觀點

APT防禦技術 鑑識、異常流量行為分析成亮點

2014 / 06 / 16
張維君
APT防禦技術 鑑識、異常流量行為分析成亮點
鎖定目標的針對性攻擊越來越普及,資安廠商近幾年也紛紛透過購併,讓自家APT解決方案更完整。對APT來說,識別未知惡意程式的沙箱固然是重要技術,但各家都有沙箱之後,廠商也開始在其他技術層面尋求差異化,鑑識能力與異常流量行為分析亦成為新亮點。

FireEye在今(2014)年初購併Mandiant後,FireEye安全平台已納入Mandiant端點威脅防護功能。FireEye台灣總經理馬勝彰指出,APT解決方案會先偵測、攔阻,一旦樣本經過確認後,Mandiant就會去清點該環境中有哪些端點已經中了此惡意程式,分析是何時中的,並且將中毒PC進行隔離,Mandiant具有類似鑑識的功能。

同樣強調對惡意程式鑑識與分析能力的是收購Solera的Blue Coat,在事件發生後Deep See可以知道是何時發生、如何發生、哪些內容遭到變更、判斷企業損失甚麼等。Blue Coat亞太日本地區行銷副總裁Darryl Dickens(左上圖)指出,這些是資訊長、資安官要去跟董事會報告時的必要資訊。他強調,現今許多資安方案都會發出警告,但發出警告之外還要能區別先後緩急,鑑識平台不只是全都錄,重點要能找出問題在哪。

FireEye強調阻擋的能力。有些APT解決方案強調從APT的阻擋到修復可提供完整的服務。對此,馬勝彰認為,APT解決方案的主要任務是擋下攻擊,一旦攻擊行為已經擋下,企業可將樣本送交其防毒廠商,再來修補即可。因此,馬勝彰也認為,企業的APT防禦策略應該要能得到高階主管支持,在佈署架構上選擇in-line mode,這樣APT解決方案才能發揮最好效益。

除了強調鑑識能力外,Blue Coat從過去在頻寬管理、效能的經驗出發,可藉由頻寬流量的異常來識別可疑的行為。Dickens表示,Blue Coat的頻寬管理Packet Shaper可設定不同角色使用頻寬的權限,例如只有行銷人員有使用YouTube的權限,並且可自動動態配置流量給使用者。一旦企業遭APT攻擊,有可疑異常的對外連線行為時,Packet Shaper就可發出告警。Dickens指出,Blue Coat接下來將推出一個全面整合的平台,而效能將是其中重要元件。