針對持續性進階威脅(APT)的防禦,需考慮網路與端點電腦兩個層面,藉此提供更全面的保護。像是以防毒軟體起家的南韓資安廠商AhnLab,在國內,可能許多人聽過的是他們的防毒軟體,而這家廠商,目前在臺灣主推的產品,則是屬於防範持續性進階威脅的Malware Defense System(MDS),能同時針對企業上網、電子郵件、檔案傳輸等應用,以及端點電腦上的異常流量,提供保護。而在2018年臺灣資安大會上,他們的代理商瑞奇數碼,介紹了近期引進的新款MDS設備。

具體運作方式而言,MDS主要透過截取的網路流量,過濾疑似異常的惡意攻擊,並依據威脅程度,加以排列處理的順序,而在回應的措施上,則能阻絕異常的網路流量,或是針對已受感染的端點電腦,進一步處理和隔離,減少惡意軟體橫向擴散的情形。

從AhnLab MDS 4000的新版(2.10)管理平臺上,其中的儀表板上,呈現從內部網路發現的威脅態勢,包含了攻擊鏈中,4個階段的事件數量統計,以及找到的惡意檔案、C&C中繼站、惡意網址等資訊,這裡依據時間和偵測到的屬性,繪製為每個時段的長條圖,並在區分風險程度之餘,也歸類出已知、未知,以及需要進一步解析的灰色地帶項目。此外,儀表板也顯示MDS沙箱設備執行動態分析的進度。

這裡列出的4個攻擊鏈階段,指的是初期滲透的跡象(Trial),成功滲透之後觸發並開始探查、活動(Initiation),以及之後連線回C&C中繼站,接收命令,還有最終攻擊者得手,資料遭到竊取(Information Compromise)。

這個系列的設備,向來都提供了3種規格可選,其中,新款最小型號的MDS 4000,是之前MDS 2000的升級版本,它能每天能夠檢查3萬5千個檔案,適用規模也從前一代的500人升級成700人,若要擴充能夠監控端點電腦的數量上限,MDS 4000也與其他同系列的機種相同,可加買MDS Manager。

相較於MDS 2000,MDS 4000的整體規格也有所升級。從網路介面來看,MDS 4000新增了既有機種所沒有的SFP+光纖介面的10GbE埠,而硬體的規格上,配備64GB記憶體MDS 4000較MDS 2000的16GB多了3倍。此外,企業若有更大規模的網路需要保護,以往的MDS 6000也升級成能保護2千人的MDS 8000,而最高等級的MDS 10000,新款仍維持同樣的型號名稱,但處理器升級為2個具有22核心的第4代Intel Xeon,記憶體容量則是翻倍,從256GB增加到了512GB,效能上可每日檢查20萬個檔案,保護5千人規模的網路。

在部署的模式上,一般可利用MDS 4000檢查所有進出的流量,但若是要特別針對電子郵件加強保護,MDS系列設備也提供了專屬的MTA模式,只對於電子郵件伺服器與電子郵件閘道等系統,加以偵測潛藏其中的威脅。

在檢測惡意攻擊的手法上,MDS內建了多重偵測流程,其中包含了黑白名單型態的手法,以及針對灰色地帶的檢查機制。在黑白名單的機制中,MDS具有特徵碼比對,與信譽評等2種做法。而這兩種方式的過濾名單來源,都是來自AhnLab的智慧型防禦雲端情資平臺(AhnLab Smart Defense,ASD)。此外,企業也能經由匯入YARA格式情資、設定檔案的MD5雜湊值,或是IP位址與網域的方式,加入自訂MDS的攔截名單。

對於未知威脅的分析,MDS採用了無特徵碼比對的做法,包含了行為分析,以及智慧型動態內容分析(Dynamic Intelligent Content Analysis,DICA)兩種模式,分別針對執行檔型態的惡意軟體,與可能夾帶攻擊指令的檔案格式,像是利用Word文件的攻擊手法,提供檢查的能力。以行為分析而言,MDS主要是偵測,檔案執行之後會出現的有害行為,而MDS內容分析的模式,則是透過反組譯,著重在找出記憶體內執行的攻擊手法。

在MDS 4000的智慧型動態內容分析(DICA)功能中,管理者可以針對含有惡意內容的檔案,檢視MDS 4000實際觸發的畫面截圖,以及執行過程中記憶體使用的情形,藉此得知其中包含的攻擊手法。

針對惡意軟體的執行情況,MDS 4000則是透過虛擬機器進行模擬、觸發,雖然過程可能會像圖中的螢幕快照,看起來沒有什麼動靜,但管理者可在MDS 4000的管理介面裡,得知其執行的流程,以及可能會啟動的應用程式等資訊。

在事件的分析上,MDS 4000不只是在儀表板上,列出攻擊鏈中各階段的事件總數量,針對個別的攻擊事件,也能呈現其發生來源、受害的使用者之間關連,並一併列出惡意軟體的詳細資料。

與端點電腦的協同防禦,也是MDS主打的特色之一。藉由部署在端點電腦上的代理程式,當使用者嘗試下載可能有問題的檔案時,則可經由暫緩執行(Execution Holding)機制,讓MDS先行檢查後,確定沒有威脅再放行。

產品資訊

AhnLab Malware Defense System 4000

●代理商:瑞奇數碼(02)2658-1786
●建議售價:廠商未提供
●可處理檔案數量:每日35,000個
●記憶體容量:64GB
●儲存空間:480GB固態硬碟及2TB磁碟
●使用者人數上限:700
●網路介面:4個GbE埠與4個SFP+埠
●可選購功能:電子郵件管理功能模組(MTA)、端點電腦管理設備 (MDS Manager)
●端點電腦代理程式支援平臺:Windows XP~10、Windows Server 2003~2016

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商】


Advertisement

更多 iThome相關內容