臺灣威瑞特原本只針對列為第五級的APT攻擊提供立即的辨識和解決方案,但10月中後,也可以針對第一~四級的惡意程式推出自動化分析服務。

圖片來源: 

臺灣威瑞特

美國那斯達克上市公司Verint(威瑞特)在今年2月併購臺灣資安公司艾斯酷博(Xecure Lab),歷經半年的運作,臺灣威瑞特將於10月中推出新一代APT偵測防禦產品XecProbe 2.4版,新增自動分析報表功能並推出新的資安鑑識服務,該產品更同步賣到全世界。

針對企業推出自動化分析、報表與鑑識服務

Verint主要的客戶來自於各國政府,財星前100大公司有8成,都是該公司主要客戶。主要分成三大事業體,第一類是類比轉數位的產品和服務,第二類則是數位化後的大資料分析,包含所有的通訊;第三類則是資安,包括國安、反恐、防走私、掃毒等安全相關事業。

臺灣威瑞特總經理吳明蔚表示,Verint高層在2013年美國黑帽(Black Hat)大會上,看到艾斯酷博對APT的研究後,便決定併購。他說,臺灣是該公司暨以色列之外,第二個設研發中心的國家,研究方向以APT(進階性持續性威脅)攻擊與防禦手法為主,在公司的事業體屬於資安事業體。

XecProbe是艾斯酷博既有的APT偵測防禦產品,是一種鑑識導向的分析模式,可以分析潛伏在記憶體中的惡意程式,有效找出APT的攻擊手法。臺灣威瑞特技術長邱銘彰表示,併入威瑞特後,XecProbe產品全球名稱改為Verint Remote Forensics,但在臺灣仍維持原本產品名稱。

由於XecProbe不是安裝在電腦中的常駐程式,邱銘彰指出,透過一日一次或二次的定期掃描方式,掃描電腦內所有蒐集和分析到惡意程式蹤跡,包括電腦中的執行檔、註冊碼(Registry)、執行程序(Process)、記憶體、網路資訊、系統快取(Cache)級登錄檔(Log)等,可以將電腦內惡意程式和行為分成5個等級,一旦被判定為第五級,就是符合惡意程式鑑識模型中的APT攻擊,在報表中以紅色的第五級呈現,最遲在1~2天內,提供清除和防禦的解決方案。

不過,在併入威瑞特後,邱銘彰說,預計在10月中推出的新功能就是,善用威瑞特全球的資安資源,整合各種併購與購買的惡意情報威脅中心資源,納入原本艾斯酷博XecProbe的新增功能,讓原本只能用人工判定第一~四級的惡意程式,可以做到自動化分析並提供相關報表,也可以更進一步減少企業面對的資安威脅與風險。

此外,臺灣威瑞特資安研究長叢培侃表示,10月中也同時推出由鑑識團隊Blue Team進行現場鑑識與調查。他表示,很多的APT攻擊都會進行內網的橫向移動(Lateral Movement),要根本解決就必須找出攻擊的源頭,除了安裝XecProbe進行系統掃描外,也會在閘道端部署內網調查工具,例如:網路出口閘道流量軌跡分析工具、內網通訊流量行為剖繪分析工具、系統日誌採樣分析工具等,找出受駭電腦清單及中繼站,進行自動化清除和提供完整的鑑識報告。


Advertisement

更多 iThome相關內容