長年關注全球資安威脅發展的Blue Coat,在雲端應用服務日益盛行的趨勢下,於2014年對全球7,500萬名用戶進行調查,針對在90天期間最常連線使用的6.6億個主機進行分析,結果發現其中竟然有4.7億個主機屬於「一日網站」,存在期間不到24小時。儘管多數一日網站都是以提供網際網路內容分享和傳遞為主,但仍有不少網站卻暗藏惡意活動,專門從事對企業發動攻擊,以及管理傀儡網路的用途。
值得一提的是,由於這些短命的一日網站歷史太短,尚未列入資安資料庫追蹤,駭客便利用此特性來規避資訊安全設備檢查,以便建立高擴充性、難以追蹤,但實作容易的動態C&C通訊架構,隨時接受殭屍電腦所回傳的機密資料。此外,一日網站亦可用於建立垃圾郵件的獨特子網域,能迴避垃圾郵件或網站過濾技術的偵測,進而針對特定企業發動釣魚網站攻擊。
Blue Coat台灣區技術總監曾良駿解釋:「一日網站數量快速增加,對企業資安防護來說是一項極大威脅。因為動態網域的防禦比靜態網域更加困難,而大量網域出現之後,會增加安全防護漏網之魚的比例,尤其當一日網站與加密技術整合之後,可能削弱資訊設備的防禦、偵測和回應能力,惡意軟體將可以透過SSL連線侵入企業內部,在企業毫不知情的狀況下發動攻擊。」
|
▲ Blue Coat針對在90天期間最常使用的6.6億個主機進行分析,結果發現其中有4.7億個主機屬於「一日網站」,存在期間不到24小時。 |
駭客利用加密技術 避免惡意程式被發現
除了一日網站數量激增,恐怕對企業整體資安防護帶來嚴重威脅之外,Blue Coat也在2015年資訊安全風險觀察預測中指出,加密傳輸通道將成為竊取機密與個人資料的新危機。
過去企業為避免機密資料傳輸過程中被有心人士竊取,都會在網路傳遞時透過各種技術加密,然而檢查加密封包對系統資源與技術的要求頗高,因此多數資安設備為避免影響封包傳輸效能,通常會略過對加密傳輸通道的檢查。
曾良駿指出:「但是從我們長期觀察與分析過程中發現,加密傳輸通道不再是企業使用的專利,愈來愈多駭客為讓惡意程式能順利躲避資安設備的檢查,也開始會以SSL等技術建立加密通道。所以資安人員在建構資訊安全防護架構時,應該要開啟加密通道檢查的功能,或者購買可解析加密封包的產品,才能找出躲藏在其中的木馬程式。」
另一個值得企業關注的資安威脅,則是以合法管道掩護非法攻擊的案件將會快速增加。駭客組織開始大量侵入會在社群網站中刊登廣告、但資安防護等級不足的中小型廣告業者,事先將惡意程式植入廣告中,再藉此入侵用戶端的電腦,以便順利進入企業內部網路。
三大面向齊下 建構完整資安防護網
在DDoS、APT、零時差攻擊等威脅不斷出現下,傳統資安設備除了有偵測能力不足的問題之外,設備之間也因缺乏相互溝通的能力,無法即時分享與傳遞資安情報,因此即便有設備發現惡意程式存在,也無法發動聯防來阻絕其運作。為此,Blue Coat針對現今企業面臨的資安挑戰,推出安全分析平台(Security Analytics Platform)、已知惡意應用程式阻擋、未知惡意程式分析與阻擋等三大解決方案。
|
▲Blue Coat針對現今企業面臨的資安挑戰,推出安全分析平台(Security Analytics Platform)、已知惡意應用程式阻擋、未知惡意程式分析與阻擋等三大解決方案。 |
Blue Coat安全分析平台能全面收集企業內部所有網路運作封包,搭配Blue Coat實驗室提供的資訊,可監控陌生未知應用程式的運作流程,一旦確認該程式為惡意軟體,便能即時阻斷其運作,並且通知資訊人員進行清除。在已知惡意程式應用程式阻擋方面,SSL Visibility Appliance、Content Analysis System、Proxy SG系列等產品,可以在看似合法的傳輸行為中,找出隱藏其中的惡意程式。尤其SSL Visibility Appliance與Proxy SG系列等,均具備拆解SSL封包的功能,能夠對抗駭客愈來愈複雜的攻擊手法。
曾良駿指出,Proxy SG系列是針對網路閘道防護設計的解決方案,除具備封包處理速度快的特性外,也可提供用戶帳號認證、網頁過濾、DLP、SSL封包檢查的功能,SSL檢查範圍則涵蓋外部網路進入企業網路的封包,以及企業內部傳送到外部的封包等。
不僅如此,Proxy SG系列不僅擁有高達10Gbps的處理速度,設備本身亦可以與Blue Coat的WebPulse平台連動,隨時接收最新的資安威脅情報,進而在蒐集資安設備、主機、個人電腦端的紀錄後,快速找出彼此之間的關連,以便在APT攻擊開始發動之前,清除躲藏於企業內部中的惡意程式。
先進沙箱模擬技術 誘發惡意軟體現身
考量到未知資安威脅與日俱增,Blue Coat也推出可安裝在企業內部的惡意軟體分析平台(Malware Analysis Appliance)與Threat BLADES等,產品本身擁有強大偵測和分析能力,加上內建混合型沙箱模擬技術,具有代碼模擬和虛擬機自我檢查的雙重偵測法,能快速辨識不明惡意程式的類型,達到減少零時差威脅帶來的衝擊。
混合型沙箱模擬技術可模仿實體機環境,在模擬系統中引發惡意軟體的運作,資訊人員無須在實體系統進行測試,即可確認惡意軟體相關資訊,有效保護企業整體安全。另外,產品本身也擁有簡單、易讀的操作介面,網路管理員可從儀表板取得完整的惡意軟體情報、收集資料庫以及事件等資訊,還能在異常狀況發生時,收到系統所提供的緊急通知訊息。
曾良駿表示,不少惡意程式也具備躲避沙箱環境偵測的能力,如果環境模擬技術欠佳,反而無法誘發惡意程式啟動。因此,企業應該要深入詢問不同品牌沙箱技術的差異,才能找到符合安全防護需求的解決方案。