https://twcert2024.informationsecurity.com.tw/

觀點

APT解決方案應持續做回溯性偵測

2013 / 07 / 02
張維君
APT解決方案應持續做回溯性偵測

去年專屬的APT設備開始進入並教育市場,聲稱傳統的防火牆、IPS等特徵碼防禦技術已無力阻擋動態多變的APT威脅,今年這些閘道端防火牆、IPS設備也急起直追,推出具有沙盒功能或加入不同偵測技術的APT防護模組或專屬產品。Sourcefire大中華區技術總監 Henry Ong認為,APT解決方案最重要的是能做回溯性偵測,許多防毒或沙盒分析只做一次性分析,當第一時間未偵測出有惡意程式通過就再也無法找出該檔案。

 

許多APT解決方案都會去進行IP分析,檢測是否連線到C&C中繼站,但現今逐漸流行的水坑式攻擊,讓防禦方摸不清頭緒,不知這些合法網站或論壇何時會被駭客攻陷並植入惡意程式,因此Henry Ong認為持續對IP進行分析有其必要,使用者從網站下載可疑檔案,應做檔案軌跡追蹤,即使第一時間無法判斷是否有害,也會持續監看,並將檔案送至雲端分析。一旦發現有惡意程式可立即找出是在哪台設備、透過何種應用程式進來,並直接在該用戶端設備阻擋出問題的應用程式,如Adobe ReaderIE瀏覽器。而持續監看IP是否影響系統效能?Henry Ong指出系統是透過Cache來監看,若CacheTTL(Time to live)時間逾期就會再比對,有可疑的IP就進行隔離。

 

此外,現在許多APT解決方案都只能在企業內網過濾偵測,若使用者離開公司到外網,就可能出現空窗期。目前除閘道端同時也支援用戶端防護架構的解決方案,包括SourcefireFortinet等。