首頁 > 資安知識庫 > 駭客攻防與惡意程式威脅 > 駭客技術與新興威脅

從閘道到端點 打造APT聯防陣線

作者:張維君 -2014 / 07 / 25 列印 加入我的最愛 分享 將這篇文章分享到 Plurk 噗浪

由於進階持續威脅(APT)攻擊無法被企業現有以特徵碼為技術的防禦平台所偵測,因此各家APT解決方案皆強調沙箱功能。然而擁有沙箱就足以應付APT嗎?研究機構Gartner發展出APT防禦架構5大技術,包括網路流量分析、網路鑑識、Payload分析、端點行為分析、端點鑑識,並建議企業應至少佈署其中兩種技術。本文將介紹各種防禦技術,並探討甚麼樣的企業適合甚麼樣組合的防禦技術。

Payload分析至關重要 EDR新領域

Gartner所定義的APT 5大防禦技術如下圖所示,企業在現有防火牆或入侵防禦系統IPS中,已具備部分Style 1網路流量分析技術,以及許多網管人員愛用的Opensource工具Wireshark也都可分析網路流量。網路流量分析有兩種,一種是針對網路流量去跑sFlow,知道正常的網路連線是怎樣,一旦出現異常流量就可以迅速發現。另一種是在被植入惡意程式後,能把後門對外連線抓出來的設備。

圖片來源:Gartner 網站

在去(2013)年這篇文章,已經提到次世代防火牆NG-FW及NG-IPS可以看到第七層封包內容,因此若與沙箱 (也就是Style 3 Payload分析的技術)搭配,就可在網路出口處過濾後門程式的對外連線行為。此外,文章也提到防禦APT必須從用戶端找出駭客在內網的擴散軌跡,這也就是上圖的Style 4端點行為分析及Style 5端點鑑識。只是當時文章中專家所建議的做法是「透過掃描工具將網路拓墣抓下來分析」,或「透過NG-IPS或網路封包側錄工具(Sniffer)進行分析」,都是屬於需要人工進行分析才能看到端點的問題,但是自去年開始此一領域已經有自動化工具,Gartner將它命名為端點偵測及回應解決方案(EDR, Endpoint Detection Response),屬於一塊新興的市場,代表產品如FireEye今年1月收購Mandiant後的產品HX,Xecure Lab(現為Verint的Cyber Security部門)的Xec Probe與Xec Ray,趨勢科技甫推出的Deep Discovery Endpoint Sensor(如下圖),今年2月McAfee與Tanium合作推出的McAfee Real Time Command,今年3月Palo Alto收購Cyvera而推出的Next-Generation Endpoint Protection等,後面將詳細說明EDR。
DDES記錄惡意程式行為與時間軸,管理者可清查所有電腦並找出問題電腦。當問題電腦回報會將所有惡意行為的脈絡畫出。(圖片來源:趨勢科技提供,2014/07)

FireEye技術經理林秉忠認為在APT 5大防禦技術中,Payload分析可說扮演重要角色,未知的惡意程式在經過沙箱分析之後,可將威脅情資丟給網路閘道(Style 1)來阻擋,如防火牆, Proxy, 或DNS設備;或者丟給端點攔阻(Style 4),因為沙箱分析後就可知道惡意程式在端點的行為,例如有檔案寫入/執行、registry key值的修改、端點對外的連線、或檔案系統上其他的行為如rootkit、或把檔案隱藏等行為。

1
推薦此文章
11
人推薦此新聞
文章回應話題
tiger 發表於: 2020 / 06 / 02
但如USER經社交工程的方式而被植入APT病毒請問
一、在PALAAUTO的端點對應社交工程的管理策略
二、因網路特性,在區網內不會直接去閘道器清理,對於區網或VM間的防禦是什麼??
三、對於OFFCE的檔案會轉去雲端分析,這會耗費很大的時間嗎?
3.1檔案分析吞吐量有限制嗎??
四、未知程式被植入後如未能即時發現基本上就不容易發現,在過程中,APT攻擊會建立C&C的通道,而通道建立後會隱藏起來,閘道器也並非能完全掌控,那未知程式應如何處理??
tiger 發表於: 2020 / 06 / 02
但如USER經社交工程的方式而被植入APT病毒請問
一、在PALAAUTO的端點對應社交工程的管理策略
二、因網路特性,在區網內不會直接去閘道器清理,對於區網或VM間的防禦是什麼??
三、對於OFFCE的檔案會轉去雲端分析,這會耗費很大的時間嗎?
3.1檔案分析吞吐量有限制嗎??
四、未知程式被植入後如未能即時發現基本上就不容易發現,在過程中,APT攻擊會建立C&C的通道,而通道建立後會隱藏起來,閘道器也並非能完全掌控,那未知程式應如何處理??
我要回應此文章
您的姓名:
回應內容:
  輸入圖片數字

你或許會對這些文章有興趣…