在台灣,趨勢科技可說是較早投入研究APT攻擊行為,並提出解決方案的資安廠商之一。趨勢科技技術總監戴燊觀察,近來客戶大多逐漸理解APT這類非典型攻擊並非防毒技術擅長抵禦範圍,轉而期待防毒機制可在確認感染後,協助執行清除工作,以免遭二次攻擊。
儘管新型態攻擊採未知惡意程式規避端點安全偵測,使得原有防線失效,但是端點安全的概念並沒有因此被看輕,反而因為行動裝置興起後受到更多關注。戴燊認為,現代化的攻擊行為會逐漸轉向行動裝置系統,也就是針對Android、iOS等作業環境,日後防護方案的戰線,像是處理行動裝置存在隱私、金流、詐騙等問題,勢必會更緊密隨著行動裝置品牌與平台而改變。
|
▲趨勢科技技術總監戴燊認為,現階段客戶對端點安全防護的期待主要偏重在可提供支援多平台系統,而面對新型態攻擊行為則是要具備可清除能力。 |
「過去的IT人員管理好PC即可,現在則是評估端點防護解決方案能否支援更多的行動系統平台,例如Mac OS。」戴燊說。軟體畢竟是人撰寫的程式,勢必會有Bug,只要稍不留意就可能發生,同樣會被利用發動入侵。像是近來爆發的Shellshock漏洞,早在十?年前就已存在,漏洞修補方式較Windows更加麻煩,Linux還必須對照版本、硬體設備,再選擇合適的修補程式。面對不同的資安方案業者,IT管理是否皆可掌握、是否可取得後續支援服務,才是企業關心,而趨勢科技提供的服務深度與能力較高,不致於得不到原廠協助,可說是較主要的差異。
在因應APT攻擊事件中,趨勢科技發展新的端點代理程式─Endpoint Sensor,歸屬於APT解決方案的一環,搭配閘道端擷取封包,透過Sandbox分析取得惡意行為資訊。至於端點,則是在閘道端分析封包,或是經資安事件處理(Incident Response,IR)發現端點被入侵,並掌握相關資料後,會傳送到雲端安全平台執行分析,資安事件處理團隊成員只要把發現的狀況,利用Rule方式去Query,就會找出來蛛絲馬跡。也就是類似Big Data分析模式。
找到軌跡線索後,即可產生出時間軸,精準地找到在某個時間點的端點、經由哪些動作被感染,描繪出滲透路徑,協助資安事件處理團隊向客戶說明APT事件的始末。要取得完整的入侵軌跡資料,即必須仰賴Endpoint Sensor進行Log的蒐集。
「APT解決方案必須要懂得運用才能發揮效果。」戴燊強調。防毒機制經過比對後發現為惡意、立即跳出警訊提醒用戶的運行模式,無法套用在技術門檻更高的APT,勢必要先進的工具搭配專業資安人力,才能夠因應新型態攻擊。