Lastline Damballa Verint 趨勢科技 威瑞特 亞利安 APT 資安 攻擊 威脅 安全 中飛 叡廷

阻斷中繼站連線 直接破壞APT攻擊

2015-07-10
回顧近幾年全球發生的幾起重大APT事件,多數人印象最深刻的案例,莫過於花費鉅資興建資安防禦系統,卻仍然遭到駭客組織入侵,至少遭竊4千萬筆客戶資料的Target。經過事後資安人員與外部資安顧問聯手調查發現,Target添購的APT防禦設備,確實有偵測到此次攻擊行為,但卻因為先前誤報事件過多,以致於讓資安人員疲於處理,最終給予駭客可趁之機。
▲叡廷產品經理唐培毅指出,一般資安產品的特徵碼偵測技術,根本無法趕上惡意軟體演進的速度,初始偵測率還不到5%,證實現今預防APT攻擊入侵的作法完全行不通。
叡廷產品經理唐培毅說:「現今APT之所以難預防之處,在於特徵碼偵測技術無法趕上惡意軟體演進的速度,根據資安實驗室測試結果發現,用82種新惡意軟體標本測試40種防毒軟體的偵測能力,初始偵測率還不到5%,證實現今預防APT攻擊入侵的作法完全行不通。」

正因為如此,根據研究機構公佈的研究結果發現,平均每個APT入侵企業後要經過170天後才會被發現,而且有66%的入侵行為,以及95%失竊資料都與惡意軟體有關,這凸顯現今多數APT設備偵測能力不佳,而叡廷代理的Damballa解決方案,則是從加速偵測惡意程式速度著手,縮短APT攻擊在企業內部潛伏的時間。

駭客入侵企業管道多 可躲過閘道檢查

Gartner在2013年APT攻擊事件大量爆發時,曾經公開表示企業面對APT攻擊威脅時,需要採用多層次先進威脅防禦產品所組成的防禦機制,尤其要在網路、傳輸內容(執行檔、文件或Web物件)及端點層面中,至少必須部署在其中二層,才有可能阻擋APT攻擊。

Gartner會發表上述看法並非無所本,因為現今駭客組織侵入企業管道愈來愈多,先是企業內部採用非Windows平台的伺服器或端點裝置愈來愈多,但多數資安設備卻只能偵測Windows平台運作的能力,自然不可能預先找出所有惡意程式。其次,在BYOD趨勢的風潮下,很多員工自行攜帶的行動設備,無須經過閘道端的檢查,便可任意存取公司內部的資源,儼然成為駭客散播病毒的最佳管道。此外,出差員工或外包廠商,亦能在不需要經過閘道端的狀況下,利用VPN通道連回公司內部網路,給予駭客可趁之機,如Target事件即屬此類。

「在上述環境下,企業想要從閘道端防堵惡意程式入侵,幾乎是一件不可能的任務。」唐培毅解釋:「相較之下,Damballa解決方案並非從閘道端進行防禦,而是在企業內部偵測檔案是否有異常存取行為,加上分析封包能力與速度很快,也能能夠將資訊分享給其他資安設備,協助資安人員建構一個高效能的聯合防禦平台。」


▲ Damballa會透過獨家研發的8項偵查及9項風險評估技術,自動化地對網路進行複雜的即時分析,找出有問題網路連線行為。

監控檔案運作 找出可疑連線

現今市面上常見APT解決方案,大致上都是在拆解網路封包後,先與自家雲端資料庫中的特徵碼進行比對,揪出已經被發現過的惡意程式。若發現疑似惡意程式、卻又沒有特徵碼可供辨識時,則會將檔案放到沙箱環境中進行模擬與觀察,一旦發現有問題,除會通知資安人員處理之外,也會將特徵行為寫入雲端資料庫中,由原廠分析並提供給其他企業使用。

只是在企業網路漏洞甚多的狀況下,此種防禦方式明顯無法阻擋駭客入侵,才會導致APT攻擊肆虐的狀況發生。相較之下,Damballa認為無論惡意程式是從社交網站、垃圾郵件等管道入侵,最後都會連回「中繼站」,將收集到的各種訊息,回報給駭客組織,並且等待後續攻擊發起的指令。因此,只要能夠識別此種連線行為,並且通知防火牆、IPS等資安設備協防,即可阻止APT攻擊發生,降低企業可能面臨的災害。

唐培毅說:「傳統資安設備雖然也能夠透過黑名單方式,預先阻斷企業內部電腦連回中繼站,但是在多數中繼站存在時間通常都不到24小時,加上數量龐大的狀況下,黑名單更新速度根本追不上中繼站產生的速度。所以Damballa便根據中繼站產生的變化狀況,研發出以網域產生演算法(Domain Generation Algorithms,DGA),找出駭客自動產生中繼站的規則。」


▲ Damballa雲端平台每天要分析的惡意軟體標本約為10萬個,等於一年要分析3,650萬個以上,所以惡意軟體偵測率會比其他業者要高出不少。

簡單來說,Damballa會透過獨家研發的8項偵查及9項風險評估技術,自動化地對網路進行複雜的即時分析,一旦發現有檔案連上符合DGA技術產生的中繼站時,就會立刻通知企業內部的資安設備進行阻斷,同時也會在管理平台上顯示有高風險性的端點設備,讓資訊人員能夠進行清除動作。

除此之外,Damballa也在雲端平台上提供沙箱分析的服務,一旦資安人員發現有無法辨識的可疑檔案,如文件檔、apk或執行檔時,便上傳到雲端沙箱平台進行分析,由Damballa協助確認是否為惡意軟體。

唐培毅表示:「Damballa雲端平台每天要分析的惡意軟體樣本約為10萬個,等於一年要分析3,650萬個以上,所以惡意軟體偵測率會比其他業者要高出不少,自然能夠帶給企業較佳的防禦效果,徹底杜絕APT攻擊事件的發生。」

儘管Damballa解決方案售價並不便宜,但因分析惡意程式連線的精準度頗高,所以從國外企業導入的成功案例來看,反而夠避免發生不必要的誤判事件,也能夠提升資訊人員的工作效益,堪稱企業解決APT攻擊的最佳選擇之一。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!