早在七年前就開始研究APT(Advanced Persistent Threat)攻擊的趨勢科技,二年前為了因應日漸增多的客戶遭受APT攻擊滲透,成立資安事件調查(Incident Response,IR)團隊協助處理,至今已承接過超過250個專案,亦藉此累積駭客攻防戰的實務經驗,近年來更進一步將防禦技術商品化,開發出Deep Discovery解決方案,期望協助更多組織單位與企業建立新型態惡意威脅的偵測機制。
Deep Discovery解決方案中,除了DDI(Deep Discovery Inspector)設備於閘道端執行網路流量監控、即時分析與報告,以及採用沙箱技術設計的DDA(Deep Discovery Analyzer)動態分析設備,2014年又陸續添加DDES(Deep Discovery Endpoint Sensor)端點裝置防護、DDEI(Deep Discovery Email Inspector)郵件防護,並且偕同旗下的OfficeScan端點安全平台、InterScan Web Security網頁安全過濾相互連動,同時整合第三方的HP TippingPoint與ArcSight防禦系統,幾乎涵蓋可能被駭客利用來發動滲透的重要管道。
 |
| ▲趨勢科技新推出的DDEI(Deep Discovery Email Inspector)郵件防護設備,協助企業從最容易被駭客用來發動攻擊的電子郵件,建立偵測機制。(資料來源:趨勢科技) |
趨勢科技資深產品經理吳韶卿指出,若企業端預算有限,初期希望從入侵攻擊最常被利用的郵件系統進行偵測,即可採用最新的DDEI設備,內建靜態與動態偵測引擎及URL分析,若偵測到未知型惡意程式,可選擇直接執行攔阻,或依據風險等級的高低,以決定郵件隔離檢查的必要性。
重要文件須經由郵件傳遞時,為了避免外流,常會在文件中加設密碼保護。
此日常溝通模式,如今已開始被駭客利用,在惡意郵件內文中直接提供附件密碼,誘使收件者開啟。而DDEI設計的模擬偵測方式,是抓取關鍵字以實際輸入密碼開啟檔案,觀察該附件的執行行為是否存在惡意。
萬一端點已被惡意程式滲透得逞,則可安裝DDES以掌握軌跡資訊。透過DDES在背景監視與追蹤惡意程式正在連線的中繼站、檔案名稱、擴散的範圍等資訊,即可協助調查與分析攻擊入侵。
就如同資安事件調查團隊到事故現場蒐證,也會採用工具輔助,只是DDES更多了Endpoint Sensor Manager管理程式,可提供互動式儀表板檢視與追蹤調查結果。
在DDI蒐集到特定入侵指標(Indicators of Compromise,IOC)後,可提供給DDES,或是在DDES中納入OpenIOC及YARA等參數值,以擴大蒐集諸如通訊連接埠、系統登錄活動與執行程序、所有檔案相關資訊等,最後以圖形化方式呈現調查與分析結果,協助處理事件調查中繁瑣的工作。「已設置資安團隊的組織單位,如今即可利用自動化工具協助執行基本的資安調查,除非需要更深入分析時才尋求專業廠商協助即可。」吳韶卿說。