首頁 > 焦點新聞

[專訪]三階段週期打造APT防護

作者:編輯部 -2016 / 12 / 27 列印 加入我的最愛 分享 將這篇文章分享到 Plurk 噗浪
今天企業面對APT攻擊時,已無法再像從前面對電腦病毒、惡意網址一樣,希望透過網路安全閘道,將這些惡意威脅直接阻擋在企業網路之外;你必需假設,當這些惡意攻擊行為成功進入企業內部後,你要能找出並清除這些潛在威脅,問題是,該怎麼做?

自今年8月Blue Coat與賽門鐵克完成併購後,兩者不但在產品上互補不足,對全球攻擊情資的收集也更廣泛。因此談到對台灣本地攻擊情資的掌握,Symantec + Blue Coat亞太區技術長Matthias Yeo認為以Symantec + Blue Coat現有3,000位技術研究人員、385,000客戶,且全球總計約1億7500萬個裝置在Symantec + Blue Coat的保護下,透過此龐大的資安網路足以掌握到本地與全球的威脅情資。

以三階段理論基礎 形成完整週期的攻擊防護
面對進階攻擊威脅,Symantec + Blue Coat提出了一個具備業務流程導向,由威脅的偵測、遏阻到解決三個階段所形成的完整週期,再搭配Symantec + Blue Coat的相關產品技術,所構成的Symantec +Blue Coat Advanced Threat Protection Lifecycle Defense解決方案。

首先事件的偵測,就是在進入企業網路所設的第一道防線,也是一般我們所熟悉網路安全閘道過濾,用以偵測阻擋已知的攻擊威脅。此階段所使用的設備有Symantec+ Blue Coat Secure Web Gateway網路閘道器,還有能進行惡意程式碼掃描的Symantec + Blue Coat Content Analysis System。

接著是當有未知的攻擊進入企業內部時,就進入第二階段的攻擊遏阻。利用Malware Analysis Appliance的Symantec+ Blue Coat Content Analysis System和Security Analytics Platform,其中的沙箱檢測可針對未知的惡意程式進行自動化分析,讓未知攻擊變成已知的威脅資訊,同時將此情資回饋到第一階段的閘道安全設備上,以提昇閘道設備的防禦能力。

利用調查鑑識 掌握事件原貌
但僅僅是遏阻攻擊還不夠,企業還需要了解當惡意程式進入企業內部後,曾經執行哪些惡意活動等資訊。也就是要能掌握整個事件發生的原貌,才能徹底清除這些惡意程式在組織內活動所造成的潛在威脅。所以第三個階段就是事件的調查與補救,透過Symantec + Blue Coat Security Analytics Platform資安鑑識平台,對整起事件進行回溯性分析,以還原攻擊事件的原貌。事後的調查分析對APT的防禦很重要,因為清楚攻擊的來源與脈絡後,才能夠切斷各個入侵管道,甚至順著攻擊的路徑找出被鎖定的目標,進而加強防護,以避免日後再遭受類似的威脅。

當企業發生攻擊入侵的資安事件時,以往調查鑑識的工作,常是由資安廠商的事件應變小組人員來進行鑑識分析,然後再向客戶報告調查結果,往往曠日費時。以此次一銀ATM遭駭客盜領的事件為例,約花了1周的時間來調查整個事件的源由,然而在這段期間,媒體對相關事件的追蹤報導都對企業商譽產生負面的影響。所以最好能用最短時間調查出事故的原因,儘早對社會大眾公布結果,才能減少大家的疑慮將企業損失降到最低。

1
推薦此文章
2
人推薦此新聞
我要回應此文章
您的姓名:
回應內容:
  輸入圖片數字

你或許會對這些文章有興趣…