黑客手法加速演變,IDC研究指,基於特徵辨識(Signature)的傳統企業資訊保安工具,愈顯被動,僅能抵禦現時三至五成左右的攻擊。
Websense技術經理譚偉基表示:「靜態的特徵碼及聲譽評級(Reputation)數據庫,難以即時響應動態變化的資安環境,僅是蒐集歷史數據,已無法有效預測未來攻擊模式。企業對外布下天羅地網,卻易忽略資訊由內部洩露。」
靜態保安已過時
回應以上資安挑戰,Websense TRITON 7.7為其實時內聯進階分類引擎(Real-time inline ACE),注入十項新功能。包括防範黑客入侵竊取數據的七項措施,以及三項針對內部攻擊的防護。
譚偉基解析進階攻擊不同階段,「黑客首先鎖定目標,針對性蒐集資料;以魚叉式釣魚(Spear Phishing)等手段,將其重新定向至惡意網站。繼而入侵並植入惡意程式,最終竊取並回傳機密資訊。」
譚認為,以上乃是環環相扣,並非獨立行為,因此關聯(Correlation)分析至為重要。過去保安措施,重在於前端攔截攻擊,而無論企業設下新一代防火牆、URL過濾或是防毒軟件,仍不免疏漏,令黑客以各種手段,繞過馬其頓防線,最終獲取數據。
「Websense TRITON以單一智能保安管理控制台,覆蓋防數據外泄(DLP)功能、電郵、流動及網上保安。用戶可選擇以現場(On-premise)、SaaS或混合模式部署。」
小題:實時URL沙箱分析
攻擊者常利用時間差,規避企業電郵保安掃描。黑客先於夜間寄出含有網站連結的電郵,因此時尚未感染,故能成功通行,抵達用戶收件箱。而次日用戶啟動電腦前,黑客已在網站內植入惡意程式碼,這時,基於特徵碼或信譽過濾的資安系統便束手無策。
譚介紹,Websense全新雲端沙箱(Cloud Sandbox)服務,能判別電郵內可疑連結,用戶點擊時,能於雲端環境內先行試險,分析網站內容,避免企業系統感染。
識別圖像式敏感資料
不少DLP系統標榜內容感知功能,能識別文字,但若敏感資訊以圖像格式傳送,則未必能有效偵測。而員工隨身攜帶流動裝置,可輕易拍攝,並透過互聯網上載含有機密資訊的相片,隨時潛藏風險。
「Websense根據客戶反映,為TRITON7.7加入圖像式文字識別功能(OCR),先判定圖像是否包含大量文字,並能識別包括繁簡中文、英文及日文等語言。」除靜態數據之外,也能分析正在使用甚至傳輸的數據。企業可按業務性質,自行定義敏感資料分類(Data
Classification)。
不少企業保安政策規定,短時間內傳輸大量敏感資訊,即會觸發警報。而此規則卻反被黑客利用,將資料切分,採用小量緩慢的定期傳送。新方案可敏感偵測此類點滴式傳送請求,有效阻截數據外泄。
黑客多以企業系統無法識別的形式加密文件傳輸,當TRITON偵測到未知或異常加密類別,立即封鎖並發出警報,提供細節資訊。此外,黑客盜取密碼後,於企業不知不覺間長期潛伏,作為日後攻擊據點。方案也能偵測包含Active
Directory/SAM數據庫中儲存數據的網絡傳輸請求,從而找出竊取密碼資料的入侵者。
TRITON7.7以簡明的蒐證儀錶板(Dashboard)方式記錄保安事件,呈現報告分析,並傳至保安資訊事件管理(SIEM)方案,黑客採用何種手法,針對哪些員工,竊取哪些數據,甚至最終被傳送至何處,皆能一目了然。Dashboard並標明攻擊的風險水平,便於企業優先處理。
沒有留言:
發佈留言