看重APT(Advanced Persistent Threat)攻擊在國內備受關注,Comodo正式來台推出Endpoint Security Manager(ESM)企業安全管理系統。強調以防毒、自動沙箱(Auto-Sandbox)專利技術為核心,搭配整合端點防火牆、惡意程式防護、入侵防禦(Host-IPS)、效能監控、資產盤點等功能,欲提供企業完整的系統安全管理,免於遭受未知型攻擊程式入侵。
在2008年Comodo ESM推出時,雖定位為防毒軟體,其產品研發架構即已跟眾家防毒廠商思維不同。台灣科摩多總經理余彩武說明,Comodo ESM是基於「Default Deny」架構設計,同樣仰賴特徵碼比對,卻是屬於逆向方式,也就是執行的應用程式必須經過白名單列為允許,否則一律交由隔離的沙箱環境啟動。例如LINE程式一旦經過更新,Hash值隨即變更,對系統而言成為未知型程式,即必須在沙箱中運行。
上述的機制Comodo稱為Defense+。相較於市場上熟知的資安設計,則皆為「Default Allow」,意思是特徵碼比對若沒發現異常,即列入信任並放行。「長期以來大都以此方向發展防護機制,才使得近年來常發現以合法掩護的惡意程式成功滲入,遭受APT攻擊。」余彩武強調。由於在Default Deny架構下,會出現白名單數量不夠多,導致使用者的應用程式無法執行,勢必會引起反彈。因此必須搭配自動化沙箱,讓未被列入白名單的檔案或應用程式可藉此正常執行。使用者仍可自行安裝軟體,且不需要請MIS將該軟體列入白名單即可先行開啟,才不致影響使用者操作行為。
|
▲COMODO專利申請中的自動沙箱(Auto-Sandbox)技術,在用戶端執行不被允許的程式時,可自動移至隔離運行的環境,以免遭受未知型攻擊。(資料來源:台灣科摩多) |
之所以直接將防禦機制建立在端點,而非搭配伺服器系統、閘道端、雲端服務共同運行,主要考量是多數的針對性攻擊都是使用者行為導致。而資安機制之所以搭配雲端服務平台分析,其中一項因素是為了減緩偵測運行時可能帶來運算資源過度耗用,而Comodo ESM已克服效能不彰的問題。余彩武說明,Comodo ESM運行核心只有兩支程式,且具有效能限制,每支程式在記憶體中執行不會超過7MB的記憶體消耗量,如此才得以避免影響效能。
較特殊的是,Comodo提供了無病毒保證(Virus-Free Guarantee),只要客戶的電腦中安裝Comodo ESM,已開啟內建五大安全防禦機制,也就是防毒、防火牆、主機入侵防禦、自動沙箱,以及文件信用評估,經過原廠線上技術支援確認後,仍遭受病毒或惡意程式入侵,尋求技術支援也無法有效清除時,只好重新安裝作業系統或送至硬體廠商維修,所衍生的費用即可向Comodo申請支付,單一事件最高可有台幣十?五萬元(美金五千元),足以顯見Comodo對自家產品的信心。