<2014亞太資安論壇展後報導>威脅情報交換平台 在毫秒間遏止APT攻擊

APT攻擊之所以令企業聞之色變，在於其難以察覺的特性，受害企業往往已被駭客潛伏數月之久都未曾發現，也因此損失慘重。根據Verizon 2013資料外洩調查報告的統計，8成的受害企業從受駭到發現要花數周以上時間，就算發現，79%的受害企業要花上數天甚至上月的時間才能處理完。因此，McAfee希望能在第一時間攔截APT威脅，推出威脅情報交換平台(TIE, Threat Intelligent Exchange)，能讓端點、閘道、第三方資安產品之間共享資訊，形成即時自我調適的安全架構，以期縮短遭受攻擊到遏阻威脅之間的時間。

McAfee台灣資深技術經理沈志明解釋TIE如何運作，當端點發現一個從未見過的可疑檔案時，透過資料交換層(DXL, Data Exchange Layer)將檔案傳送到企業的TIE平台，若TIE認定是未知檔案，將緊接著詢問雲端上的McAfee全球威脅情報可否執行或，若仍是不知名的檔案，則可傳送到McAfee Advanced Threat Defense(ATD)以進行沙箱模擬，經過沙箱分析後，ATD就會將此檔案資訊再透過DXL傳給端點與閘道的資安設備。因此，藉由多方面的情報來源，從全球威脅情報、本地情報到組織內部共同分享威脅情報，TIE期望可以在幾秒之間快速遏止進階持續威脅攻擊。

相較於其他APT解決方案，沈志明表示在McAfee的架構，沙箱是集中式佈署，可有效使用資源，不會Web放一套、Mail又放一套導致重複投資，此外大部分市面上產品是只有沙箱做動態分析，僅基於惡意程式的行為來分析，但這樣是不夠的，駭客很容易去規避分析，而McAfee除了動態分析外也加入靜態程式碼分析，可將檔案解封裝反組譯後去比對，可以看到沒被執行到的檔案行為。

除了TIE之外，McAfee也在近期推出次世代防火牆，它的前身即是Stonesoft（於2013年5月被McAfee收購），儘管市場上次世代防火牆已經延燒二至三年，沈志明認為此款防火牆仍有其獨到的優勢，首先是對於進階規避技術(AET, Advanced Evasion Technique)攻擊的偵測，AET能將惡意封包切割成很小的片斷，以便滲透防火牆與IPS，進來後再重新組合為惡意軟體，市場上其他產品多半可檢測幾百種AET，而McAfee NG-FW可檢測8億種。此外，其主控台的中央管理能力卓越，可同時管理上千台的防火牆，適合大型企業的網路環境。