企業若要免於遭到惡意攻擊,大多會透過網路防火牆、防毒軟體、網路入侵防禦系統,或是網頁安全閘道、代理伺服器,來進行過濾與阻隔,不過,如今我們所面臨的資安威脅,有極高的比例,是針對多種應用軟體漏洞所發動的零時差攻擊,以及專門為了特定對象所設計的目標鎖定攻擊,或是進階持續性威脅(APT),這也使得新型態的企業資安產品,大行其道,像是次世代防火牆(NGFW)、進階威脅預防系統(Advanced Threat Prevention,ATP)、使用者行為分析(UBA),以及端點偵測阻擋(EDR)等。

上述的產品類型相當熱門,已經有許多知名資安廠商爭相推出,今年,我們也看到一些新面孔,例如,Wedge Network公司的Advanced Malware Blocker(WedgeAMB),先前是在2016年9月宣布上市,而最近開始進入臺灣市場。

相較於傳統資安產品需仰賴沙箱來偵測進階威脅的存在與否,而且無法在內部網路受駭之前提早因應,WedgeAMB的特色在於,是從網路的層級來執行惡意軟體的即時偵測與阻擋,而在網路的入口處進行攔截,並強調不會造成網路嚴重延遲。

就產品形式而言,WedgeAMB本身已經是虛擬化的系統,能以虛擬機器或硬體應用設備來進行部署,若從技術架構來看,它是基於該公司所發展的Wedge Security Orchestrator(WedgeSO)引擎而成,這套引擎裡面運用了多種作法,可在Inline的網路部署架構下,執行即時的深度封包檢測(DPI)與深度內容檢測(DCI),並且兼具處理的速度與流量狀態的透明度。

值得注意的是,Wedge如何做到即時檢測?他們發展了SubSonic Engine和GreenStream等兩套技術,以此達到極大的吞吐量與極小的延遲。SubSonic Engine搭配了機器學習演算法等多種技術,可將系統的網路流量吞吐能力提升20到30倍,並且就算工作負載有所變化,也能維持住網路延遲度,不會因此大幅增長。GreenStream則是讓內容封包能在系統掃描的過程中,用戶端仍然能夠持續下載這些資料——從每一個經過的封包上,針對裡面的裝載建立副本,然後立即將這些封包轉送到預定的接收端,不過,GreenStream在每個檔案傳送到最後一個封包時,先行暫停,不讓用戶端電腦執行內容,需等到檔案經過WedgeSO重組還原、掃描,確認安全之後,再放行這個部分的傳輸,而在這樣的流程當中,用戶端若要開啟檔案,僅需等待一個封包,而不像大部分廠商的作法,都必須等到整個檔案下載完成,才能進行相關防護作業。

WedgeSO本身也能做到網路內容的完整還原,可針對電子郵件夾帶的網頁、Office檔案等MIME物件,以便後續進一步執行分析。這裡也結合了多種掃描技術,例如,網路入侵防禦系統的掃描、特徵式掃描、啟發式掃描,以及Cylance公司提供的人工智慧引擎,藉以提升威脅偵測與阻擋的準確率,而且能在大量使用的情況下,防護各種已知與未知病毒、惡意程式與進階威脅。

WedgeAMB結合了4種惡意軟體掃描技術,首先會由網路入侵防禦系統進行過濾,主要處理的對象是內容以外的網路封包,而內容的部份則轉交由深度內容檢測(DCI),進行快速判斷。
此時,會先針對所有檔案執行特徵式掃描與啟發式掃描,以便偵測是否為已知病毒或惡意程式,然後,再以Cylance的靜態人工智慧的惡意軟體掃描引擎,分析當中傳輸的重要執行檔,並計算出分數。
若需要用到行為判斷式的人工智慧分析技術(behavioral AI),企業還可以選購該公司另一套雲端沙箱服務——Wedge Malware Analyzer(WedgeMA),與WedgeAMB搭配。

 

除此之外,這套引擎還包含了該公司所發展的網路威脅情報分析引擎——WedgeIQ,可協助企業掌握整體網路環境傳輸的封包流量,以及威脅活動狀態,當中透過圖形化的方式呈現多種維度的威脅面向,例如,攻擊行為發動的來源、目的地、頻率、規模,讓資安分析人員能夠更直覺地辨識出威脅的樣貌,發現安全風險最高的行為,及早採取必要的行動。

圖中WedgeAMB的網頁管理介面,以圖形化的儀表板呈現,分為四大區塊。
其中,位於左上方的部分,主要是24小時內的安全事件態勢;右上方則是10天內的安全事件統計,分為網路入侵、病毒、進階持續威脅等4大項;左下的圖表,是以地圖定位的方式顯示惡意軟體的來源;而右下方則是以長條圖的形式,來表現安全事件所經歷的時間。

 

在WedgeAMB的網頁介面上,企業可以進一步檢視系統所偵測到的安全事件細部記錄,並且予以匯出,以便提供給安全資訊與事件管理系統執行分析。

產品資訊

Wedge Advanced Malware Blocker
●原廠:Wedge Networks
●代理商:鈺登科技(03)563-8888
●經銷商:翔宇科技(02)8911-0413
●建議售價:廠商未提供
●產品形式:硬體設備NDP-2200T、虛擬機器(最大流量10 Mbps、1 Gbps)
●硬體設備規格:2U機箱,網路埠為8個10GbE埠(銅線和光纖各4個)、2個GbE埠(管理)
●支援虛擬化平臺:VMware ESX、Oracle VM

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商】


Advertisement

更多 iThome相關內容