基於在垃圾郵件領域累積多年的樣本與實作經驗,Cellopoint(基點資訊)深入研究APT滲透模式,除了提供APT郵件攻擊防禦方案,更進一步推出用以解析網路封包的Probe設備,辨識與攔截來自郵件、網頁、檔案以及Android裝置的APT攻擊行為。
Cellopoint行銷業務總監王彥雄說明,近年來CelloLabs深入研究垃圾、釣魚、詐騙等惡意郵件發現,駭客開始改以時間差的手法,在郵件發送一段時間後,等到郵件中附加的連結網址通過資安機制檢測,才將惡意程式嵌入至該網站。因為掌握許多此類可繞過資安偵測技術的樣本,促使Cellopoint除了研究郵件結構外,也發展URL行為分析,以掌握駭客穿越防禦底線手法,才能有效偵測與避免同樣事件發生。
|
▲Cellopoint行銷業務總監王彥雄指出,掌握郵件、網頁、檔案、行動裝置的流量資訊後,進行關聯與整合分析,並且在儀表板上明確標示事件等級,讓IT管理者藉此一目了然需優先處理的事件,以免重要資料因此外流。 |
「就APT攻擊的生命週期來看,七成以上的攻擊行為是採以郵件發動,Cellopoint多年來深入分析與研究,建立相對應的防禦機制,當然也包括附加惡意程式文件檔樣本,正逐漸從郵件安全專家邁向Cyber Security,近期推出的Cellopoint Probe設備,即是因應而生的新產品。」王彥雄說。
部署於企業對外網路出口端的Probe,是透過Port Mirror核心交換器的封包來進行分析,即使是行動裝置遭受APT攻擊,正在Callback(回撥)至中繼站,皆可由Probe解析後發現。客戶可藉由威脅分析報告中檢視,或者是Probe發現立即以TCP Reset方式隔離該終端。而APT解決方案必備的沙箱技術,則是透過CelloCloud來提供,搭配類似SIEM平台的Reporter關聯式分析引擎,在產出的報表中標示出威脅風險等級。此外,亦建立威脅情報動態資料庫(Threat Information Database,TID),可取得全球最新的威脅資訊,再同步更新至Probe,先於本地端設備進行靜態比對,無法辨識者才送至CelloCloud進行動態的沙箱模擬分析。
「自APT郵件安全健診推出以來,在客戶端發現,全數客戶皆有遭受惡意程式入侵,即便是已建置最先進的資安防禦設備,同樣無法倖免。」王彥雄說。如今Probe設備加入後,就算已經被植入後門程式,且擴散至整個內網,即可透過Probe上線後予以攔截。
Cellopoint在郵件安全領域持續擴展,進而推出Probe設備分析網路封包,皆是為了因應現代化駭客攻擊手法轉變,必須得將Web、檔案等攻擊一併納入偵測。王彥雄強調,發展策略是以國際大廠為學習目標,發揮Cellopoint既有的專長優勢,打造出更高性價比的解決方案,讓IT預算有限的組織單位也可建立APT防禦機制。