APT防禦技術 鑑識、異常流量行為分析成亮點

鎖定目標的針對性攻擊越來越普及，資安廠商近幾年也紛紛透過購併，讓自家APT解決方案更完整。對APT來說，識別未知惡意程式的沙箱固然是重要技術，但各家都有沙箱之後，廠商也開始在其他技術層面尋求差異化，鑑識能力與異常流量行為分析亦成為新亮點。

FireEye在今(2014)年初購併Mandiant後，FireEye安全平台已納入Mandiant端點威脅防護功能。FireEye台灣總經理馬勝彰指出，APT解決方案會先偵測、攔阻，一旦樣本經過確認後，Mandiant就會去清點該環境中有哪些端點已經中了此惡意程式，分析是何時中的，並且將中毒PC進行隔離，Mandiant具有類似鑑識的功能。

同樣強調對惡意程式鑑識與分析能力的是收購Solera的Blue Coat，在事件發生後Deep See可以知道是何時發生、如何發生、哪些內容遭到變更、判斷企業損失甚麼等。Blue Coat亞太日本地區行銷副總裁Darryl Dickens(左上圖)指出，這些是資訊長、資安官要去跟董事會報告時的必要資訊。他強調，現今許多資安方案都會發出警告，但發出警告之外還要能區別先後緩急，鑑識平台不只是全都錄，重點要能找出問題在哪。

FireEye強調阻擋的能力。有些APT解決方案強調從APT的阻擋到修復可提供完整的服務。對此，馬勝彰認為，APT解決方案的主要任務是擋下攻擊，一旦攻擊行為已經擋下，企業可將樣本送交其防毒廠商，再來修補即可。因此，馬勝彰也認為，企業的APT防禦策略應該要能得到高階主管支持，在佈署架構上選擇in-line mode，這樣APT解決方案才能發揮最好效益。

除了強調鑑識能力外，Blue Coat從過去在頻寬管理、效能的經驗出發，可藉由頻寬流量的異常來識別可疑的行為。Dickens表示，Blue Coat的頻寬管理Packet Shaper可設定不同角色使用頻寬的權限，例如只有行銷人員有使用YouTube的權限，並且可自動動態配置流量給使用者。一旦企業遭APT攻擊，有可疑異常的對外連線行為時，Packet Shaper就可發出告警。Dickens指出，Blue Coat接下來將推出一個全面整合的平台，而效能將是其中重要元件。