吳明宜FireEye 郵件與端點防護 完整阻斷 APT 攻擊
隨著進階精準威脅 (Advanced Precision Threat, APT) 演化出多管道的威脅型態,FireEye 也提供郵件與端點防護方案。
現今企業正遭遇來自四面八方的攻擊,包括外對內的攻擊:包括經由 port 80/443 的 Web 瀏覽器入侵 Web 伺服器、經由 Port 25 攻擊郵件伺服器,以及內對外流量的感染:員工上網期間 PC 、智慧型裝置被植入惡意程式,而惡意程式進入企業內網後再橫向移動,感染其他伺服器或員工裝置。因應針對不同 APT 攻擊管道,FireEye 也發展出 Web(NX) 、郵件 (EX) 、端點 (HX) 及資料中心伺服器 (FX) 等完整而靈活的防護方案。
此外 FireEye 的即時 APT 防護平台 Oculus 可整合來自全球 60 餘國 3,500 家客戶,涵括 900 多萬個虛擬機器 (VM) 及超過 400 萬端點設備的動態威脅情報 (Dynamic Threat Intelligence, DTI) 提供威脅分析情報,提供戰術及戰略的詳細情資,協助企業掌握攻擊地景,制訂適用及可行的作戰方案。
零壹科技資深技術顧問陳鳴豪則介紹 FireEye 郵件及端點 APT 防護方案。 FireEye 郵件防護方案 (EX) 內建 MVX 引擎,可針對郵件挾帶的檔案及內容中的 URL 進行分析與攔阻。 EX 可在 VM 中執行郵件附檔藉此偵測惡意程式,支援 30 餘種檔案格式,即使攻擊程式藏在壓縮檔也沒問題;EX 基本上即可偵測高達 3 層壓縮的檔案,如經調整後更可進一步偵測最高達 7 層的壓縮檔。而針對有密碼保護的 PDF 和 Microsoft Office 檔案也提高了分析能力,可根據郵件本文或密碼清單猜測密碼以解密分析,支援語言涵括英文、亞洲及斯拉夫語系檔案。此外也支援.7z 壓縮檔解密及 base 64 編案的檔案分析。
EX 動態 URL 分析 (Dynamic URL Analysis, DUA) 則可從郵件取出 URL 後,將指向的檔案下載分析是否為惡意檔案,如果判斷有惡意行為,則立即加以隔離或是直接移除該郵件,而它也能利用「相似但不等於」的網域偵測技術,例如 weIIsfargo 其實是運用了 2 個大寫的 i 來冒充 l,抓出偽冒合法網站的 URL 。
EX 獨特的多階段偵測技術,可透過和惡意程式互動,藉此更精準判斷惡意行為,像是在多階段攻擊程式偵測中,EX 會開啟檔案、執行巨集載入 downloader 以下載更多檔案加以偵測惡意程式對外部主機的回報 (call back) 行為。
FireEye 彈性的部署架構,可支援從較被動的 BCC/Drop 模式或 SPAN/TAP 模式到主動式 inline 偵測 (MTA 模式) 。偏好雲端或是已經部署雲端防毒及垃圾郵件過濾方案的企業,可結合 FireEye 的電子郵件威脅防護 (ETA) 雲端方案。 FireEye 新推出的 Cloudburst,則將 MVX 強大分析技術延伸到叢集及雲端上,適用於混合環境的部署。
在端點防護方面,FireEye HX 將 MVX 引擎部署在端點,可在攻擊階段偵測及防堵入侵企業內網,並提供端點事件蒐證。和一般防毒方案不同之處在於,HX 運用代理程式 (agent),免除防毒產品沈重的運作負荷,結合 Indicators of Exploit/Compromise (IoE/IoC),提供常態攻擊防護同時維持系統高效能。 HX 的 Exploit Guard 可根據防護政策偵測和警示入侵端點的程式。而企業搜尋 (Enterprise Search) 允許 IT 經理輸入特徵條件即可搜尋到有無其他人遭受感染,一旦發現則可加以鎖定,以限制感染範圍。 FireEye CM 中央管理 (Central Management) 平台提供告警管理 (alert management) 及 SmartVision 視覺化的星狀檢視圖,方便安全管理員全視角掌握企業網路的惡意程式活動及細節。
