Endpoint Detection and Response Dynamic Application Containment Endpoint Protection Platform Symantec Endpoint Protection Adaptive Threat Protection McAfee Endpoint Security Kaspersky Endpoint Sec OfficeScan WannaCry XGen EPP EDR SEP ATP DAC

端點整合閘道、雲端 建立完整資安防禦體系

2017-07-06
訓練機器學習演算法模型「學會」判別惡意軟體,再部署於端點引擎中輔助辨識未知型檔案,可說是眾家端點保護平台一致的方向,賽門鐵克於今年發布SEP(Symantec Endpoint Protection)第14版大改版中,也強調納入更多人工智慧與機器學習技術,藉此快速偵測新型態惡意程式。

經過實際驗證測試,SEP 14新版確實較上一個12.1版的偵測速度快,但賽門鐵克首席技術顧問張士龍不諱言,現代企業的資安防護,絕對無法僅仰賴單一技術解決所有問題,即便是發展腳步加快的人工智慧與機器學習,也只是眾多技術的其中一環,唯有架構多層次防護,才有能力終止針對性與零時差攻擊。

張士龍以台灣實際發生的客戶案例說明,在執行定期檢測服務時,發現一台內部重要伺服器系統已被駭客滲透,取得惡意程式樣本且經過解析後,確認為特別針對該客戶IT環境所設計。事後處置方式,則是基於解析樣本後取得的屬性特徵,掌握利用來滲透的漏洞,再運用SEP平台內建的主機完整性(Host Integrity)功能檢查內網中所有端點,以便釐清感染狀態,進而進行處置以免再次受害。

針對性攻擊威脅加劇 挑戰資安防禦力

從賽門鐵克日前所發布的第22期網路安全威脅報告(Internet Security Threat Report,ISTR)中可發現針對性攻擊的危險程度,例如去年(2016)年初烏克蘭電廠遭受大規模針對性網路攻擊,電力供應停擺持續六個小時,影響超過上百萬民眾生活,可說是首次針對民生基礎設施所發動的破壞性攻擊。此外,去年底全球注目的美國總統大選,也疑似遭到俄羅斯駭客組織介入系統干擾選情。


▲ 根據賽門鐵克最新發布的第22期網路安全威脅報告(ISTR),2016年共監測到超過100個肆意傳播的新型惡意軟體家族,較過去統計增加三倍。同時,全球勒索軟體攻擊事件的數量較上一年度增長了36%。

從幾起國際間重大資安事件來看,其實發動的方式並未創新,仍舊是以社交工程郵件為主。賽門鐵克網路安全威脅報告即統計,2016年期間,每131封郵件中,便有一封包含惡意連結或附件,惡意郵件佔比為五年來新高。值得關注的是,愈來愈多網路犯罪者利用Windows內建的PowerShell,呼叫正常程式執行滲透活動,不僅可繞過防禦機制偵測,也不容易留下犯罪的軌跡。

另一方面,企業對於雲端服務的接受度逐年提升,但至今卻未能建立有效的防護措施,甚至連內部員工採用雲端服務的數量,也大多無法掌握。賽門鐵克網路安全威脅報告即指出,大多數IT人員認為自家企業內採用的雲端應用數量至多40種,但實際調查結果卻是接近1,000種。認知差距如此之大,恐將為企業帶來更多資安風險,尤其在尚未制定雲端應用控管規範之下,員工往往只考量便利性,卻忽略了可能為公司帶來的危害。

解決雲端應用失控 降低整體資安風險

▲ 賽門鐵克首席技術顧問張士龍建議,核心系統欲有效防範勒索軟體威脅,只要善用應用程式控管功能中提供的白名單機制,非允許執行的程式欲存取文件,立即逕行阻擋。不需要特徵碼偵測,也可避免遭受加密勒索危害。
為了因應IT應用模式轉變、攻擊手法複雜度增加,賽門鐵克於2016年正式收購老牌資安廠商Blue Coat後,亦積極進行整合來強化既有防線,建立貫通端點、閘道端、雲端的聯合防禦。

張士龍認為,端點保護平台逐漸擴展閘道安全技術能力,可說是近年來的趨勢,不只賽門鐵克如此,趨勢科技收購TippingPoint也類似。「其實閘道端提供Proxy、URL Filter機制,實用性相當高,因為Proxy機制較Inline架構檢測方式不同,由於網路封包有最大傳輸單位限制,萬一資料量過大會自動切分遞送,到目的地再組合封包成完整檔案。若為Inline架構執行檢測,單獨的封包可能無法察覺問題,即被判斷為安全,實際上則是要經過封包組合後才會發現問題。而Proxy機制就是待完整封包組合後才遞送到目的地。」

在賽門鐵克取得Blue Coat ProxySG技術後,現階段仍延續以往的產品發展架構,以平台方式整合更多第三方資安廠商的技術共同防護,一旦掃描發現問題,則可透過REST API主動通知SEP平台,阻止端點用戶執行並加入黑名單,建立聯防機制。用戶端環境之所以遭受感染,常見的狀況是未安裝重大修補程式、未更新病毒碼,可能是網路連線品質不佳、作業系統版本過於老舊等問題所導致,針對這類高風險的終端,閘道端安全機制不僅要協助防護,同時具備主動通知中央控管平台的能力,以便儘快執行反應措施。

賽門鐵克以新版本SEP 14為基礎建立的聯防,不僅是整合閘道端,亦包含資料外洩防護(DLP)。早在賽門鐵克收購前,Blue Coat就已開始往雲端應用發展,於2015年併購取得雲端存取安全代理(CASB)業者Elastica的技術,接下來會進一步整合DLP來提供雲端應用防護。

在賽門鐵克網路安全威脅報告中,針對雲端服務採用數量的統計,是透過CloudSOC服務來執行,才得以反映出實際狀態,這也清楚凸顯出影子IT問題目前仍尚待解決。若IT始終未能掌控公司內部雲端服務應用狀態,猶如管理權交由使用者自行處理,如此一來,極可能成為資安方面最大的隱憂,導致IT面臨失控狀態。

如今賽門鐵克整合雲端存取安全代理服務,當資料被上傳到雲端平台,即可透過CloudSOC記錄存取狀態,同時透過使用者行為分析(User Behavior Analytics,UBA)、威脅偵測等技術,來協助IT掌握以往無法獲得的雲端應用資訊,藉此查看被允許與未經允許的行為,進而透過資料外洩防護技術,主動掃描Office 365、Google Suite、Dropbox等雲端平台上存放的資料內容,以避免機敏檔案被分享外流而IT卻一無所悉。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!