近年來駭客為實施進階持續性滲透攻擊(Advanced Persistent Threat,APT)所設計的滲透程式,幾乎可成功規避現行資安防禦機制,其危害程度,從國際間接連發生遭受入侵成功的新聞事件即可見一斑。資安業界針對APT所提出的解決方案也因應而生,除了既有的FireEye、趨勢科技、Xecure Lab(現為台灣威瑞特)等廠商外,今年又增加Damballa與Lastline進入台灣市場。
DGA偵測專利技術 及時破壞攻擊活動
APT解決方案的特性,大致上是運用DPI(Deep Packet Inspection)分析內部網路流量,經拆解後的封包先行採以靜態比對,若發現無法識別的檔案,隨即自動交由沙箱(Sandbox)模擬端點執行行為,觀察是否出現攻擊活動,最後再將蒐集到的資訊整合至統一管理平台呈現。Damballa Failsafe設備即是部署在網路出口處透過Mirror流量予以分析。
引進Damballa進入台灣的叡廷產品經理唐培毅指出,欲抵禦APT攻擊,偵測能力是關鍵。Damballa的論點是,不論惡意程式從郵件、網頁、隨身碟等任何管道滲透進入,勢必得回撥(Call-back)至中繼站(C&C),並接收下一步執行命令,或是下載其他惡意程式擴大滲透範圍,因此只要得以識別此連線溝通行為,可及時破壞攻擊行動,降低可能的災害。
|
▲Damballa Failsafe設備採Port Mirror方式解析封包,藉此發現內部網路是否存在連線至中繼站的行為,及時破壞駭客活動。(資料來源:www.damballa.com) |
儘管透過網址黑白名單亦可簡單攔阻,但是現今的中繼站已晉升採以網域產生演算法(Domain Generation Algorithms,DGA),變換不同網址逃避追蹤。「偵測此類連線請求的行為正是Damballa的強項,並且已取得DGA偵測技術專利,藉此發現內網的駭客活動,進而阻斷連線,並且在統一控制平台上顯示高風險性的端點設備。」唐培毅說。
至於無法辨識的檔案,用戶可選擇是否要將執行檔、文件檔、apk檔等,送到雲端沙箱進行分析。唐培毅認為,「其實沙箱機制建置在企業內部,或完全交由雲端平台來提供,各有優劣。以雲端平台為主的方式,最大的特點即是不致受沙箱運行效能限制分析數量,當然仍有企業無法接受高敏感性的檔案送到外部的雲端平台分析,這也正是我們努力溝通的方向。」
全系統模擬沙箱 防止惡意程式反偵測
另一家提供APT防禦技術的Lastline區域銷售總監陳至彥認為,自家方案較特殊之處在於創辦人來自學術界,長期以來專注在分析惡意程式,已建立多年的Anubis免費沙箱檢測網站,因此累積龐大惡意程式樣本與攻擊行為資訊,豐富全球威脅情報(Global Threat Intelligence)資料庫。
沙箱機制被運用在商業化產品必須更嚴謹,避免讓駭客掌握技術細節,才不致被反偵測而失效。所謂的反偵測,指的是惡意程式發作前,會先行檢查執行環境,例如作業系統版本、記憶體、螢幕解析度等條件,若不符合可能會選擇繼續潛伏(Dormant),直到沙箱分析程序結束;或是用拖延方式,讓系統執行該檔案時產生迴圈,使得惡意程式代碼(Malicious Code)延後被執行。
|
▲Lastline代管中控平台(Multi-Tenant Manager)與沙箱機制(Engine)的應用模式,企業內部僅需建置Sensor主機解析網路封包,適用於多據點的企業環境。(資料來源:Lastline) |
但Lastline並沒有這方面的顧忌,其沙箱環境設計是全系統模擬(Full System Emulation),從核心層觀察並記錄程式碼執行活動,更難以被惡意程式查覺而設防。陳至彥說明,全系統模擬的沙箱環境,除了應用程式與作業系統,亦包含CPU、記憶體的實體配置,同時偵查機制可深入至核心層的CPU指令集,以及載入至記憶體的執行緒,更清楚掌握該程式在端點運行時可能的活動,像是規避偵查的方式、鍵盤側錄、取得帳號與密碼等,甚至是執行完畢後衍生更多不同目的Subject(惡意代碼),進一步開始連線至中繼站位址的各式行為。
「Lastline運用沙箱技術,目的雖是為了協助偵測惡意行徑,同時也將動態分析掌握的攻擊細節,回饋累積到威脅情報資料庫,提升日後防禦政策的有效性。」
代管應用模式 彌補專業人力不足
Lastline的APT解決方案包含中控平台(Multi-Tenant Manager)、沙箱機制(Engine)、網路封包分析(Sensor),以及全球威脅情報資料庫,部署方式可選擇企業內部自建,或是中控平台與沙箱交由Lastline代管。陳至彥觀察,選擇自建方式的企業,最大考量莫過於不願將檔案傳送到外部雲端平台,特別是金融、高科技製造、政府單位等資源較不匱乏的大型組織。但多數企業未必有能力雇用專業資安人員或事件回應(Incident Response,IR)團隊即時處理問題,代管應用模式反而更適合本土企業環境。
在代管應用模式下,企業內部僅需建置Sensor主機,以檢查封包中是否含有惡意程式物件、連線行為,發現後產生告警,並且自動將蒐集的情資資料提供給已整合的防禦設備,例如HP TippingPoint安全管理平台(Security Management System,SMS)收到後會自動轉換成為防禦政策,再更新到NGIPS/NGFW,由既有的資安設備進行阻擋工作。
「即使駭客攻擊的手法轉變,造成現有的資安技術無法辨識新型態惡意程式,但防毒、防火牆、入侵防禦偵測等建置機制仍同等重要,只是欠缺攻擊情資資料,則可由Lastline補足。」陳至彥說。除了整合HP TippingPoint以外,透過代理商中飛科技協助,已納入多種企業端常見的防禦設備,如Fortinet、Palo Alto、Juniper等,建立自動聯合防禦。針對網路鑑識方面,Lastline在台灣則是跟Niksun設備整合。在發現端點遭受感染後,Lastline可清楚列出事前、事中、事後的行為軌跡,並提供Niksun進行鑑識,以追蹤感染源。