強化事後應變處理 將惡意餘毒清理殆盡 智慧應用 影音
新思
世平興業

強化事後應變處理 將惡意餘毒清理殆盡

  • DIGITIMES企劃

台灣思科系統安全事業部產品經理郭旭傑。
台灣思科系統安全事業部產品經理郭旭傑。

思科(Cisco)執行長John Chambers曾經說過,全世界僅有兩種類型的企業,一種是自知已經遭入侵,另一種同樣也遭到入侵,但卻渾然不覺。這段話相當傳神,完全契合今時今日的企業資安現況,也就是任何企業都必定會遭受惡意攻擊,想做到100%安全,等同於不可能的任務。

既然如此,企業還應該一如過往,將資安防禦重心悉數擺在「預防」之上?台灣思科系統安全事業部產品經理郭旭傑期期以為不可,他認為預防固然重要,但另外還需要補強修正措施,講白了就是假定自己一定免不了遭受攻擊,等於人人都會生病,如果這是難以扭轉的宿命,那麼緊接著應當執行的要務,便是設法在最短時間內對症下藥解除病兆,讓自己恢復健康。

只可惜,一些為企業所熟知的資安防護系統,不管是防火牆、防毒軟體、入侵防禦系統,甚或是時下最熱門的APT防禦方案,通通都落在「預防」框架之內,如果將此對應到駭客攻擊的生命週期,正好處在「攻擊前」(Before)、「攻擊中」(During)等階段,等於是在這些階段與駭客一次定輸贏,及早將駭客拒於企業門戶之外,以發揮「預防重於治療」妙效;此類做法,並不能說有所不對,但卻百密一疏,意即如果駭客運用新穎的攻擊手段,因而闖關成功,那麼企業爾後豈不面臨永無止境的禍患?

遭受攻擊成常態  企業須建立事後救援機制

「企業必須建構新的資安模型,除了Before、During,也要針對『攻擊後』(After)有所防範,」郭旭傑說,有關這道「After」防護機制,必須具備兩個重要能力,其一是知道何時被攻擊成功,其二是可有效引導用戶解除攻擊成功後的所有危害。

為何需要大費周章擴建資安架構?郭旭傑指出,主要理由有二,首先,每一家企業都有裝防毒軟體,但所有防毒軟體廠商提供的病毒碼加總,不過2,000萬支,但目前單指已知的惡意軟體(還不包括未知)即超過1億種,由此可見攻守雙方之間實力懸殊,既然如此,企業怎能放心堅信其防護工具,一定100%可以抵檔得了駭客的進犯?

其次,駭客發展惡意程式並非兒戲,其間也有十分嚴謹的QA程序,務求所有防護工具都無從辨識其蹤跡,才會正式啟動,所以企業遭受惡意攻擊得逞,是很難必免的事情,因此必須倚靠「攻擊後」的防護機制,趕緊還原整個攻擊事件的原貌,掌握其感染擴散的所有範圍,儘速施展補救之道。

有鑑於此,思科不再固守於長期沿用的單點防護架構,進而針對Before、During、After等完整生命週期角度,重新展開Security Model布局規劃,終至打造了全新的進階惡意程式防護(Advanced Malware Protection;AMP)解決方案。

郭旭傑表示,時至今日,多數駭客已大量援引雲端技術增強攻擊力道,既然如此,防護廠商亦有必要比照辦理,因此思科不斷彙集攻擊資訊形成龐大的雲端資料庫,為AMP提供了強而有力的後盾。據悉,思科在全球各地共計部署了多達160萬個感測器,以電子郵件為例,每日監測的郵件流量,即佔了全球的35%比重,顯見其可供分析樣本部位極為壯觀。

藉由回溯分析  完整還原攻擊事件全貌

至於AMP系統本身的重點功能,大致包含兩個主軸,一是「一次性偵測」的功能,包含了檔案名智庫和沙箱分析等等技術,可提供客戶在預防已知及未知惡意程式的能力,但是「一次性偵測」的技術並沒有百分之百,因此,AMP也提供「回溯分析」的功能,此即為資安業界罕見技術,則是彌補「一次性偵測」技術的不足。

郭旭傑進一步說明,回溯分析與一次性偵測兩者之間的最大差異,便在於持續性。舉例來說,一個月前,一項當時還不為世人所知的新式攻擊,悄然潛進某企業,但一個月後,其相關特徵碼已被公諸於世,這時企業回頭過問防毒軟體或沙箱,此惡意程式究竟何時進入?進入後的擴散路徑為何?

不管防毒軟體、沙箱都必然無法給出答案;反觀AMP回溯分析機制,針對每一個進入企業內網的檔案,都會給予唯一的SHA-256數值,此後不管這個檔案如何變種,或者多少用戶接觸這個檔案,任何行為軌跡都會留下完整紀錄。

於是乎,只要惡意程式從未知變為已知,AMP即可根據時間軸倒帶還原,把第一支挾帶此惡意程式的檔案何時進入企業,誰是第一個遭受感染者,之後又透過網路芳鄰傳遞給哪些同仁,而到了其餘同仁的電腦後,是否再繁衍出其他後門,凡此種種,所有情節通通完整呈現;如此一來,企業IT管理者即可將有問題的端點通通一網打盡,繼而採取隔離或封鎖等處置措施,確使該惡意活動的所有樁腳一一被拔除殆盡,完全不留伏筆,日後也不會死灰復燃。

據悉,迄今無論已經佈建思科郵件安全、Web安全、端點安全、網路安全或IPS等設備的企業用戶,皆可透過既有設備基礎加裝AMP,據此補足事後應變處理的能量,如果不想這麼做,也可獨立部署AMP閘道器。無論選擇哪條途徑,都有助於填補企業在於事後發現與修正問題的缺口。