基於網路層提供安全防禦的Blue Coat,也有提供資料外洩防護(DLP)設備,在台灣卻較少推廣,Blue Coat技術總監曾良駿說明,因為以資料外洩風險來看,更多是來自被植入惡意程式引發,必須優先被處理,或是建立事後得以追溯整個事件來龍去脈的機制,才有機會還原真相,以避免資料再次被竊取。
資安防禦機制本就是評估高風險性入侵管道後,逐步增添來自不同領域技術組合而成,而各式機制在獨立運行下,勢必要將其產出的資訊統整與關聯後,始得以完整掌握連線存取行為的樣貌,並進一步採以內容分析才有機會達到預防效果。
 |
| ▲Blue Coat技術總監曾良駿提醒,資安威脅永無停止之日,防禦技術與應用勢必也會持續演進,同時IT人員亦需即時跟上腳步,才有能力確實把關重要資料不外流。 |
「Blue Coat日前發布的Solera資安分析平台,結合三種軟體式刀鋒(Blade):WebThreat、MailThreat、FileThreat,只需一次拆解封包,即可比對與辨識三種不同通訊協定的應用資訊,可全面性查看異常行為並立即發出警告。更重要的是,此平台可整合諸如Palo Alto、Splunk、FireEye、ArcSight等資安系統所產生的資訊,同時亦可將未知型檔案透過Content Analysis System設備的Sandbox技術模擬分析取得更多資訊,」曾良駿說,其部署方式是透過Tap/SPAN Port複製流量來取得分析資訊,不須變更網路架構即可運行。
他進一步說明,傳統的資安事件管理平台(SIEM)較類似通聯記錄,無法得知封包內容資訊;IPS/NGFW擅長的是偵測單一封包的合法性,不深入至封包內容。Solera資安分析平台內建Layer 2至Layer 7的深度封包檢測(DPI)機制,可透過Root Cause Explorer重構可疑的網路連線等行為。假設Palo Alto設備上執行攔阻,點選該事件時,會自動出現視窗詢問是否要從Solera上啟動;或者在Solera上將該事件的前、後流量相關資訊皆取出,即可藉此察覺根本原因(Root Cause)。
至於防範APT攻擊的Sandbox技術,是由Content Analysis System設備內建模擬多種作業系統來運行偵查,提供動態與靜態兩種機制。當連線封包經過時會先進行白名單比對,若未被列在名單中,放行至用戶端的同時,該檔案亦會交由Sandbox運行分析,發現有問題即可通知用戶與管理者。其分析結果會區分事件等級,以指出問題的嚴重性,例如未知型檔案行為可能會修改系統的Registry、呼叫核心DLL檔等,分別以不同威脅等級標示。最後的資訊同時會回饋到雲端資料庫,再更新至全球用戶端,深入系統、廣及全球,才可降低事件再次發生的機率。