在Websense TRITON APX解決方案中,除了傳統常見的防毒、防垃圾郵件,亦可啟用檔案沙箱、URL沙箱、URL過濾、DLP、Phishing等模組功能。
其中,Phishing模組是近來為了協助企業提升員工資安意識所設計的方案,Websense北亞區技術總監莊添發指出,以往企業端須委由郵件安全廠商提供攻防演練服務,在內部發送精心設計的社交郵件,並記錄員工點選次數,藉此了解資安意識程度。
|
▲ Websense北亞區技術總監莊添發認為,利用郵件發動APT攻擊目的大多為盜取資料,必須要由高層管理者以建置與維運成本、資安控管的角度規劃整合防禦機制,才得以全面保護機敏資料。 |
但Phishing並非為服務,而是解決方案中包含的功能,運用已被攔截的垃圾郵件,或是內含惡意連結的郵件,經自動改寫為正常的URL後,再傳送給該郵件的收件者。郵件安全系統將自動記錄收件者開啟郵件並點選連結的狀態,以及通知該郵件為垃圾信,藉此持續地教育使用者來提升資安意識。此外,也可經由統計報表查看較容易成為攻擊目標的對象,或網路使用行為,以調整資安宣導與教育訓練。
「Websense最大特點,可說是二十?多年來所累積的URL分析資料庫,且每五分鐘更新一次,因此偵測率才得以更精準。」莊添發說。該資料庫主要即是黑名單,蒐集已知的惡意的網址,同時予以分類,包括色情、賭博、廣告等,共有一百四十?多種類別,企業用戶可依據資安規範,針對特定類別自行配置相對應的控管政策。
URL除了資料庫比對式的靜態分析,也具備動態分析能力。當郵件流量進入Wensense郵件安全閘道器,發現內文中含有URL時,即可取出先行透過資料庫比對過濾。
近期駭客為了規避過濾檢測,改利用時間差的進階式攻擊手法,例如在上班日的凌晨發送郵件,內文中附加的URL位址實際上為正常,郵件安全閘道器自然放行。待接近上班時間時,駭客才將惡意代碼嵌入至該網站。因此Wensense作法,不僅是閘道端的過濾與偵測,在使用者端點選時,會自動觸發ThreatScope進行雲端分析。
當然,並非為郵件中所有的URL全部執行分析,而是只針對經過特徵值比對發現並標記為可疑的網址,分析完成後的結果會產生通知視窗。至於郵件附加檔案,經過防毒引擎、模糊式比對等靜態分析,若發現為可疑隨即傳送到ThreatScope進行雲端分析,才決定該郵件應放行或攔截。
莊添發不諱言,將沙箱機制架構在雲端平台,確實曾遇過堅持不願意將檔案送到雲端的企業。但他也強調,Websense並非將所有郵件附加檔全數送至雲端分析,而是僅針對高度可疑的檔案。在企業對雲端服務模式的接受度日漸提升之下,相信舊思維亦將隨之改變。