近年來郵件安全問題已不再是傳統防毒、防垃圾郵件等機制得以涵蓋,欲因應新型態駭客攻擊行為,防禦機制勢必需要有所精進。FireEye技術經理林秉忠認為,現階段的郵件安全,對於垃圾郵件的防堵不外乎特徵碼比對,但是魚叉式APT攻擊則必須仰賴新的偵測機制來協助找到未知型攻擊。
就現有的技術來看,針對未知型攻擊程式的處理方式,大致不脫離靜態的逆向工程(Reverse Engineering),以及動態的沙箱模擬。林秉忠說明,所謂的逆向工程即是惡意程式樣本分析的主要方式,運用虛擬環境,也就是沙箱技術,觀察實際執行行為。萬一觀察行為模式仍無法得知攻擊資訊,必須進一步將程式碼拆解,即是運用類似IDA的反組譯與除錯工具,記錄CPU暫存器的指令執行狀態,並繪製程式流程圖,來發現隱含的滲透代碼。
|
▲FireEye技術經理林秉忠提醒,在測試評估沙箱產品時,必須是有目的地進行測試,意思是針對廠商提供的測試樣本之可驗證的功能及其意義,皆須有所掌握,才有能力辨別差異性。 |
而動態沙箱則是FireEye所擅長,也就是自行研發的MVX(Multi-vector Virtual Execution)引擎,搭配動態威脅情報雲(Dynamic Threat Intelligence,DTI),蒐集來自全球最新的威脅資訊、駭客攻擊手段與技術等情資,不斷提升分析引擎辨識的智慧。當然靜態與動態各有不同的優缺點,例如沙箱較耗費資源、執行分析需要時間;而逆向工程則是難度較高,產出的報表更非IT人員可理解,往往要程式開發人員才有機會看懂。
該動態模擬分析引擎已內建於FireEye Email Security設備,當傳統防毒、防垃圾郵件等郵件安全閘道器過濾完成已知型攻擊後,Email Security則是處理未知型郵件攻擊,可以部署為In-line、Mirror、BCC模式,在辨識為威脅時逕行攔阻,甚至未來可能朝向整合傳統防毒、防垃圾郵件為單一解決方案,畢竟現今的APT攻擊,就如同早期的垃圾郵件,長期來看,未來可能會出現完整的「Anti-APT」機制,只是目前耗費資源過重的問題尚待克服,尤其是沙箱式的解決方案。當然也有廠商是仰賴雲端平台提供模擬分析,即可彈性調整與擴充資源來因應,但是在台灣又會被法規、資安政策等因素牽制,因此現階段的企業仍是以自建為主。
FireEye專注於提供APT攻擊解決方案,針對各式可能被滲透的管道與執行環境設計相對應的措施,即便是封閉性著稱的Apple系統,也可能存在安全問題,FireEye亦經由合作方式取得Apple官方同意,讓旗下的Mobile Threat Protection,不只可分析Android系統的Apk檔,也包含Apple平台技術的Ipa檔,讓IT管理者與終端用戶,藉此得知各式App的執行行為,及其潛在風險性,以確保行動應用安全性。