新一代全方位惡意內容過濾平臺來了！結合多種技術與偵測引擎

許多企業已經或正在踏入上雲的轉型歷程，在各種可能遷移到公有雲環境的IT應用當中，電子郵件系統應該是公認相對容易進行的部分，而雲端業者與此有關的用戶數量，如今也發展到相當驚人的規模，以同時提供Exchange電子郵件服務的微軟Office 365為例，今年4月的付費商業使用者已來到3.45億人，包含Gmail電子郵件服務的Google Workspace，截至去年10月為止，用戶數量已突破30億大關。

如同Windows作業系統內建微軟發展的防毒軟體，兩大公有雲業者的電子郵件服務，均強調整合多種防護機制，並且持續發布網路釣魚手法、資安漏洞等各種威脅情報，然而，面對千變萬化的網路攻擊態勢，以及各種無孔不入的滲透手段，企業需考量搭配或改用其他更專精於電子郵件資安解決方案的可能性，而非單靠系統平臺預設的安全性機制，這類產品與服務經過長期發展，已相當成熟，選擇很豐富，市面上已有很多以此起家的資安廠商，或是後續延伸至此領域的大型資安業者可供評估，在產品類別上，則有專屬郵件過濾閘道設備或軟體系統、多功能UTM/次世代網路防火牆、獨立或選購的郵件沙箱檢測系統，以及後起的SaaS雲端郵件安全系統、雲端存取安全中介服務（CASB）。

然而，隨著進階持續性威脅（APT）、木馬程式、勒索軟體的不斷演化，多數企業與組織都體認到各廠商的電子郵件資安防護系統的技術與功能雖然與時俱進，終究比不上惡意軟體與網路釣魚手法的快速發展，於是，會把部分心力投注在人員的資安意識訓練，希望透過人機合作的方式，設法降低透過電子郵件傳入的各種資安威脅風險。

而在眾多郵件資安品牌的環伺之下，今年我們難得看到有新的廠商出現在臺灣市場，而這個品牌就是漢領國際代理的Perception Point，該公司於2015年成立，由一群出身以色列國防軍（Israel Defense Forces，IDF）的網路威脅情報專家所創立，他們開發出結合軟硬體功能優勢的平臺，可在駭客有能力滲透各種企業與組織之前，就能偵測到各種濫用的活動，相關的伎倆能在惡意軟體散播到系統之前現形，而不會導致破壞或損失。

相較於現行的電子郵件防護系統，Perception Point同時結合了多種技術，包含多種防護引擎、沙箱檢測、程式碼掃描分析，以及本身蒐集與外部單位的威脅情資，可同時偵測垃圾郵件、網路釣魚、惡意軟體、APT、規避偵測的可疑程式碼與巨集。

以防毒引擎而言，Perception Point整合ESET、Avira等兩大商用等級廠商的技術，以及開放原始碼ClamAV的技術。

.

而面對商業電子郵件詐騙（BEC）類型的網路攻擊，他們導入了基於機器學習技術而成的方法，可檢測所有相關的資料與詮釋資料，分辨所有偏離標準作業的異狀，在這些信件送達終端使用者、進行後續操弄與誤導之前，就能偵測出問題。

基於英特爾CPU內建的處理器追蹤技術，可動態偵測漏洞濫用活動，以及建立新型態沙箱檢測環境

值得一提的是，他們在自家的服務當中，運用了獨創的硬體協助平臺（Hardware-Assisted Platform，HAP），能夠透過CPU層級的技術，因應檔案與URL網址型態的攻擊活動，可在攻擊鏈的更早階段，例如，在出現漏洞濫用行為等這類惡意軟體植入之前的活動，就能進行阻擋，實現更完善的APT預防。

他們宣稱，平均3秒可產生單一、具決定性的判斷，在低誤判率的表現上，超越當前各種動態與靜態引擎，而且能做到100%流量的掃描，而非透過統計與推測等取巧方式來進行判定。

根據Perception Point的解釋，HAP是結合CPU層級的資料與特殊軟體演算法的動態引擎，能夠因應未知的資安威脅，因為這項技術主要是在漏洞利用的攻擊初期階段奏效，一旦他們的服務偵測到這樣的行為，就能在幾秒鐘之內進行阻隔。

HAP能夠存取CPU層級的資料，而能直接從CPU掌握整個執行流程，分析程式碼在CPU層級執行的狀態，進而揭露任何網路攻擊背後採行的濫用漏洞核心手法，而且能夠針對複雜的規避偵測做法予以預防，Perception Point表示，基於這項次世代的沙箱檢測技術，可以動態掃描所有內容，透過決定論的方式在惡意軟體開始進行散播之前進行攔截，能做到即時預防、實現早期攔截的處理，以此對抗複雜的網路攻擊。

而在沙箱環境的設置上，Perception Point自行打造了Hypervisor，作為底層硬體（內建PT功能的英特爾處理器），以及上層虛擬機器之間的橋樑。而虛擬機器的作用，主要是觸發檔案與URL網址的執行（就像引爆地雷）──當檔案在虛擬機器裡面執行，整個運作的流程與虛擬記憶體的變更都會被記錄下來（建立一個追蹤檔案），而這些資料與記憶體事件隨後會送至Perception Point系統平臺的掃描器，偵測裡面是否有惡意執行活動。

細部來看，HAP可區分為3種軟體演算法：Dropper、CFG、FFG。以Dropper為例，可察覺是否有程式臭蟲與惡意巨集程式與指令碼，當中將運用進階啟發式引擎，掃描現行的執行流程中是否出現被禁止的程式運行路徑，藉此偵測邏輯臭蟲，以及處理各種巨集程式與指令碼。為此，Perception Point目前已開發出數十種Dropper規則，以符合不同應用程式的需求。

