2013年7月9日 星期二

APT解決方案應持續做回溯性偵測

APT解決方案應持續做回溯性偵測

去年專屬的APT設備開始進入並教育市場,聲稱傳統的防火牆、IPS等特徵碼防禦技術已無力阻擋動態多變的APT威脅,今年這些閘道端防火牆、IPS設備也急起直追,推出具有沙盒功能或加入不同偵測技術的APT防護模組或專屬產品。Sourcefire大中華區技術總監 Henry Ong認為,APT解決方案最重要的是能做回溯性偵測,許多防毒或沙盒分析只做一次性分析,當第一時間未偵測出有惡意程式通過就再也無法找出該檔案。

許多APT解決方案都會去進行IP分析,檢測是否連線到C&C中繼站,但現今逐漸流行的水坑式攻擊,讓防禦方摸不清頭緒,不知這些合法網站或論壇何時會被駭客攻陷並植入惡意程式,因此Henry Ong認為持續對IP進行分析有其必要,使用者從網站下載可疑檔案,應做檔案軌跡追蹤,即使第一時間無法判斷是否有害,也會持續監看,並將檔案送至雲端分析。一旦發現有惡意程式可立即找出是在哪台設備、透過何種應用程式進來,並直接在該用戶端設備阻擋出問題的應用程式,如Adobe Reader或IE瀏覽器。而持續監看IP是否影響系統效能?Henry Ong指出系統是透過Cache來監看,若Cache的TTL(Time to live)時間逾期就會再比對,有可疑的IP就進行隔離。

此外,現在許多APT解決方案都只能在企業內網過濾偵測,若使用者離開公司到外網,就可能出現空窗期。目前除閘道端同時也支援用戶端防護架構的解決方案,包括Sourcefire與Fortinet等。

轉載自《資安人科技網》

沒有留言:

張貼留言