Trend Micro Safe Mobile Workforce Advanced Persistent Threat Kaspersky Security Center Endpoint Security Fingerprint TrendMicro OfficeScan Kaspersky Symantec Webroot Android Sandbox G Data 趨勢科技 賽門鐵克 俊端科技 湛揚科技 中芯數據 端點安全 防毒軟體 iOS APT S

監控並追蹤程式執行 避免駭客後門偽裝滲入

2014-04-10
強調端點安全解決方案完整性與整合性運行的賽門鐵克,所提供的防護機制,像是檔案的信譽評等、主機式IPS、SONAR(Symantec Online Network for Advanced Response)、設備控管、應用程式管控、NAC(Network Access Control)等機制,皆已全數整合於Symantec Endpoint Protection 12.x版本中提供。
賽門鐵克台灣區首席技術顧問張士龍說明,應用程式管控亦可針對所謂的綠色軟體進行監控。這類免安裝工具有時會內建翻牆功能,像是「無界瀏覽」,透過遠端的Proxy執行連接,完全不受防火牆管控影響,如此一來無疑是為內部網路開了一道後門。而應用程式管控機制採用SONAR技術提供主動式行為防護,可依據應用程式的驗證碼(Checksum)來進行控管,IT管理者可透過事先行定義禁止使用的程式驗證碼來予以攔截執行;或是透過主動式行為防護監視檔案被執行後的所有程序,發現回撥(Call Back)、產生另一支惡意程式背景執行、對外傳遞檔案等疑似惡意程式行為時,第一時間即予以阻斷,降低駭客攻擊風險。

就駭客的滲透攻擊行為來看,張士龍認為,今年重點防護應以伺服器端的安全控管為主。「不論是APT攻擊或遭受病毒感染,通常都是使用者點選執行含有惡意程式的檔案,而僅用於提供應用服務的伺服器端,不應該存在頻繁點選執行的行為,理應被嚴格控管。」

▲賽門鐵克台灣區首席技術顧問張士龍認為,端點安全防護可說是抵禦新型態惡意程式攻擊最後的堡壘,除了採以閘道端防禦技術外,端點防護則可在第一時間控制感染避免持續擴大,將災害降到最低。
伺服器端除了需建置防毒引擎,亦有特別針對伺服器防護設計的SCSP(Symantec Critical System Protection),會更強調在系統異常狀況的偵測能力。SCSP主要是以沙箱(Sandbox)技術實作,依據檔案執行程序、註冊碼等資訊來定義沙箱執行環境,並且設定檔案允許被開啟的權限,或指定應用程式才得以讀取。張士龍舉例,最常見的txt格式檔案,一旦設定只能透過公司內部自行研發的應用程式才能開啟,即使是Windows作業系統預設提供的執行程式也無法開啟,所有txt格式檔案執行必須經過沙箱模擬執行過濾,以確認該行為的合法性。

為方便管理定義伺服器端應用程式執行政策,像是IIS與Apache網頁服務,究竟需要開啟那些檔案格式,該動作則可藉由SCSP內建學習模式來取得,成為沙箱過濾的規則。欲進一步防止惡意程式喬裝為合法執行程式發動攻擊,伺服器端點亦可搭配採用SONAR技術檢查碼機制,為應用程式執行行為把關。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!