駭客的威脅一直都是資安防護裡重要項目之一,而駭客的攻擊方式、手法與形式都不斷地在進步,近年興起的APT(先進持續性威脅,Advanced Persistent Threat)令全世界的企業與政府都非常擔憂。
APT簡單來說,就是一種目標式攻擊。也因為鎖定目標的攻擊,攻擊方會針對攻擊標的物進行資料蒐集,先瞭解目標的組織架構與職掌,再規劃有效的攻擊策略。APT攻擊行動其潛伏期與滲透時間經常長達數月甚至數年,一旦成為APT鎖定的目標,威脅與資安事件經常是持續的在發生,APT是資安的新威脅,所有單位都需要用更嚴謹的思維來防護,也應該部署新的防護措。
因為傳統的防護如防毒軟體(病毒碼比對)、防火牆(封包規則)、IDS/IPS(攻擊特徵/黑名單比對)等被動式資安防禦機制,都會受限於沒有單位的攻擊樣本,而錯失第一波防堵的先機。發生在受害單位的零時差攻擊,多半是高度客製的,防護設備必須能識別未知攻擊與未知漏洞,才能有效因應APT攻擊。
第一個位於以色列境外的Verint研發基地
唯一使用端點掃描機制來偵測APT問題的艾斯酷博公司,於今年併入美國那斯達克上市公司Verint麾下,改成「臺灣威瑞特」對外營運,使臺灣成為Verint第一個位於以色列境外的研發基地,原亞利安科技等現有夥伴,都可持續無縫接軌,而舊客戶亦可無痛升級。
臺灣威瑞特將既有產品XecProbe改為Remote Forensics主要功能予以精進,訴求自動化分析利基,其內建全新惡意程式分析引擎與自動化報告機制,可發揮全自動駭客活動回溯鑑識與分析功能。
原XecMail 郵件威脅防禦系統改為Email Protection,有別於其他砂箱式產品需要密碼才能分析Word、Excel、Power Point等Office加密文件,Email Protection使用專利的APT DNA指紋技術,不需密碼就能分析出惡議程式,透過即時阻擋、威脅分析、活動監控、情資回饋方法,填補舊有資安防護上的漏洞,有效降低單位內機敏資料外洩的威脅及風險。
整治APT 再推兩大新服務
臺灣威瑞特技術長邱銘彰(BirdMan)認為,找出APT並加以清除,絕對有其必要,藉由完整調查搭配整治計畫,避免同樣病症再次發生。但APT攻擊並不會停止,使用方式也不斷更新,為此臺灣威瑞特於近期推出兩項新服務。
一是雲端情資服務,旨在協助企業長期建檔追蹤並判讀1~5級各類威脅,並與其他資料進行比較分析,乃至於追蹤中繼站活動,獲取特定中繼站歷史資料暨相關延伸資料,及Verint每月提供之最新資安研究報告。
其二則是結合Verint藍隊(BlueTeam鑑識團隊)人員現場鑑識、Profiling工具部署、SOP步驟(含蒐集、保存、鑑定、分析)的「整治計畫」服務,旨在徹底還原事件全貌,以作為企業今後資安規劃部署及調整之依據。