https://www.informationsecurity.com.tw/seminar/2024_Business/
https://www.informationsecurity.com.tw/seminar/2024_Business/

觀點

【專訪】零時差、無感式攻擊時代來臨! 突破性CDR與沙箱技術提高企業防禦力

2024 / 10 / 31
編輯部
【專訪】零時差、無感式攻擊時代來臨! 突破性CDR與沙箱技術提高企業防禦力
在當今數位時代,電子郵件依然是駭客最青睞的攻擊管道,據統計顯示超過94%的資安事件源自於郵件途徑。OPSWAT北亞區技術顧問周裕華指出:「現今的電子郵件攻擊已不再侷限於傳統形式,駭客運用進階釣魚技術,會先收集使用者在不同平台的密碼,建立資料庫進行交叉比對,大幅提高攻擊成功率。」

隨著企業普遍採用M365等雲端服務,任何裝置都可能成為接收點,更增添了防護難度。除了傳統的惡意程式攻擊外,駭客更發展出各種具隱匿性的無感式攻擊方式,包含進階釣魚技術、QR Code詐騙、圖片隱藏式攻擊等多元形式。特別值得關注的是無檔案攻擊(Fileless Attack)的興起,攻擊者透過腳本程式(Script)取得系統最高權限,進而癱瘓現有的防禦機制,最終再植入實體檔案進行破壞性攻擊。
 

前端防護新利器:CDR技術突破

面對日益複雜的威脅態樣,內容消除重建技術(Content Disarm and Reconstruction,CDR)展現出優異的防護效果。「CDR技術採用接近零信任的防護概念,不依賴傳統的特徵碼比對,而是採取徹底的檔案解構、威脅清除與重建流程。」周裕華強調,這種防護方式特別適合對抗未知威脅,尤其是針對尚未被資安社群識別的零時差攻擊。

他解釋,OPSWAT的方案整合33個防護引擎,並結合CDR技術,對郵件內文、附件進行全方位掃描。這套系統能夠識別隱藏於圖片中的惡意程式,也可偵測經過偽裝的網址連結。

因應近期QR Code詐騙事件增加的趨勢,OPSWAT特別開發專門的QR Code防護機制。「當使用者掃描QR Code時,系統會自動產生具備更高安全性的第二個QR Code,並透過30多家情資服務供應商進行掃描驗證,一旦發現惡意內容,系統將即時阻擋,確保使用者安全。」周裕華解釋道。

然而,在實務應用上,由於CDR需要進行完整的檔案處理流程,企業在導入時必須在系統效能與安全性之間尋求最佳平衡點。
 
「企業應該依據產業特性與法規要求,選擇適合的防護引擎組合。」周裕華建議,「特別是在推動資安防護時,IT部門常面臨方便性與安全性的矛盾。以郵件過濾為例,既要滿足高階主管對即時收件的需求,又要確保資安控管得當,這需要透過靈活的解決方案來平衡。」

企業防護策略的差異化思維

「企業資安防護的重點應著重於建立前端防線,預防勝於治療。」周裕華強調,單純依賴EDR 或MDR 等後端解決方案,往往為時已晚。

OPSWAT區域銷售總監游承岳特別以實際市場經驗指出不同產業對資安防護的需求與執行程度存在顯著差異。

他分析:「金融業因受到金管會要求,在資安防護的執行上相對積極主動。」金融業須配合金管會要求定期進行資安檢測與演練、對於系統可用性與資料完整性要求極高、需要即時偵測與防護能力,降低資安事件影響並建置完整的資安事件應變與通報機制。

「我們建議金融業客戶採用多重防護引擎配置,並搭配CDR技術,確保每個可能的威脅進入點都受到嚴密保護。」周裕華補充。

在政府單位方面,游承岳觀察政府單位在推動資安措施時常面臨預算與行政流程等挑戰,但隨著《資通安全管理法》的實施,已開始建立更完善的防護機制。政府單位需依據資通安全責任等級分級表進行防護,但預算編列與採購程序較為複雜、資安意識培訓需求大,並且需要須因應開放資料與便民服務的安全需求。

游承岳說明,「針對政府單位,我們會提供符合政府採購法規範的解決方案,並特別強化教育訓練與技術移轉的部分。」

游承岳也觀察到製造業的資安現象:「隨著工業4.0和智慧製造的發展,製造業逐漸重視資安防護,特別是在工控系統(ICS)的防護方面。」製造業面臨的挑戰包括:OT與IT環境的資安整合需求、生產系統運作不能中斷的要求、設備商與供應商的資安管理、智慧製造帶來的新興資安威脅等。

「科技業普遍具備較強的資安意識,但也面臨較多的進階攻擊威脅。」周裕華指出。科技業尤其在智慧財產的保護、研發環境需要靈活的存取控制、以及遠端工作模式和APT攻擊的挑戰。

對此,周裕華提出三大建議:
  • 分級防護:依據資料與系統重要性,實施不同等級的防護措施
  • 客製化配置:根據產業特性,調整防護引擎的組合與設定
  • 持續優化:定期檢視防護成效,並根據新興威脅調整防護策略

次世代沙箱技術的突破性進展

在威脅偵測技術方面,周裕華表示:「傳統沙箱技術最大的問題在於分析時間過長,往往需要數分鐘才能完成單一檔案的掃描,這對企業日常運作造成很大影響。OPSWAT的次世代沙箱技術較傳統技術快速十倍以上,透過AI技術與威脅情資整合,能在幾秒內完成分析,有效解決傳統沙箱因timeout設定而被規避的問題。」

這套系統採用多層次防護架構,整合了多項先進功能:
  • 環境檢測機制:能精確識別惡意程式的執行環境需求
  • 休眠時間確認:防止惡意程式透過延遲執行來規避檢測
  • URL信譽引擎檢查:即時驗證可疑連結的安全性
  • IOC(Indicators of Compromise)資料庫比對:快速識別已知的威脅指標
  • 駭客組織關聯性分析:追蹤並分析可能的攻擊來源與手法
此外,OPSWAT系統特別創新地導入ChatGPT技術,協助分析人員快速理解威脅特性。「當分析人員遇到特定威脅時,系統能即時提供威脅特徵說明,特別適合處理Tudor或其他複雜惡意程式的分析工作。」周裕華強調,「這項功能特別能幫助非專職資安分析人員快速掌握威脅態樣,提升應變效率。」

在實務應用方面,次世代沙箱展現多項優勢:
  1. 快速威脅鑑識:透過多重分析引擎並行運作,顯著縮短掃描時間
  2. 準確度提升:結合AI技術與威脅情資,降低誤判率
  3. 威脅關聯分析:能自動建立威脅事件之間的關聯性,協助掌握攻擊脈絡
  4. 即時防護回饋:分析結果可即時回饋給防護系統,強化整體防禦能力
周裕華特別指出,「面對無檔案攻擊的威脅,我們的沙箱系統能夠模擬完整的攻擊鏈,包含初始的指令碼執行、權限提升、防護機制關閉等過程,讓企業能夠提前識別並阻擋這類攻擊。」

結語

隨著資安威脅手法不斷演進,企業需要採取更全面且靈活的防護策略。周裕華總結:「面對AI技術與ChatGPT帶來的新興威脅,企業更需要建立多層次的防護架構,結合多引擎掃描、CDR技術、沙箱等不同解決方案。同時,持續的使用者教育與資安意識提升,也是確保整體防護成效的關鍵。」透過整合先進技術並結合產業特性制定客製化的防護方案,企業才能建立起更完善的資安防護網,有效應對各類新興威脅。