CFG可協助偵測零時差漏洞與破壞記憶體等濫用活動，此技術會記錄CPU處理檔案與URL網址的過程，並透過檢查整個執行流程來識別是否有濫用漏洞的行為──能以此偵測是否存在偏離程式正常執行流程的活動，再據此判定為惡意行為。Perception Point能夠針對每支應用程式產生控制流程圖學資料（control flow graphs），從而識別是否在執行時期的階段出現了偏離的流程。

FFG能辨識LOP（迴圈導向程式設計）、COOP（偽造物件導向程式設計）等進階漏洞濫用手法，對於可通過一般CFI（控制流程完整性，Control-flow integrity）演算法檢查的漏洞攻擊伎倆（Post-CFI Attacks），能夠偵測出來，Perception Point在此運用特製的語意感知（semantic aware）流程圖學處理技術，能針對不同應用程式偵測是否出現任何偏離執行階段的流程。

而在HAP的掃描效率上，根據Perception Point的評估，他們的串流掃描，也就是同時進行多個掃描，若再加上記錄相關資料的時間，可控制在20秒以內（掃描僅需10秒以內、記錄需20秒以內），而其他廠商的沙箱檢測與防毒解決方案，掃描時間為7到20分鐘。

另一個該公司主打的特色，且能協助HAP發揮更大功效的特殊處理技術，則是遞迴拆解（Recursive Unpacker）。他們能透過不斷重複循環執行的方式，將所要分析的數位內容，拆解成多個檔案、URL網址、甚至前兩種更小的物件，而能識別出隱藏的惡意攻擊行為，之後，再將所有拆解開來的隱藏元件，交由資安偵測與分析引擎來進行處理。

以電子郵件為例，這項技術能將信件與附件嵌入的檔案及URL網址提取出來，再將這些個別內容交由Perception Point的多種偵測引擎來掃描。

除了遞迴拆解，Perception Point同時也運用另一種稱為驗證器（Validator）的技術執行，希望透過多種靜態與動態演算法來產生深層內容檢測，針對規避偵測的精密複雜手法，提高快速識別能力。而所謂的驗證器，是針對具有多個版本、模式但內容相同的檔案與URL網址而來，他們將執行特殊演算法，確認攻擊是否運用未知的規避偵測方式。

提供易用的網頁管理介面，可進行事故調查與應變

除了種種創新的資安威脅偵測技術，Perception Point也提供功能豐富程度直逼安全維運管理中心（SOC）等級的網頁操作介面，名為X-Ray，資安人員可在此查看企業目前的電子郵件資安現況，管理相關的政策與控制原則，也能自定與定期產生各種狀態統計報表。

同時，用戶也能進行事故應變（Incident Response），若需要原廠協助調查，可在網頁介面按下「請求調查」的按鈕，即可與Perception Point的網路安全分析師聯繫，請他們幫忙守護企業安全。

拓展至更多網路內容交換管道，並能與其他資安廠商搭配，補強、補足既有解決方案

關於Perception Point提供的解決方案，其實並不只是電子郵件的保護，在產品定位的宣傳策略上，Perception Point不僅著重在他們對於企業資安威脅的偵測能力，也特別提出「預防即服務（Prevention-as-a-Service）」，表明能同時做到威脅的攔截與阻隔，所防護的環境，也包含即時通訊、網站入口、雲端儲存、雲端應用程式、客戶關係管理系統（CRM）、虛擬辦公空間、社交網站，以及各種能夠交換檔案與網址的管道。同時，他們也能夠透過易於實作的API技術，將本身的資安解決方案以此種形式提供給用戶。

在市場業務的拓展上，Perception Point也與其他資安廠商合作。例如，2020年宣布在CrowdStrike Store市集當中，提供Perception Point X-Ray的整合應用，若啟用相關搭配，CrowdStrike的EDR平臺Falcon就能透過Perception Point來強化雲端協同運作與儲存服務的內容安全，可自動掃描企業現行的各種內容交換管道（亦即上述的線上內容存取環境），將所有使用面臨外洩或滲透的部分標示出來，並且即刻進行管制，不再允許傳輸或存取。

另一個合作對象是近年來擴大資安解決方案布局的Acronis。Perception Point 表示，從2020年中期他們開始拓展代管服務供應商（MSP），以及資安代管服務供應商（MSSP），而不只是中小企業，先與美、加兩國的小型MSSP業者，完成初步的合作計畫簽署，到了去年6月，Acronis宣布在旗下Cyber Protect Cloud服務當中，推出進階防護套件，針對電子郵件安全的部分，就採用了Perception Point的解決方案。

產品資訊

Perception Point Advanced Email Security Service
●原廠：Perception Point
●代理商：漢領國際
●建議售價：廠商未提供，用戶訂閱授權數量自50個電子郵件帳號起算
●防禦資安威脅類型：漏洞濫用攻擊、網路釣魚、商業郵件詐騙、帳號冒用／橫向移動網路釣魚、規避偵測
●進階威脅防禦功能：垃圾郵件過濾、遞迴拆解、威脅情資（威脅獵捕）、網路釣魚防護（網址信譽引擎、智慧型圖像辨識分析）、惡意軟體防護（防毒靜態特徵碼比對）、商業郵件詐騙防護、硬體輔助平臺（HAP）
●提供加值服務類型：事故應變、安全維運管理中心、24/7支援

【註：規格與價格由廠商提供，因時有異動，正確資訊請洽廠商】