AhnLab與瑞奇數碼攜手　助台灣用戶建立APT防禦奇效

相較於傳統安全威脅，APT著實大不相同，其藉由模組化惡意程式的持續性更新、長期的秘密行動，乃至針對特定目標量身打造攻擊程序，故而能規避傳統的特徵碼檢查，挾著看似正常無虞的身段，依循Web、Email、FTP或SMB等不同路徑，悄然將惡意程式送入企業門戶。

在此前提下，多數企業面對刁鑽詭譎的APT，皆備感無力，只因為意欲針對Web、Email、FTP與SMB架設多道防禦機制，不免徒增成本負擔，亦唯恐影響網路應用效能，一旦有所取捨，僅執行選擇性補強，又生怕掛萬漏一，無法全面遏阻APT入侵，因而陷入兩難。著眼於此，一向積極導入優質資安方案的瑞奇數碼，幾經深入研究評估，在2013年底擇定與韓國AhnLab策略合作，將其MDS解決方案引進台灣，希冀協助在地用戶儘速填補APT防禦缺口。

AhnLab亞太區資深業務經理趙元皓表示，該公司成立於1995年，現今為韓國最大資安廠商，歷經十餘年淬煉，深具病毒或惡意程式防護Know-how，得以贏得韓國眾多政府機關、金融機構乃至一般企業青睞，負責提供資安產品、專業諮詢顧問與安全代管服務，爾後更跨足國際舞台，一舉囊括20國逾2.5萬家企業用戶基礎，目前則將推廣重心置於APT防禦，主攻MDS(Malware Defense System)方案。

結合多層防禦機制　讓駭客再無可乘之機

趙元皓認為，APT之所以對企業構成巨大威脅，在於攻擊者技藝高超，巧妙利用社交工程，誘使特定目標點閱惡意檔案，且因為這些檔案埋藏未知特徵，足以閃躲傳統資安工具的特徵碼檢測機制，所以能長驅直入，令受駭對象深受其害。

AhnLab基於長年對抗惡意攻擊的經驗，深知傳統偵測模式，不足以探索此一新型態威脅，於是貫穿市面上可見之動靜態分技術，將特徵碼比對、評價規則，以及植基於虛擬機(沙盒)的動態行為分析技術，全數融入MDS防禦架構，不僅如此，還特別加入了AhnLab獨門偵測及防禦技術，全面清除APT惡意程式見縫插針的可能性。

舉例來說，MDS除了可透過基本的特徵碼檢測，並結合雲端資料庫的黑白名單比對，優先剔除大多數已知惡意程式，繼而可藉由沙盒執行惡意行為模擬分析，據以揪出未知惡意程式，最終還能施展獨特的動態內容分析檢測技術(Dynamic Intelligent Content Analysis；DICA)，逼使一些擅於在沙盒環境刻意隱匿蹤跡的惡意程式現形。比方說，某些包藏禍心的PDF檔案，如果只看第一頁，往往正常無誤，但在使用者翻閱第二、三…頁的過程，才會驅動惡意程式，此時若僅借助沙盒模擬，未必能洞察箇中玄機，然而只要透過DICA技術，便可對整份檔案的Shellcode加以重新分析，逐一釐清隱身於不同頁次的可疑指令，終至將幾可矇混過關的APT毒害一舉成擒；因此AhnLab MDS在2013年7月接受MSS NSS Lab嚴格測試，展現高達94.7%的危害偵測率，這般成績絕非僥倖。

此外，用戶採用一般APT防禦工具，另有一大苦惱，意即縱使可辨識惡意程式，但一時之間卻無適當「解藥」可修復受感染主機，且對於並非經由網路入侵(如USB)的毒害，亦無有效解決對策；反觀AhnLab MDS，不論面對經由網路或非網路傳輸而來的惡意程式，一經察覺異狀，都可立即透過端點程式(Agent)加以阻擋，且一併修正已遭感染的主機，最終還可透過Data Viewer所彙集相關日誌檔，為管理者呈現詳實報告，俾使用戶對於APT攻擊源頭，以及公司內遭受感染的對象、時間，都能清楚掌握，以利於進一步優化安全政策與防禦措施，將資安體質調校得更加完善。

 透過單一設備　一網打盡不同感染途徑

趙元皓強調，值得一提的，AhnLab MDS為All-in-One架構，不僅內含多層次偵測機能，且能同時面對Web、Email、FTP或SMB施以防護，因此用戶僅需投資單一設備，便可全面抵禦APT，無需分別部署不同Detector方案而墊高成本；再者，AhnLab MDS係以Out-Of-Path旁路模式，從企業網路上擷取檔案來執行分析，並非取決於在線模式(In-Line Mode)，可避免衝擊企業網路效能。

瑞奇數碼總監李榮燦補充，其與AhnLab談定MDS代理權後，旋即為此開發繁體中文系統介面，並針對經銷夥伴展開教育訓練，也預先備妥了多套展示機，輔以專業團隊隨侍在側，協助政府、金融、教育或一般企業等有意評估MDS的單位進行測試。

另一方面，依照AhnLab在韓國的服務模式，其重點往往不侷限於防護產品的提供，而是透過其支援中心提供經驗與知識傳承，協助企業強化資安意識；趙元皓也期許瑞奇數碼能發揮類似功能，以期幫助台灣用戶培養更為健全的資安防禦思維。