老牌資安廠商Check Point,針對未知威脅的防護,自2015年推出SandBlast零時差防護解決方案,包含 Threat Emulation(TE)與Threat Extraction(TX)功能,前者是沙箱模擬機制,後者他們稱之為威脅萃取,也就是運用了CDR技術,針對文件檔案提供相應的處理。目前,他們將此方案應用在郵件與網頁下載的防護。

與這次其他測試產品不同的是,這套SandBlast方案融合於自家威脅預防體系,並不完全以專屬產品形式提供。

更具體一點來說,Threat Extraction提供於SandBlast網路與端點防護產品。在網路安全部份,對應的是SandBlast Network產品,例如內建NGTX軟體組合的次世代防火牆,並搭配中控管理主機而成,可針對SMTP協議MTA模式,也就是可處理郵件附檔。而在端點防護所對應的是SandBlast Agent產品,將能夠處理來自HTTP/HTTPS、用戶從網頁下載的檔案。

此外,CheckPoint也提供開放型的API,如果企業有客製的應用程式,想要使用SandBlast的功能,就能整合應用。然而,他們並未針對可攜式媒體、檔案伺服器等管道提供產品方案。

對於有意或已經採用SandBlast網路安全產品的企業用戶來說,可以直接啟用Threat Extraction的防護,增加未知威脅防護能力,反之,企業用戶就要整套部署,不如單獨採購專屬產品划算。

至於SandBlast Agent本身也是統合多項功能,像是勒索軟體防護、端點鑑識分析,以及防毒、全機加密、USB加密、VPN等。不過,當中的SandBlast Agent for Browsers功能,目前已有不安裝代理程式、可單獨選購的銷售方式,採購上會相對有些彈性。

Check Point提供沙箱與威脅萃取的解決方案,並整合在他們的SandBlast網路與端點產品中,可對應郵件與網頁下載的管道,提供防護。在Smart Event後臺介面,將可檢視Threat Extraction處理的防護紀錄。

郵件安全防護作法特別,採CDR與沙箱併行處理方式

在郵件防護功能方面,以SandBlast Network次世代防火牆產品為例,在R77.30版本後,開始提供TE沙箱模擬與TX威脅萃取技術的防護,協助企業用戶做到郵件附檔安全防護。

這裡的運作方式相當特別,不同於這次測試的其他郵件CDR產品。舉例來說,當外部郵件經安全閘道過濾,上述兩項機制會併行處理,也就是說,閘道端會將郵件經CDR處理,並傳送至使用者信箱,同時,也會將郵件送至Check Point雲端沙箱檢測(企業也可額外選購產品自建於企業內部)。

在這兩項技術的併行之下,由於沙箱檢測時間可能花上較久的時間,透過CDR技術的輔助,企業用戶可以較快收到無潛藏威脅性的附檔,同時,經CDR處理的每封郵件,也會附上說明與一個連結,若使用者必須取得原始檔案,則是可以透過該連結,前往系統提供的自助服務登入頁面,自行取回原始檔案。而且,使用者所能取得的,只有經沙箱判定沒有惡意程式的檔案,若是檢測出惡意程式,系統將封鎖、刪除。因此,與其他郵件CDR方案相比,在取回原始檔案的機制上,這裡也能提供較為自動化的作業流程。

而這裡的相關防護設定,管理者可透過Smart Console後臺管理介面來管控。以Threat Extraction的功能而言,這裡支援的檔案格式以Office文件、PDF與圖檔為主,像是Word、Excel、Power Point,以及JPEG、PSD與EPS等圖檔。

基本上,管理者可針對指定的檔案類型,啟用郵件檔案威脅清除防護,並可制訂多條管控原則,具設定彈性。

特別的是,這裡提供了兩種處理方式,一種是從檔案包含的物件拆解,可根據巨集與指令碼、內嵌物件、內嵌圖片與PDF JavaScript等檔案部分來設定,同時,介面上附加了風險等級的提示,像是巨集與JavaScript的部分,就列為最高風險等級5,讓管理者對於各個物件的潛在風險,能有更直觀的瞭解。另一種處理方式,則是轉換成PDF。

提供瀏覽器附加元件,可針對網頁下載提供檔案威脅清除

在SandBlast Agent解決方案,當中的CDR防護管道,可作用於網頁下載。

在部署架構上,可分成端點代理程式與瀏覽器擴充套件兩種。前者需安裝SandBlast Endpoint Protection軟體,支援Window 7與Windows Server 2008 R2作業系統,可透過Smart Center後臺介面集中管控。而當中提供的SandBlast Agent for Browsers功能,可為用戶端安裝瀏覽器附加元件,以執行Threat Extraction的防護功能,目前能夠支援Chrome、IE、Firefox等瀏覽器。

後者的差異在於,可不安裝代理程式,單純採購瀏覽器附加元件,而它的管理方式則是透過雲端。

值得一提的是,原廠透露,未來網路產品的Threat Extraction功能,也將能以閘道方式,針對網頁上傳、下載執行防護。不過,Agent端的應用仍有其便利性,像是使用者如果在公司外上網,也能受此機制防護。

 Check Point SandBlast Network/Agent特色一覽 

檔案威脅清除提供兩種處理方式

Check Point的Threat Extraction功能,支援Office、PDF與圖檔,並提供CDR技術與轉存PDF兩種檔案威脅清除的處理方式。

設定細項具有風險等級提示

在Threat Extraction的原則管控設定中,除了可針對指定檔案格式,也能進一步從檔案包含的物件拆解,清除巨集與JavaScript等內容。

可防護網頁檔案下載

在SandBlast Agent產品中,透過瀏覽器附加元件即可執行Threat Extraction的防護功能,像是下載一份Word檔案時,該附加元件可將該檔案,自動轉換成PDF檔下載。

整合沙箱技術應用

SandBlast解決方案將沙箱與CDR防護功能整合,相當特別。管理者透過Smart Console管理介面,可管控透過SMTP與HTTP協定傳送至企業的檔案內容。

提供郵件安全與自助取回機制

在SandBlast Network產品的防護下,可幫助企業使用者收到的電子郵件,經過檔案威脅清除機制防護,特別的是,這裡還整合了使用者自助取回原檔的機制。

 

 產品資訊 

● 原廠:Check Point (02)2703-2798

● 代理商:聚碩(02)8797-8260

● 產品建議售價:SandBlast Network:以型號CPAP-SG5200-NGTX硬體產品為例,136萬元,需搭配SmartConsole中控管理主機,如CPAP-NGSM405為75萬元。SandBlast Agent:每用戶端3,500元,SandBlast Agent for Browsers每用戶端1,500元。

● 支援防護管道:可針對郵件與網頁下載的檔案傳送防護

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商】


Advertisement

更多 iThome相關內容