FireEye整合防护、情报与支持服务 延续沙盒技术领先优势,从网关实时封锁APT
首页 > 安全动态 > FireEye整合防护、情报与支持服务 延续沙盒技术领先优势,从网关实时封锁APT
 
FireEye整合防护、情报与支持服务 延续沙盒技术领先优势,从网关实时封锁APT
--------------------------------------------------------------

在全球APT解决方案市场中相当知名的FireEye,可说是率先采取在网关端加入Sandbox机制,以动态分析判断档案是否含有恶意软件的厂商之一。

 

FireEye实验室资深研究员张荣华指出,虽然Sandbox(沙盒)的技术表面上不难,但其中有许多细节是FireEye特有机制。像是内建启发式(Heuristics)、动态分析(Dynamic Analysis)机制,来检测网页、电子邮件夹带的各种文件格式,甚至MP3、RealPlayer、图像文件等,也可能是有害的,因此同样必须纳入检测。


最重要的是FireEye威胁防御平台(Threat Prevention Platform)是以自主研发的虚拟主机环境来运行Sandbox,因为APT并非普通的恶意软件,技术层次较高,往往会具备环境感知(Environment-aware)能力,一旦发现所处在常见的虚拟主机环境时,便会立即停止活动。采取非开放原始码的特殊虚拟主机技术,不仅让黑客无法掌握回避的方法,同时搭配专属硬件设计,可以藉由微调核心程序优化执行效能,更可同时运行模拟多种客户端环境。

 

张荣华说明,其分析方式是以流量式分析(Flow-based analysis),而非纯粹的对象分析(Object-based analysis)。由于恶意软件的格式经常变换,或是采用加密机制,无法直接经由网络封包解析取出,因此必须透过分析整段的网络流量,才能判定该流量是否存在恶意,像是执行Call-back中继站(C&C)等动作。

 

至于端点方面,张荣华认为,仍旧需依赖传统Policy、防病毒软件等方案来搭配,利用网络层发现的APT攻击情报,来清除恶意软件,当然此时就必须由资安专业人员来执行。一旦被判定为恶意软件后,必须要从计算机取证工作开始,查看所有的记录线索,逐步追溯。以过往的经验来看,要找到第一个被渗透进入的管道会比较难,因为该恶意软件可能已经存在一段时间,因此需仰赖FireEye设备于网络层搜集信息,循线找到发送感染病毒的计算机。

 

近期FireEye亦进一步扩展其侦测方案,推出实时、不间断的Oculus防护平台。除了以既有的威胁防御平台为基础,亦包含动态威胁情报(Dynamic Threat Intelligence,DTI),为FireEye在全球部署搜集威胁情报机制。其运用巨量数据分析技术,可快速汇整进而分析大量攻击资料,以提升最新攻击模式的辨识能力,协助发现潜在与实际受害者,并提供相关预测信息。

 

原文出处:http://www.netadmin.com.tw/article_content.aspx?sn=1401080002

  > 一周海外安全事件回顾(2015041
  > 2014互联网金融安全漏洞分析报告
  > 美国网络信息安全产业格局分析报告
  > 远程让手机重启算不算漏洞?
  > 德国钢厂受网络攻击 造成重大损失
  > Trustwave公司收购Cenzi
  > APT安全解决方案面面观
  > Infoblox联合FireEye推
  > 企业到底该选择什么样的安全设备?
  > Web应用程序安全必须重视八大问题