以網頁安全起家的Websense,目前開始將APT攻擊防禦主流的Sandbox機制,納入新版Triton 7.8的進階分類引擎(Advanced Classification Engine,ACE)中,供旗下Web、Mail、Data、Mobile產品線以ACE核心執行偵測分析。
企業之所以需要關注APT攻擊行為,重點仍舊是資料可能因此外洩。Websense北亞區技術總監莊添發指出,駭客從一開始偵查、引誘點選攻擊、滲透、最後把標的資料帶走,只要在資料遭到竊取之前及時攔截,該攻擊事件就不算成功。儘管現在市場上有許多防禦機制,但多數是基於特徵碼的比對與辨識,自然無法辨識APT手法所採用的未知型惡意程式,Websense ACE引擎的評分機制,原已包括URL分類資料庫、DLP引擎、病毒與惡意程式引擎等元件,Triton 7.8則新增包括偵測進階型惡意程式的ThreatScope,以及網路監看設備RiskVision。其Sandbox機制並非建置在本地端閘道設備,是由雲端的ThreatScope來提供。
|
▲Websense北亞區技術總監莊添發提醒,偵測與阻擋惡意程式雖然重要,也勿輕忽其他資安環節,必須要有分階段防禦措施,才能提升防禦能量。 |
莊添發說明,當使用者瀏覽網頁時,Web閘道器內建的ACE引擎會判斷若為可安全瀏覽網站,用戶進行檔案下載動作時,會同時傳送一份至雲端的ThreatScope,經由檔案Sandbox來分析該檔案的安全性。經過五至七分鐘分析完成後,若判斷內含惡意程式,就會發送郵件通知管理人員。同時也會把蒐集到的資訊傳遞至ThreatSeeker,讓其他用戶得以在三十分鐘左右收到更新。
至於郵件附加的檔案,會先被攔截暫存到佇列,同時把附加檔案傳送至雲端的ThreatScope分析,完成後將鑑識報告傳遞給管理者,以決定該郵件是要傳遞給使用者還是要阻斷。一旦分析後發現檔案內含惡意程式,鑑識報告通知中亦會提供該惡意程式的破壞行為與回報連線的位址,以及可連結到Websense產品中,列出該名使用者的所有連線行為,讓管理者進一步查看。
目前魚叉式攻擊有一種所謂「繞過技術」,也就是駭客鎖定目標後發送內含網站位址的郵件,一開始該網站並不具攻擊威脅,以便繞過各式資安機制的偵測,直到郵件被傳遞至使用者信箱中時,該網站才放置惡意程式。對此可利用ThreatScope的URL Sandbox機制進行點擊式即時防禦,使用者所收到郵件中內含的連結位址,會自動置換指向ThreatScope,一旦被點選,會先觸發URL Sandbox進行分析,以避免使用者因此受惡意網站感染。
對於多數不清楚是否已遭駭客滲入的企業,初期可先利用RiskVision設備來監看,萬一發現駭客活動行為,即可更新至Triton安全閘道器來抵禦,以降低資料被竊取的風險性。