因應APT攻擊,趨勢科技除了預計在年初推出整合防毒引擎與Sandbox的專屬設備外,端點方面則將研發分析工具,輔助執行資安健檢與事件調查得以快速找到根本原因(root cause)。
趨勢科技台灣暨香港區總經理洪偉淦觀察,現階段在處理APT事件時,資安專業人力出勤比重較高,因為多數企業尚未建置自動化工具。於是服務廠商必須提出被攻擊的跡象,並協助後續清理作業。之後,客戶才會開始思考是否該建置自動化工具來協助,一旦導入後,資安人力介入的比重自然會降低。
 |
| ▲勢科技台灣暨香港區總經理洪偉淦強調,駭客發動APT攻擊的新聞頻傳,已讓企業端逐漸意識到這類新型態駭客攻擊的威脅,但事實上,駭客攻擊沒有立即見效的作法,只能藉由強化資安控管政策,盡量減低風險與損失。 |
過去一年來市場上的APT防禦,大多偏向閘道端,事實上,端點也很重要,因為若端點沒有任何機制,一旦發生APT攻擊時,要徹底清除相當耗時費力。他指出,即使在資安防禦的各個環節中皆具備抵禦APT攻擊功能,萬一不慎被入侵成功時,究竟哪一家資安廠商有能力協助處理善後,才是IT人員所在意的事。而且若APT解決方案的範圍未達終端用戶,實際上也無法協助清除任何攻擊事件,因此才會是既有防毒軟體廠商較容易施力之處。
由於APT是有心人士客製化攻擊手法來達到竊取資料等目的,因此必須要有端點的根本原因分析工具,協助把整個攻擊的路線圖、運用手法等,清楚地勾勒與描述,才能擬定反制措施。至於確定駭客已成功入侵後,企業首要關心的莫過於該如何善後,徹底清理惡意程式,但為了減輕繁雜的清理工作,趨勢科技預計在端點會進一步發展自動化工具,協助資安人員簡化問題根源尋找的工作,縮短事後處理耗費的時間。
此工具仍舊是Client-Server架構,有包含兩種層次,一種是常駐型,永遠在系統背景偵測是否出現APT攻擊行為,發現時自動傳送到Sandbox分析;另一種是健檢或事件調查,有更深入分析的工具,能夠收容端點中所有資訊,再跟閘道端發現的事件交叉比對分析,快速指出問題根源,協助資安人員有效率地統整APT攻擊資訊。
「如此一來,才能夠真正協助客戶解決問題,以及強化資安控管政策。若公司的資安控管政策沒有強制員工必須即時執行系統或應用程式的更新程式,實務上IT人員也不容易掌控究竟有那些漏洞可能被駭客利用,藉此分析比對工具即可了解有那些更新程式必須優先被處理。」洪偉淦說。