強化事後應變處理 將惡意餘毒清理殆盡

台灣思科系統安全事業部產品經理郭旭傑。

思科(Cisco)執行長John Chambers曾經說過，全世界僅有兩種類型的企業，一種是自知已經遭入侵，另一種同樣也遭到入侵，但卻渾然不覺。這段話相當傳神，完全契合今時今日的企業資安現況，也就是任何企業都必定會遭受惡意攻擊，想做到100%安全，等同於不可能的任務。

既然如此，企業還應該一如過往，將資安防禦重心悉數擺在「預防」之上？台灣思科系統安全事業部產品經理郭旭傑期期以為不可，他認為預防固然重要，但另外還需要補強修正措施，講白了就是假定自己一定免不了遭受攻擊，等於人人都會生病，如果這是難以扭轉的宿命，那麼緊接著應當執行的要務，便是設法在最短時間內對症下藥解除病兆，讓自己恢復健康。

只可惜，一些為企業所熟知的資安防護系統，不管是防火牆、防毒軟體、入侵防禦系統，甚或是時下最熱門的APT防禦方案，通通都落在「預防」框架之內，如果將此對應到駭客攻擊的生命週期，正好處在「攻擊前」(Before)、「攻擊中」(During)等階段，等於是在這些階段與駭客一次定輸贏，及早將駭客拒於企業門戶之外，以發揮「預防重於治療」妙效；此類做法，並不能說有所不對，但卻百密一疏，意即如果駭客運用新穎的攻擊手段，因而闖關成功，那麼企業爾後豈不面臨永無止境的禍患？

遭受攻擊成常態  企業須建立事後救援機制

「企業必須建構新的資安模型，除了Before、During，也要針對『攻擊後』(After)有所防範，」郭旭傑說，有關這道「After」防護機制，必須具備兩個重要能力，其一是知道何時被攻擊成功，其二是可有效引導用戶解除攻擊成功後的所有危害。

為何需要大費周章擴建資安架構？郭旭傑指出，主要理由有二，首先，每一家企業都有裝防毒軟體，但所有防毒軟體廠商提供的病毒碼加總，不過2,000萬支，但目前單指已知的惡意軟體(還不包括未知)即超過1億種，由此可見攻守雙方之間實力懸殊，既然如此，企業怎能放心堅信其防護工具，一定100%可以抵檔得了駭客的進犯？

其次，駭客發展惡意程式並非兒戲，其間也有十分嚴謹的QA程序，務求所有防護工具都無從辨識其蹤跡，才會正式啟動，所以企業遭受惡意攻擊得逞，是很難必免的事情，因此必須倚靠「攻擊後」的防護機制，趕緊還原整個攻擊事件的原貌，掌握其感染擴散的所有範圍，儘速施展補救之道。

有鑑於此，思科不再固守於長期沿用的單點防護架構，進而針對Before、During、After等完整生命週期角度，重新展開Security Model布局規劃，終至打造了全新的進階惡意程式防護(Advanced Malware Protection；AMP)解決方案。

郭旭傑表示，時至今日，多數駭客已大量援引雲端技術增強攻擊力道，既然如此，防護廠商亦有必要比照辦理，因此思科不斷彙集攻擊資訊形成龐大的雲端資料庫，為AMP提供了強而有力的後盾。據悉，思科在全球各地共計部署了多達160萬個感測器，以電子郵件為例，每日監測的郵件流量，即佔了全球的35%比重，顯見其可供分析樣本部位極為壯觀。

藉由回溯分析  完整還原攻擊事件全貌

至於AMP系統本身的重點功能，大致包含兩個主軸，一是「一次性偵測」的功能，包含了檔案名智庫和沙箱分析等等技術，可提供客戶在預防已知及未知惡意程式的能力，但是「一次性偵測」的技術並沒有百分之百，因此，AMP也提供「回溯分析」的功能，此即為資安業界罕見技術，則是彌補「一次性偵測」技術的不足。

郭旭傑進一步說明，回溯分析與一次性偵測兩者之間的最大差異，便在於持續性。舉例來說，一個月前，一項當時還不為世人所知的新式攻擊，悄然潛進某企業，但一個月後，其相關特徵碼已被公諸於世，這時企業回頭過問防毒軟體或沙箱，此惡意程式究竟何時進入？進入後的擴散路徑為何？

不管防毒軟體、沙箱都必然無法給出答案；反觀AMP回溯分析機制，針對每一個進入企業內網的檔案，都會給予唯一的SHA-256數值，此後不管這個檔案如何變種，或者多少用戶接觸這個檔案，任何行為軌跡都會留下完整紀錄。

於是乎，只要惡意程式從未知變為已知，AMP即可根據時間軸倒帶還原，把第一支挾帶此惡意程式的檔案何時進入企業，誰是第一個遭受感染者，之後又透過網路芳鄰傳遞給哪些同仁，而到了其餘同仁的電腦後，是否再繁衍出其他後門，凡此種種，所有情節通通完整呈現；如此一來，企業IT管理者即可將有問題的端點通通一網打盡，繼而採取隔離或封鎖等處置措施，確使該惡意活動的所有樁腳一一被拔除殆盡，完全不留伏筆，日後也不會死灰復燃。

據悉，迄今無論已經佈建思科郵件安全、Web安全、端點安全、網路安全或IPS等設備的企業用戶，皆可透過既有設備基礎加裝AMP，據此補足事後應變處理的能量，如果不想這麼做，也可獨立部署AMP閘道器。無論選擇哪條途徑，都有助於填補企業在於事後發現與修正問題的缺口。