企業開始正視資安的概念,最早可說是以防毒軟體為基礎逐漸演進。不論是伺服器主機、桌上型電腦、筆記型電腦,防毒軟體可說是必備的元件之一。隨著駭客技術、攻擊手法不斷創新,防毒機制也早已隨之進階成為端點安全防護,組成元件開始加入端點防火牆、IPS(入侵防禦系統)等機制。
另一方面,許力仁認為端點安全軟體都是在作業系統之上運作,主要是用來偵測運作於應用層的惡意程式,而Rootkit既然可以達到隱藏式攻擊,即表示擁有作業系統核心技術能力,同時也可讓惡意程式在驅動層運行,甚至一開機就會自動被載入,如此一來,就會發生如同以往常發現病毒程式被「咬住」始終無法移除的狀況。
由於這些惡意程式擅於隱藏,即使端點防護軟體得以深入到驅動層的偵測與保護,也無法查覺到這些隱藏的惡意程式。因此McAfee已開始跟Intel共同合作,在Core i3、i5、i7處理器內含McAfee DeepSAFE技術,從BIOS層就開始防護。不論是嵌入式、行動裝置、桌上型電腦、筆電,端點上所有功能啟動同時就檢查有沒有Rootkit,發現後立即通知Deep Defender清除。
雲端防護不可或缺
時至今日,端點安全不只要做到防毒,更要防駭。然而駭客產出惡意程式的速度之快,張士龍以賽門鐵克在2012年所做的統計數據為例,每一天就有上百萬支變種程式出現,已經不是更新偵測引擎能夠因應。
如今病毒、攻擊、間諜等惡意程式的總數量逐年增長,每一季統計增加量至少都是六百萬以上,至今已達上億之多。龐大的資料量逐年累積下,僅採用以往更新防毒引擎病毒碼的方式,不但跟不上惡意程式增長的腳步,同時也會產生效率方面的問題。因此端點安全業者無不想方設法要解決龐大惡意程式比對的問題,同時要能因應最新型態攻擊行為,於是搭配雲端防護機制成了各家廠商發展的方向。
早在2008年,趨勢科技就已發佈利用雲端資料庫來進行比對偵測的Smart Protection Network架構。戴燊說明,傳統的防毒架構不外乎代理程式、Script、病毒碼,而病毒碼比對方式簡單來說,就是利用CRC(Cycle Redundancy Check)做檔案的比對。在OfficeScan運用雲端技術後,端點雖同樣需經過掃描引擎來偵測,卻變成不再只有病毒防護,若發現不認識的檔案,會先送到Smart Scan Pattern,利用Script先行過濾、判斷。
若發現不是病毒,會再詢問本機,運用雲端技術新增的Smart Filter,仍無法辨識是否為病毒,才會再進行CRC Cache的比對,最後才會詢問雲端資料中心,依據所有的CRC資料庫來進行比對,完成之後不管是否為病毒都會在CRC Cache中留下資料,下次再掃描時就不需經過這一道程序。
而McAfee檢測未知的檔案,是採用GTI(Global Threat Intelligence)雲端防護機制中所包含檔案信譽評等服務,當使用者經由電子郵件或是網站收到一個檔案,經本機比對後發現是個未知型的可疑檔,會自動將該檔案經由雜湊(Hash)演算法產生指紋(Fingerprint)資料送到GTI比對,來了解該未知檔的風險等級。
賽門鐵克在2012年時針對雲端防護機制亦推出檔案信譽評等服務,張士龍說明,一旦使用者執行了一個陌生的檔案,經過檔案信譽評等機制比對,尚未出現使用過該執行檔的用戶,系統會自動跳出警告視窗,詢問是否仍然要繼續執行。
同樣也是在2012年新增加檔案信譽評等的卡巴斯基安全網路(Kaspersky Security Network),呂政穎指出,惡意程式會透過各種手法誘騙使用者點選,因此要有效攔阻就是在使用者執行檔案的當下,比對該檔案在雲端資料庫中所屬的風險等級,搭配應用程式權限控制機制,進一步將檔案分配到不同等級的權限群組,危險等級越高在系統中的權限相對越小,以避免使用者誤執行惡意程式所偽裝的執行檔。
 |
| ▲卡巴斯基安全網路(Kaspersky Security Network)統計全球用戶端所使用的應用程式,供端點防護自動建立應用程式權限控制。(資料來源:湛揚科技) |
因此有了雲端防護後,原本運作流程是發現惡意程式、產生病毒碼、下載更新生效,如今只要一旦發現可疑檔案,就立即跟雲端資料中心的資料庫再比對,不僅可讓比對效率提昇,也才能跟得上病毒出現的速度。