很早就開始跨入進階威脅防護(Advanced Threat Protection)領域的趨勢科技,他們所發展的解決方案是Deep Discovery系列,而當中最為人所知的兩套產品,主要是負責監控網路連接埠與通訊協定的Deep Discovery Inspector(DDI),以及提供沙箱模擬分析功能的Deep Discovery Analyzer(DDA),而該系列還包含了其他產品,像是Deep Discovery Director(DDD)、Deep Discovery Email Inspector(DDEI),以及Deep Discovery Web Inspector(DDWI)。

Deep Discovery系列包含多種產品,上圖是其中4套系統之間的關聯架構,其中的Deep Discovery Director是負責集中管理,Deep Discovery Email Inspector提供郵件APT攻擊的防護,是由趨勢郵件安全閘道系統IMSVA延伸而來,Deep Discovery Analyzer提供用戶可自定的沙箱模擬分析功能,Deep Discovery Inspector本身是一臺網路設備,可監控全部的網路埠與105種以上的通訊協定,能持續偵測進出內外網路與橫向移動的進階威脅。

針對Deep Discovery系列產品的集中控管需要,DDD提供部署、組態複製與記錄彙整,至於DDEI和DDWI,則是分別管控郵件夾帶的網址連結與附件檔案,以及檢測網路流量,而且它們也是衍生自趨勢本身發展的兩套安全閘道產品──郵件安全防護閘道InterScan Messaging Security Virtual Appliance(IMSVA),以及網頁安全閘道防護閘道InterScan Web Security Virtual Appliance(IWSVA)。

這是郵件APT防護的產品Deep Discovery Email Inspector(DDEI),能夠針對使用者接收到的電子郵件,當中所嵌入的可疑網址連結與附件檔案,執行掃描、沙箱模擬與分析。架構上,DDEI能以郵件傳輸代理(MTA),在郵件收發的流量當中處理,或是以獨立架設的設備,透過頻外監控的方式來偵測網路威脅與可疑郵件的動向。

    

上面兩張圖分別是DDEI提供的兩種郵件寄送者過濾機制,左圖是防禦電子郵件地址搜尋攻擊(Directory harvest attack),右圖是對於反彈攻擊的防護(Bounce attack protection)。

DDEI在2018年6月和10月發布了3.1和3.2版。以3.1版而言,DDEI強化了商業郵件詐騙(BEC)攻擊的防護,支援SPF、DKIM、DMARC等三種郵件寄送者身分認證標準;同時,3.1版也新增三種偵測功能──掃描郵件夾帶的RTF檔案當中的URL網址、提升郵件夾檔密碼還原能力,以及預測性機器學習。
上圖就是採用預測性機器學習技術來掃描的功能,可偵測郵件附件中存在的資安威脅及所屬類型。

DDEI新增了點擊當下的保護(Time-of-Click URL protection)功能,管理者啟用這項機制之後,系統會將電子郵件當中的可疑網址,執行重新寫入的作業,並趁機交由趨勢的Smart Protection Network的分析,判斷是否具有威脅,並根據不同的風險等級來套用指定的操作。

基本上,這些產品彼此之間雖有發展時間、發行版號的差異,但在2018年都已推出1到2個新版,而趨勢也在去年8月發出新聞稿,強調Deep Discovery系列持續提升偵測與分析網路進階威脅的能力,並可透過自動化分析與網路事件交互關連機制,協助企業加快調查與反應的腳步。

圖中的產品是Deep Discovery Director - Network Analytics(DDNA),主要功能是將網路流量封包記錄轉為Metadata 後的分析,管理者可在當中產生的報表內容,察看威脅相關資訊、關聯性,其中網路連線的關係能以動態的方式呈現。

以Deep Discovery系列新增加的網路分析功能而言,可協助資安團隊運用自動化的方式來回顧歷史資料,並且更容易判斷進階威脅的始作俑者、波及範圍、幕後首腦,換言之,企業能夠更快發現第一個遭到入侵的目標,掌握受到影響的其他使用者,同時,可以找到這些威脅對外聯絡的對象,包括:命令與控制伺服器(C&C)與惡意網站重新導向的目標。

同時,Deep Discovery系列也提升網路威脅情報的共享機制,可支援多種進階威脅資訊進階威脅資訊標準格式與傳輸管道,像是STIX、TAXII、YARA等,便於趨勢與其他廠商的資安產品,能夠順利交換各種入侵指標(IOC),取得即時的威脅情報,進而簡化IT團隊管理這些進階威脅資訊的負擔。

產品資訊

趨勢Deep Discovery系列
●原廠:趨勢科技(02)2378-9666
●建議售價:廠商未提供
●包含產品與形式:Deep Discovery Inspector為硬體整合設備、Deep Discovery Analyzer為硬體整合設備、Deep Discovery Director為虛擬應用設備
●偵測技術:網路流量監控、特製偵測引擎、沙箱檢測、全球網路威脅情報

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商】


Advertisement

更多 iThome相關內容