自從2015年發布R77.30版本就已內建CDR機制的Check Point SandBlast解決方案,如今已演進到R80.x,系統內部稱之為Threat Extraction(威脅萃取),並非獨立運行的功能,而是基於Threat Emulation(威脅模擬),也就是沙箱技術整合提供。
Check Point傳教士、技術長辦公室技術顧問楊敦凱指出,Check Point可說是資安領域中極少數把沙箱與CDR整合運行的廠商,這也正是優勢之一。相較之下,現階段以研發CDR為核心的技術供應商,大多搭配防毒引擎掃描輔助,並未具備沙箱技術,僅著重採取靜態式的判斷後再以CDR執行清除與重組檔案。
降低沙箱模擬檢測影響用戶端操作
CDR運行的邏輯是在可支援的檔案格式下,不論內容有多複雜,只要檢查符合控管政策設定立即執行動作。但是Check Point設計名為威脅萃取的CDR實作,主要用意在於彌補沙箱技術模擬分析需花費時間執行,避免檔案延遲送達影響正常業務流程。
楊敦凱舉例,次世代防火牆搭配雲端沙箱機制,只要由外而內的流量中發現郵件包含附加檔案,皆須上傳到雲端沙箱模擬分析檢測,即便雲端平台擁有龐大運算資源,仍難免耽誤幾分鐘的檢測時間,此時有些廠商設計的機制是檔案先放行,讓終端用戶先收到以免影響工作。若雲端沙箱偵測到惡意攻擊指標,則主動通知地端次世代防火牆,萬一相同攻擊手法再次進入時即可直接阻斷。只是這種檢測模式,企業端至少必須承受一次資安事故風險,才可建立未來防範基礎。
Check Point研發的沙箱技術,背景模式的控管運作即如同前述,另有一種保留模式,則是在檔案拋送到沙箱時,次世代防火牆會先保留該Session,待沙箱分析完成後回報資訊,再依據控管政策來判定是否應該放行。此機制的挑戰在於無法避免產生延遲時間,若是單純郵件的發送與收取或許企業端還可接受,網頁應用服務則難以接受延遲時間。楊敦凱強調,「搭配威脅萃取(包含CDR)機制即是為了解決時間差的困擾。」
威脅模擬與威脅萃取同時運行
威脅模擬與威脅萃取是SandBlast解決方案的兩個主要核心元件。前文提及的是網路流量經過閘道端的檢測,至於用戶自行下載的檔案,楊敦凱說明,端點環境會有IPS、防毒等引擎掃描,若未發現已知的特徵碼,威脅萃取仍會先執行CDR功能,讓用戶得以盡快收到檔案,與此同時也基於SandBlast Agent運行威脅模擬分析,經過不同層次的檢測技術。以處理器層級為例,駭客常會採用ROP(Return-Oriented Programming,返回導向語言)、JOP(Jump-Oriented Programming,跳轉導向語言)等規避技術企圖繞過作業系統安全框架,也就是會在Shell Code執行過程中,動態存取處理器預載在記憶體內的區塊,藉此產生出攻擊程式碼。
沙箱模擬機制會檢查諸如此類刁鑽的攻擊模式,尤其是較常被利用的PDF檔案,藉此提升攔截率。當用戶收到經過CDR處理過後的檔案,認為有必要取回原始檔時,必須先通過沙箱檢測確認無攻擊活動才允許放行。以郵件附加檔案為例,使用者收到郵件時,會在內文中加入提醒字串,說明附加檔案已經被清除掉的元件,畢竟CDR機制不會判斷檔案是否存在問題,只要符合政策設定立即處理,或是文件檔轉換成PDF格式,被清除掉的元件若確實有需要,使用者不用找IT人員協助,可直接點選郵件內文中加註的連結來取回原始檔案。「在郵件中加註說明,亦可達到提醒作用,讓使用者欲取回檔案之前,有機會再次確認寄件者的可信度。此外,使用者取回原始檔案的動作留存記錄,以便後續稽核。」
轉檔與清除政策提升CDR運行速度
為了提升CDR的運行速度,SandBlast提供轉檔與清除兩種執行政策可選用。楊敦凱指出,以最佳實踐案例來看,通常會建議Word檔案一律轉換成PDF,以確保格式不至於跑掉;若原始檔案為Excel、PDF、圖檔,則是採用清除模式,把可能被利用來發動攻擊的巨集、超連結、JavaScript等物件直接清除,經過重組後再給終端用戶。「同時正在沙箱環境模擬分析的檔案,平均大約2分鐘以內即可執行完成。」
他進一步說明,檔案拋到沙箱啟用的虛擬主機環境時,執行後預設會先在靜止的狀態下觀察60秒,若沒有任何異常,時間到後隨即放棄觀察,一旦發現異常會再觀察60秒,總計前後的平均時間大約2分鐘。此外,若模擬分析判定行為異常時,會自動再啟用一個新的虛擬主機,以不同的作業系統版本再次模擬執行,仍舊發現攻擊行為時才會判定為惡意程式,降低誤判的機率。
Check Point傳教士、技術長辦公室技術顧問楊敦凱強調,次世代防火牆設備的DPI技術拆解封包後,在處理Payload的最後一道機制中納入CDR功能即可,不用重新拆解封包取得檔案後再封裝,影響的效能不到5%。
平均得延遲2分鐘才收到檔案,有些客戶仍舊無法接受。楊敦凱指出,若排序過多等待處理的檔案,恐無法在2分鐘的平均時間內完成,SandBlast還有設計搭配的機制,可依據應用需求調整,運用預先定義政策停止運行來縮短等待時間。
自行定義例外清單可說是必要的功能項目,比方說高階主管的工作急迫性較高,即可列為排除名單。問題是APT攻擊通常針對高權限管理者,在設計例外清單時亦必須納入整體考量,確認可信任的主管機關、關係企業等單位來源所發送才可接收。「儘管在零信任網路環境中不應該存在例外,實務上卻仍有許多客戶希望有白名單機制,才得以符合應用需求。」楊敦凱說。
若是企業認為不必嚴謹到每個檔案都要通過嚴密檢查,希望能有必須執行CDR的憑據,可先把檔案送到沙箱,檢查完成後產生正常檔案信心程度指數,依據Check Point演算出風險的高中低層級分類,例如檔案執行行為包含寫入註冊機碼,但未必為惡意,Check Point會依據自家演算法針對不同執行行為給予評分,若為中度風險以上的檔案則予以CDR處理。
如此的做法要達到效果,楊敦凱提醒,企業必須非常了解業務屬性,以及能夠承受的風險,基於對Check Point提供的可信任資訊,只要是沙箱檢測為高風險等級的檔案直接予以刪除,對於中或低風險等級的檔案,則是經過CDR處理過後再遞送給用戶。「事實上,嚴謹的資安控管政策,應該是所有檔案都經過沙箱檢測搭配CDR處理,以免出現漏網之魚。落實的前提是客戶必須信任我們提供的分析數據,來判定控管政策的嚴謹程度,同時必須接受用戶收到檔案會有時間差的問題。」
【專題報導】:CDR檔案除污 力抗滲透危害