Lastline Damballa Verint 趨勢科技 威瑞特 亞利安 APT 資安 攻擊 威脅 安全 中飛 叡廷

優先顧及小企業需求 全模擬沙箱偵測更精準

2015-07-08
近兩年多家國際企業遭到APT攻擊,導致發生大量機密資料外洩的事件頻傳,美國連鎖百貨賣場Target的資訊長與執行長,甚至還因此下台負責。多數資訊長或資訊人員,心中應該都有想要建構完善防禦機制的念頭,只是要添購新型態防禦設備往往得付出極高成本,尤其市面上號稱能夠阻擋APT攻擊的設備,一台通常都得花費百萬以上,而且每年還得支付維護費用,才能取得最新防禦資訊,這對台灣中小企業不僅是天方夜譚的數字,也會讓許多中大型企業考慮再三。
中飛科技產品行銷處產品經理孫英家說:「傳統APT防禦設備的價格門檻很高,加上每年都得支付維護費,讓許多企業用戶無力購買。所以我們特別引進Lastline解決方案,資安人員可以把免費軟體安裝在一般x86平台上,只要每年支付維護費用即可,所以就算是資金、人力有限的中小企業,也能夠輕鬆建構APT防禦機制。」

創立於2011年的Lastline,是由Engin Kirda、Christopher Kruegel和Giovanni Vigna共同成立,由於三位專家在防禦惡意軟體、對抗惡意攻擊對策方面,擁有多年豐富經驗,所以合力為防禦APT攻擊推出的商業解決方案,也受到許多雲端服務商、企業用戶的肯定。

代管、多租戶齊下 滿足企業實際需求

Lastline推出的APT解決方案,是由中控平台、沙箱機制、網路封包收集,以及全球威脅情報資料庫所組成,由於企業不需要斥資購買設備,只需軟體安裝在普通x86伺服器上,所以在採購成本上相對便宜不少。至於產品部署方面,可選擇全部由企業內部同仁自行維護,亦能向Lastline雲端服務租賃中控平台、沙箱機制,公司僅保留網路封包收集機制,降低企業用戶的人力負擔。

Lastline區域銷售總監陳至彥說:「雖然雲端服務已經很成熟,多數企業也都能夠接受此種服務,不過仍然有許多金融、高科技製造、政府單位等寧可自建防禦平台,除擔心檔案傳送到雲端平台的安全問題之外,也是為了符合資料不得攜出境外的規定。事實上,Lastline雲端平台不但很安全,更能彌補多數台灣企業都缺乏足夠資安人員的問題,所以雲端代管模式反而很適合中小企業。」


▲Lastline在台灣藉由中飛科技協助,不僅成功拓展市場同時也擴大與多種資安設備的整合。由左至右為Lastline區域銷售總監陳至彥、Lastline區域銷售工程師諶沛傑、中飛科技產品行銷處產品經理孫英家。

考量到小型企業的需求,Lastline也積極跟全球各雲端業者、電信業者合作,提供多租戶的雲端服務方案,如在台灣市場是與中華電信合作,只要企業用戶是租用中華電信的寬頻網路,僅需加購HiNet資安艦隊的服務,便能享受到APT狙擊手標準版服務。中華電信在HiNet網路機房端,是以Lastline架設APT防護分析管理平台,提供APT狙擊手標準版服務,系統會自動檢視客戶網路流量與信件中,是否含有APT異常行為與惡意檔案。由於網路封包會回傳到後端平台處理,並運用沙箱機制迅速找出受駭客戶,阻止客戶再度連線到有害網站,達成防堵 APT攻擊的目標。

結合其他資安設備 建構聯合防禦平台

由於APT是透過攻擊型態多變的手法,許多資安業者都會用沙箱技術分析可疑程式的運作,而駭客組織為了躲避追查,也在惡意程式中預先加入反偵測功能。簡單來說,就是在惡意行為啟動前,會先確認環境中的作業系統版本、記憶體、處理器等狀況,一旦發現程式是處於虛擬環境之中,則會選擇繼續保持偽裝狀態,靜待通過沙箱分析這關之後,再伺機行動或散播到其他電腦之中。

Lastline區域銷售工程師諶沛傑解釋,Lastline雖然也是採用沙箱模擬技術,但在沙箱環境設計上,是採用全系統模擬方式,而非市面上常見的虛擬環境模擬。這項技術最特別之處在於,處理器、記憶體、應用程式與作業系統等都是採用與實體環境相同的配置,所以不容易被惡意程式察覺。


▲ Lastline偵查機制可深入硬體層的核心架構,對處理器、記憶體的運作進行監控與分析,清楚掌握可疑程式在端點運行時的狀況。

此外,該系統內建的偵查機制,可深入硬體層的核心架構,對處理器、記憶體的運作進行監控與分析,能清楚掌握可疑程式在端點運行時的狀況,如果發現軟體有刻意規避資安設備偵查、側錄鍵盤輸入資訊、複製帳號與密碼等動作,乃至於連線至疑似中繼站時,系統就會立刻封鎖該程式的運作,避免發生任何資料外洩的可能性。

更重要的是,Lastline建有雲端威脅資料收集中心,各地系統也會將動態分析結果,加入到威脅情報資料庫之中,進而大幅提升惡意程式的偵測率與速度,有助於快速找出駭客組織新型態、客製化的惡意程式,降低企業遭受到APT攻擊的風險。

陳至彥指出:「儘管Lastline在偵測APT攻擊行為上,有許多獨到之處,但若要建構一個安全無虞的資安環境,仍然必須企業內部現有的防火牆、入侵防禦偵測等相互搭配,才能保護伺服器、端點裝置的安全,所以Lastline也能其他資安設備串連。」

根據LastLine提供資料顯示,除已與HP TippingPoint順利整合之外,在台灣市場方面,在中飛科技的協助下,亦能與Fortinet、Palo Alto Networks、Juniper等資安設備整合,建構出自動聯合運作的防禦平台。

孫英家指出,隨著數位鑑識工作日形重要,Lastline也已能夠與Niksun設備順利整合,能夠清楚列出事前、事中、事後的行為軌跡,有助於資安顧問進行事後鑑識,找出遭致APT攻擊的真正弱點感染源,相信對保護企業整體安全會帶來很大幫助。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!