍說。

ProxySG實作威脅分析與隔離技術

使用者瀏覽網頁時可透過隔離技術來避免感染,至於開啟文件或下載執行檔案時,在賽門鐵克提出的整合式多層次防護架構下,閘道端的ProxySG即可執行深度檢查,搭配全球威脅情資(GIN)分類解析的風險值,通常只要判定為7級以上大多為惡意程式。但是萬一風險值恰好為7級,則可能無法確認,此時網頁隔離技術亦可輔助降低感染風險。

張士龍舉例,終端用戶執行下載檔案的封包,通過ProxySG時會先經過進階惡意程式分析(Content Analysis,CA),也就是透過沙箱模擬執行來檢查是否夾帶攻擊程式碼。較特別的是,該機制用以辨識惡意行為的防毒引擎,不單只是賽門鐵克自家技術,同時也運用到McAfee、Sophos等第三方提供的資料庫,讓攻擊手法無所遁形。

ProxySG對於台灣企業而言並不陌生,源自於Blue Coat研發設計的專屬設備,賽門鐵克併購之後,整合於多層次防護架構中,且扮演相當關鍵的角色,一旦經過沙箱檢測發現惡意行為,可直接通報SEP端點防護引擎增添黑名單,以便快速地建立網路聯防架構來防治;若沙箱檢查並未發現惡意行為,則會經過網頁隔離技術回傳給用戶端,以降低感染風險。 除了網頁隔離技術以外,郵件安全亦有類似的實作方法。張士龍說明,設計郵件隔離技術的目的主要是為了抵禦釣魚攻擊手法,內文中嵌入的惡意連結會被重新導向到隔離設備,透過全球威脅情資確認網站安全等級,若超過7級以上,則會把網站變成唯讀,禁止使用者執行可能被利用來滲透感染的動作。

MEDR服務協助監看資安狀態與回應

▲台灣賽門鐵克首席技術顧問張士龍認為,產線機台遭受WannaCry感染並透過445連接埠快速擴散的第一時間,網路流量可能從10Mbps爆衝到倍數之多,如此異常的流量本就應有監看機制,以便觸發告警通知IT管理者,甚至是立即執行阻斷,才可最大程度降低損失。
在SEP引擎中提供的端點隔離技術稱為Hardening,針對可疑的應用程式啟用Jail模式,例如當前病毒感染途徑常透過瀏覽器進入端點,只要偵測發現使用者瀏覽的網頁檔案中包含執行檔,會主動交由賽門鐵克的信譽評等資料庫檢查,若判定已知為善意自然可正常運行;若為惡意則觸發封鎖措施。目前最棘手的狀況是未知型檔案,這類程式則可透過Jail機制,以隔離方式運行,雖可正常啟用但禁止變更系統核心檔案,只能在允許的環境中執行。

「每次只要發生重大資安事故,應用程式白名單就會備受企業關注,2018年震驚全球的台積電遭受WannaCry感染事故也不例外,賽門鐵克提出的Jail機制,即可藉由應用程式權限控管來降低損害。」

如今市場上的EPP解決方案幾乎已補齊EDR機制,簡化調查與回應的程序。張士龍認為,EDR可監看歷史行為軌跡,進而找到問題的根本原因,整合於EPP引擎中一併運行已是業界共識,賽門鐵克在2016年推出的SEP 14版本中即已提供,讓端點得以運用單一引擎執行多種功能。

面對來自新創公司的EDR技術之爭,張士龍指出,EDR之所以得到認同,勢必有其過人的優勢,問題是既有既有技術供應商皆會面臨到相同的挑戰,也就是說服客戶再大量部署端點代理程式。多數企業早已部署端點安全防護,如今僅須更新版本啟用後即可擁有EDR功能,才是IT管理者樂見的建置方式。

「另一方面,我認為EDR現階段仍尚待解決的問題是必須搭配資安專家投入調查研究,才得以釐清風險,因此市場上又出現類似於MSP的MEDR代管式服務,賽門鐵克亦有提供,技術來自賽門鐵克於2017年收購Outlier Security所取得,如今是由既有的安全委外管理服務(MSS)團隊延伸提供,以降低IT管理者的工作負擔。」張士龍說。

現階段透過工具蒐集彙總的大數據,經過機器學習演算分析後,技術人員仍必須介入以判定問題的真偽。Outlier Security與賽門鐵克既有的EDR機制不同,前者屬於無代理程式的實作方式,固定期間執行輪詢(Polling),藉此取得端點相關資訊,進而彙整與分析,並且由經驗豐富的MSS專業團隊持續監看與協助企業制定回應措施。全球IT解決方案幾乎全數已朝向雲端化發展,即使態度較保守的本土企業,也開始逐漸接受把內部機敏文件存放到雲端平台,可說前景看好。

網路流量暴衝監看及時阻止災害擴散

以實際狀況來看,全球重大資安事故並非只有新聞報導的國際知名企業,不論產業別、IT規模,皆難以避免遭遇到攻擊威脅。張士龍認為,台積電廠房遭感染事件,對台灣本土產業可說是相當大的震撼教育,畢竟OT環境對製造業而言屬於業務單位,核心思維本就少考慮資安,經過這次事件之後,或許可以讓台灣產業正視現代威脅的危險性。未來除了落實應用程式白名單,阻止未被授權的檔案運行;另一方面,內部IT基礎架構控管措施中,必須持續監控異常網路流量的暴衝狀態。

「新採購的機台系統本身已有安裝更新修補程式,之所以產線停擺,多半是因為WannaCry蠕蟲擴大感染時,不僅佔用網路傳輸頻寬,同時機台資訊系統的運算資源被消耗殆盡,才導致不斷地重新開機。」張士龍指出,對此賽門鐵克的PacketShaper即可協助持續監看與通報,在異常事件發生時及時攔阻。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!