https://newera17031.activehosted.com/index.php?action=social&chash=0245952ecff55018e2a459517fdb40e3.2287&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=1baff70e2669e8376347efd3a874a341.2327&nosocial=1

觀點

Intel® vPro™(博銳™)技術 保護使用者遠離病毒與惡意程式碼的威脅

2006 / 12 / 04
編輯部
Intel® vPro™(博銳™)技術  保護使用者遠離病毒與惡意程式碼的威脅

隨著網路的快速發展,電腦病毒也隨著網路大量、快速地散播,雖然目前大多數的電腦都已經安裝了防毒軟體,但是您確定您的病毒碼是最新的嗎?您確定真的沒有漏網之魚嗎?當防毒軟體來不及更新病毒碼時,您的電腦真的能夠抵擋住「零時差」(Zero-Day)攻擊嗎?要如何才能從根本上抵抗病毒/惡意程式的攻擊呢?Intel®vPro™(博銳™)技術結合了許多關於提高安全性的防護技術,包括Intel Execute Disable Bit(病毒防護技術),以及在vPro®平台中的Agent presence與Circuit breaker功能,將能有效地保護使用者遠離惡意程式碼的威脅。
全方位阻擋惡意程式碼的攻擊
首先我們先來介紹一下包括Execute Disable Bit、Agent presence與Circuit breaker技術的相關概念。
目前Intel®推出的新一代處理器均已經支援Intel Execute Disable Bit技術,但什麼是Intel Execute Disable Bit呢?簡單來說,就是在硬體層級中,對於送到處理器執行的指令進行判斷,若發現惡意的蠕蟲嘗試在記憶體緩衝區中插入程式碼,處理器就會停止該程式碼的執行,避免造成系統的破壞以及蠕蟲的繁殖。這種方法可以有效地阻擋「緩衝溢位(Buffer Overflow)」這種駭客攻擊常用的手法,一般的攻擊模式是由惡意的蠕蟲建立巨量的程式碼,使處理器遭受疲勞轟炸,導致蠕蟲得以透過網路繁殖,以感染其他的電腦。這些攻擊會造成企業的生產力損失,相對來說就是可觀的財物損失。

近來Intel針對商用環境推出了vPro平台,以解決商用環境面臨的管理與安全上的問題,為了提高管理和安全性,vPro導入了主動管理技術(Intel AMT, Intel Active Management Technology)和虛擬化技術(Intel VT, Intel Virtualization Technology),在AMT技術中,除了遠端控管和遠端修復功能外,也進一步導入保護機制,分別為Agent presence和Circuit breaker兩項功能。
Agent presence即藉由內建代理程式以監控電腦的軟體運作。以防毒軟體為例,當電腦受到病毒攻擊而關掉防毒軟體,代理程式就會自動偵測並對IT管理人員發出警訊,以即時重新開啟。Agent presence為何能夠知道防毒軟體被關閉呢?這是因為Intel® AMT可讓第三方的軟體代理程式在Intel® AMT的韌體中註冊,一旦註冊之後,第三方的管理中控台的軟體設置值便會經常性地送到Agent presence中,這個過程是在本地端執行,並不會影響到網路效能。例如,Intel® AMT的韌體可以定期檢查代理程式是否還在運作,若代理程式沒有回應,便會傳送警報到管理中控台。
此外,Intel® AMT中的Circuit breaker功能則可避免當一台電腦中毒時,將病毒擴散至企業網路環境中。在遠端的IT管理中控台或防毒軟體中控台能夠配置一組硬體式的網路流量過濾器,當發現網路的流量出現異常,辨識出電腦遭到中毒等情形後,就會主動中斷此電腦與網路環境的連結,並進行修護動作,這個功能能夠減緩企業遭受蠕蟲或病毒攻擊時的擴散範圍。

除了治標還要治本

傳統的防毒軟體建構在應用層級之上,在應用層級中,由於目前有許多病毒或惡意程式,已經針對某些知名的防毒軟體進行反制,透過強制將防毒軟體關閉的作法,藉以侵入使用者的作業環境,此外,若是在防毒軟體安裝之前,系統便已經中毒,或是病毒碼更新不及,系統遭遇到「零時差」(Zero-Day)攻擊,都將使得防毒軟體英雄無用武之地。
如果只是在應用層級上對病毒/惡意程式進行防堵,仍難免有漏網之魚,根本的解決之道應該要從硬體層級著手,像是Intel Execute Disable Bit技術只需搭配支援此技術的作業系統,便可以讓處理器針對記憶體區域進行分類,以判斷是否能夠執行應用程式的程式碼,防止蠕蟲的攻擊,降低因病毒所導致的修復成本。
Execute Disable Bit是Intel®架構的一種增強技術,具備Execute Disable Bit能力的IA-32處理器將可以保護資料頁面被惡意軟體用於執行程式碼,Execute Disable Bit技術可以偵測到CPUID指令的使用,來保護IA-32系統對抗惡意軟體程式碼的執行,軟體可以透過包括啟用實體位址延伸(PAE, Physical Address Extension)功能,並定義出記憶體保護政策來支援這個功能。
此外,採用了Intel Execute Disable Bit還可以省略某些針對「緩衝溢位(Buffer Overflow)」攻擊之軟體修補程式的安裝。因此只要有效結合Intel Execute Disable Bit與防毒軟體、防火牆、間諜軟體防護功能、電子郵件過濾軟體以及像是Agent presence和Circuit breaker等網路安全機制,便可以讓資訊管理人員高枕無憂,而能夠將IT資源投入在更有附加價值的項目上。

防範網路安全威脅 就是保障企業投資

根據ICSA Labs所做的一份研究報告指出,小型或中型規模的商業機構,在遭受電腦病毒攻擊後,需要耗費時間進行回復,期間所造成的損失平均成本為81,000美元(約新台幣270萬元)。Execute Disable Bit技術是一種硬體式的安全特性,可以減少曝露在病毒與惡意程式碼的攻擊之下,並避免有害的軟體在伺服器或網路上執行或繁衍,協助保護客戶的商業資產,並減少在修復因為病毒所造成相關損害時,所隨之而來的各種成本。此外,搭配Agent presence和Circuit breaker等網路安全機制,更可加強對防毒軟體狀態的監控,以及萬一真的中毒後,能夠阻止病毒的擴散,透過這種全方位的安全防護措施,才能真正地保護電腦運作環境的安全。
在當前這個高度仰賴電腦與網路的現代社會,網路雖然帶給人們眾多便利,但也夾帶著許多潛藏的威脅,當您的電腦環境受的病毒或惡意程式的侵入後,輕則影響到電腦的運作效率,重則造成資訊與資產上的損失。事實上,影響最大的在於企業必須耗費大量時間去清除、整理所造成的危害,期間所造成的生產力降低、商機延誤等損失,影響將更為重大。
只是單純仰賴防毒軟體已經不夠了,現在便是從硬體層級開始建構一個全方位安全環境的最佳時刻,請馬上行動吧!