觀點

RSA 2012揭幕 APT防禦廠商發表新品

2012 / 02 / 29
吳依恂
RSA 2012揭幕 APT防禦廠商發表新品

  

今天台灣正是四年一次的229,恰好是美國舊金山的RSA 2012資安大會揭幕第一天,今年的關注焦點依然落在行動安全、APT攻擊防禦和雲端技術發展所帶來的威脅與機會。其中APT攻擊也相當受到台灣政府、企業的重視,並且陸續出現一些解決方案。(詳可見APT防禦有解法 主攻社交工程惡意郵件

而除了上述所提到的一些解決方案、供應商之外,亦有一新進APT攻擊防禦供應商即將進駐台灣-FireEye,該公司於今日的RSA 2012資安大會發表一APT防禦新品,主要是一針對企業檔案分享作安全檢查。

有時候企業會發現有些設備出現問題,於是資安人員便會格式化、清理系統環境,但是過一陣子,同樣的問題又出現,由於惡意程式變形快速,不僅不知道病毒從哪來,也不知道何時來?是變形前還是變形後?FireEye台灣暨香港區技術經理林秉忠說,很多時候就是File Server當中的檔案在作祟,那裡通常都是一個大毒窟。加上如果是APT攻擊,病毒程式多半又是為了零時差攻擊所撰寫的新病毒,這更是一般傳統的防毒軟體、IPS很難偵測、阻絕的問題。

林秉忠表示,過去的APT防禦攻擊主要是針對網頁及電子郵件的防禦,今日新推出的產品主要是針對File Server的保護。他說該公司採取Sandbox(沙箱)與特徵碼比對等多種模式來偵測與阻絕APT攻擊的發生,在將File ServerSandbox進行整合後,可找出一些惡意行為的發生,而為了降低誤判,將惡意行為的模式分成幾個階段,分析其中行為、參考前後關係,並且在惡意軟體即將觸發前予以阻擋。