訓練機器學習演算法模型「學會」判別惡意軟體,再部署於端點引擎中輔助辨識未知型檔案,可說是眾家端點保護平台一致的方向,賽門鐵克於今年發布SEP(Symantec Endpoint Protection)第14版大改版中,也強調納入更多人工智慧與機器學習技術,藉此快速偵測新型態惡意程式。
經過實際驗證測試,SEP 14新版確實較上一個12.1版的偵測速度快,但賽門鐵克首席技術顧問張士龍不諱言,現代企業的資安防護,絕對無法僅仰賴單一技術解決所有問題,即便是發展腳步加快的人工智慧與機器學習,也只是眾多技術的其中一環,唯有架構多層次防護,才有能力終止針對性與零時差攻擊。
張士龍以台灣實際發生的客戶案例說明,在執行定期檢測服務時,發現一台內部重要伺服器系統已被駭客滲透,取得惡意程式樣本且經過解析後,確認為特別針對該客戶IT環境所設計。事後處置方式,則是基於解析樣本後取得的屬性特徵,掌握利用來滲透的漏洞,再運用SEP平台內建的主機完整性(Host Integrity)功能檢查內網中所有端點,以便釐清感染狀態,進而進行處置以免再次受害。
針對性攻擊威脅加劇 挑戰資安防禦力
從賽門鐵克日前所發布的第22期網路安全威脅報告(Internet Security Threat Report,ISTR)中可發現針對性攻擊的危險程度,例如去年(2016)年初烏克蘭電廠遭受大規模針對性網路攻擊,電力供應停擺持續六個小時,影響超過上百萬民眾生活,可說是首次針對民生基礎設施所發動的破壞性攻擊。此外,去年底全球注目的美國總統大選,也疑似遭到俄羅斯駭客組織介入系統干擾選情。
 |
| ▲ 根據賽門鐵克最新發布的第22期網路安全威脅報告(ISTR),2016年共監測到超過100個肆意傳播的新型惡意軟體家族,較過去統計增加三倍。同時,全球勒索軟體攻擊事件的數量較上一年度增長了36%。 |
從幾起國際間重大資安事件來看,其實發動的方式並未創新,仍舊是以社交工程郵件為主。賽門鐵克網路安全威脅報告即統計,2016年期間,每131封郵件中,便有一封包含惡意連結或附件,惡意郵件佔比為五年來新高。值得關注的是,愈來愈多網路犯罪者利用Windows內建的PowerShell,呼叫正常程式執行滲透活動,不僅可繞過防禦機制偵測,也不容易留下犯罪的軌跡。
另一方面,企業對於雲端服務的接受度逐年提升,但至今卻未能建立有效的防護措施,甚至連內部員工採用雲端服務的數量,也大多無法掌握。賽門鐵克網路安全威脅報告即指出,大多數IT人員認為自家企業內採用的雲端應用數量至多40種,但實際調查結果卻是接近1,000種。認知差距如此之大,恐將為企業帶來更多資安風險,尤其在尚未制定雲端應用控管規範之下,員工往往只考量便利性,卻忽略了可能為公司帶來的危害。
解決雲端應用失控 降低整體資安風險
 |
| ▲ 賽門鐵克首席技術顧問張士龍建議,核心系統欲有效防範勒索軟體威脅,只要善用應用程式控管功能中提供的白名單機制,非允許執行的程式欲存取文件,立即逕行阻擋。不需要特徵碼偵測,也可避免遭受加密勒索危害。 |
為了因應IT應用模式轉變、攻擊手法複雜度增加,賽門鐵克於2016年正式收購老牌資安廠商Blue Coat後,亦積極進行整合來強化既有防線,建立貫通端點、閘道端、雲端的聯合防禦。
張士龍認為,端點保護平台逐漸擴展閘道安全技術能力,可說是近年來的趨勢,不只賽門鐵克如此,趨勢科技收購TippingPoint也類似。「其實閘道端提供Proxy、URL Filter機制,實用性相當高,因為Proxy機制較Inline架構檢測方式不同,由於網路封包有最大傳輸單位限制,萬一資料量過大會自動切分遞送,到目的地再組合封包成完整檔案。若為Inline架構執行檢測,單獨的封包可能無法察覺問題,即被判斷為安全,實際上則是要經過封包組合後才會發現問題。而Proxy機制就是待完整封包組合後才遞送到目的地。」
在賽門鐵克取得Blue Coat ProxySG技術後,現階段仍延續以往的產品發展架構,以平台方式整合更多第三方資安廠商的技術共同防護,一旦掃描發現問題,則可透過REST API主動通知SEP平台,阻止端點用戶執行並加入黑名單,建立聯防機制。用戶端環境之所以遭受感染,常見的狀況是未安裝重大修補程式、未更新病毒碼,可能是網路連線品質不佳、作業系統版本過於老舊等問題所導致,針對這類高風險的終端,閘道端安全機制不僅要協助防護,同時具備主動通知中央控管平台的能力,以便儘快執行反應措施。
賽門鐵克以新版本SEP 14為基礎建立的聯防,不僅是整合閘道端,亦包含資料外洩防護(DLP)。早在賽門鐵克收購前,Blue Coat就已開始往雲端應用發展,於2015年併購取得雲端存取安全代理(CASB)業者Elastica的技術,接下來會進一步整合DLP來提供雲端應用防護。
在賽門鐵克網路安全威脅報告中,針對雲端服務採用數量的統計,是透過CloudSOC服務來執行,才得以反映出實際狀態,這也清楚凸顯出影子IT問題目前仍尚待解決。若IT始終未能掌控公司內部雲端服務應用狀態,猶如管理權交由使用者自行處理,如此一來,極可能成為資安方面最大的隱憂,導致IT面臨失控狀態。
如今賽門鐵克整合雲端存取安全代理服務,當資料被上傳到雲端平台,即可透過CloudSOC記錄存取狀態,同時透過使用者行為分析(User Behavior Analytics,UBA)、威脅偵測等技術,來協助IT掌握以往無法獲得的雲端應用資訊,藉此查看被允許與未經允許的行為,進而透過資料外洩防護技術,主動掃描Office 365、Google Suite、Dropbox等雲端平台上存放的資料內容,以避免機敏檔案被分享外流而IT卻一無所悉。