歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
[專訪]三階段週期打造APT防護
2016 / 12 / 27
編輯部
今天企業面對APT攻擊時,已無法再像從前面對電腦病毒、惡意網址一樣,希望透過網路安全閘道,將這些惡意威脅直接阻擋在企業網路之外;你必需假設,當這些惡意攻擊行為成功進入企業內部後,你要能找出並清除這些潛在威脅,問題是,該怎麼做?
自今年8月Blue Coat與賽門鐵克完成併購後,兩者不但在產品上互補不足,對全球攻擊情資的收集也更廣泛。因此談到對台灣本地攻擊情資的掌握,Symantec + Blue Coat亞太區技術長Matthias Yeo認為以Symantec + Blue Coat現有3,000位技術研究人員、385,000客戶,且全球總計約1億7500萬個裝置在Symantec + Blue Coat的保護下,透過此龐大的資安網路足以掌握到本地與全球的威脅情資。
以三階段理論基礎 形成完整週期的攻擊防護
面對進階攻擊威脅,Symantec + Blue Coat提出了一個具備業務流程導向,由威脅的偵測、遏阻到解決三個階段所形成的完整週期,再搭配Symantec + Blue Coat的相關產品技術,所構成的Symantec +Blue Coat Advanced Threat Protection Lifecycle Defense解決方案。
首先事件的偵測,就是在進入企業網路所設的第一道防線,也是一般我們所熟悉網路安全閘道過濾,用以偵測阻擋已知的攻擊威脅。此階段所使用的設備有Symantec+ Blue Coat Secure Web Gateway網路閘道器,還有能進行惡意程式碼掃描的Symantec + Blue Coat Content Analysis System。
接著是當有未知的攻擊進入企業內部時,就進入第二階段的攻擊遏阻。利用Malware Analysis Appliance的Symantec+ Blue Coat Content Analysis System和Security Analytics Platform,其中的沙箱檢測可針對未知的惡意程式進行自動化分析,讓未知攻擊變成已知的威脅資訊,同時將此情資回饋到第一階段的閘道安全設備上,以提昇閘道設備的防禦能力。
利用調查鑑識 掌握事件原貌
但僅僅是遏阻攻擊還不夠,企業還需要了解當惡意程式進入企業內部後,曾經執行哪些惡意活動等資訊。也就是要能掌握整個事件發生的原貌,才能徹底清除這些惡意程式在組織內活動所造成的潛在威脅。所以第三個階段就是事件的調查與補救,透過Symantec + Blue Coat Security Analytics Platform資安鑑識平台,對整起事件進行回溯性分析,以還原攻擊事件的原貌。事後的調查分析對APT的防禦很重要,因為清楚攻擊的來源與脈絡後,才能夠切斷各個入侵管道,甚至順著攻擊的路徑找出被鎖定的目標,進而加強防護,以避免日後再遭受類似的威脅。
當企業發生攻擊入侵的資安事件時,以往調查鑑識的工作,常是由資安廠商的事件應變小組人員來進行鑑識分析,然後再向客戶報告調查結果,往往曠日費時。以此次一銀ATM遭駭客盜領的事件為例,約花了1周的時間來調查整個事件的源由,然而在這段期間,媒體對相關事件的追蹤報導都對企業商譽產生負面的影響。所以最好能用最短時間調查出事故的原因,儘早對社會大眾公布結果,才能減少大家的疑慮將企業損失降到最低。
資安沒有萬靈丹
Matthias Yeo提到會導入APT解決方案的,通常是政府部門,接下來則是金融單位;前者攸關國家安全,後者則可能影響經濟的發展。他認為,APT產品導入過程中最大的挑戰在於如何與組織現有設備,及公司整體的資安策略來進行整合。
他也提醒,應把對進階攻擊威脅的防護視為企業整體資安策略的一環,而不僅僅是一種產品技術而已。Matthias Yeo強調:「沒有一種技術是萬靈丹,可以讓組織100%免於攻擊威脅」。他認為建立網路安全不只是部署一樣產品技術就行,它還包括了適當的設定、資安政策的配合與人員安全意識的提升。而資安管理者也需要在產品的導入與政策的實施中取得平衡;一方面要進行惡意威脅的管控,同時還要能兼顧維持組織的生產力。
重視環境的評估與設備的整合
每當資訊安全有新的威脅或議題出現時,資安廠商都會以其現有的產品技術為基礎,提出自己的理論邏輯來整合出一套解決方案,然後儘量將自己的產品帶入。當然依各家技術核心的重點不同而或有差異,像以網路管理為基礎的Symantec + Blue Coat就相當重視對網路流量的可視性,所以會強調對企業加密連線的管控。但無論企業採用什麼樣的解決方案,首先一定要了解敵人所在,也就是對企業所處環境先進行風險評估,接著與現有設備進行整合,這些都需要專業顧問的參與,才能做出最有效益的部署方案。
最新活動
2024.10.16
2024 數位經濟資安趨勢論壇
2024.10.17
2024 金融資安趨勢論壇
2024.10.16
駭客集團秘辛大公開!了解組織運作、勒索病毒攻擊手法與應對全攻略
2024.10.30
從政策到實現 - 打造健全的機敏資料保護框架
看更多活動
大家都在看
馬來西亞駭客組織DragonForce 利用改良版LockBit和Conti勒索軟體發動攻擊
美國CISA:駭客使用「簡易手法」攻擊工控系統
Whoscall:三成台灣人遇到詐騙後一小時內受騙
NVIDIA Container Toolkit嚴重漏洞允許完全主機接管
RISC-V 新興晶片架構引發資安疑慮
資安人科技網
文章推薦
Cloudflare 揭史上最大規模 3.8 Tbps DDoS 攻擊 全球多產業成為目標
MITRE 推出 「AI 事件資訊共享計畫」 強化產業防禦能力
數百萬輛Kia汽車面臨遠端駭客攻擊漏洞:僅需車牌資訊即可入侵