惡意軟體的製造工具日益精良,大幅簡化全新變種病毒的撰寫程序,然而以特徵碼比對為主的防禦機制,必須蒐集足夠樣本、更新Hash值才得以辨識,速度往往跟不上變種的腳步。
惡意軟體的製造工具日益精良,大幅簡化全新變種病毒的撰寫程序,然而以特徵碼比對為主的防禦機制,必須蒐集足夠樣本、更新Hash值才得以辨識,速度往往跟不上變種的腳步。為了先一步偵測,端點防護軟體大多內建檔案行為模式偵測、信譽評等資料庫等機制,Intel Security提供的ENS(McAfee Endpoint Security),即是搭配全球威脅情報(McAfee Global Threat Intelligence,GTI),輔助提升偵測率。
|
▲Intel Security資深技術經理沈志明強調,不論資安威脅手法如何轉變,防毒軟體始終是必要的建置。對於預算不多的企業用戶,若無力增添沙箱分析技術,至少可運用ENS解決方案搭配TIE來強化防線,降低被突破的風險。 |
在ENS端點防護平台中,包含威脅預防、個人防火牆、網頁控管、防火牆、威脅情報交換(McAfee Threat Intelligence Exchange,TIE)四大模組。Intel Security資深技術經理沈志明說明,之所以在防毒引擎之外逐步納入更多防護機制,主要目的即是為了取得更多資訊輔助比對,尤其是TIE模組,在端點執行的檔案Hash值,可自動傳送至自建的TIE主機系統進行比對,由於TIE不僅擁有GTI的情報資訊,同時可透過DXL協定,取得沙箱分析、IPS、網頁安全等McAfee解決方案的通報,以及來自Innovation Alliance合作夥伴等不同資安技術領域共享的IOC(入侵指標)資訊。
此外,為了因應新型態攻擊模式大多利用前所未見的漏洞執行滲透,根本無法採以特徵碼比對方式發現,必須搭配更多檔案執行行為模式檢查。因此在今年稍晚將發布的ENS 10.2新版本中,新增加DAC(Dynamic Application Containment)的功能,對於未知型檔案,在尚未有足夠資訊判斷是否具威脅性以前,先予以遏制,限制可執行的功能。
由於未知型檔案究竟是否潛藏威脅,必須經由實際執行過後才可得知,近年來資安領域才紛紛採用沙箱技術模擬端點環境,藉此取得未知型檔案更多執行行為資訊協助判別。DAC功能即類似於沙箱的概念,作法是讓檔案在實際環境中真正被執行,但實際上卻是在政策條件控管之下,一旦未知型檔案執行的是變更註冊機碼等惡意行為,即可直接禁止執行。
沈志明進一步透露,預計下半年將推出的ENS 11版本,會再整合其他原本獨立的產品線,例如Host-DLP,除了進一步強化端點防護能力外,對於後續的維運與管控,亦可統一由ePO進行配置,只需單一控管政策即可套用到跨平台系統。企業用戶可選擇自建ePO,或直接採用雲端版本來控管,不僅無須準備伺服器,後續維護、軟體版本升級,皆由Intel Security負責,以減少IT管理者負擔。