SonicWall 專家分享:淺談 DPI-SSL 與多引擎沙箱的重要性!
SonicWall 專家分享:淺談 DPI-SSL 與多引擎沙箱的重要性!
資安風險說了很多,而大部份企業亦已部署了相對的防禦措施,所以這次我們就不說太多「老生常談」的資安風險云云!反而想提出一個令人百思不得其解的問題,就是為甚麼部署了防禦方案後,仍然會成功被攻擊或入侵呢?
要數其中原因,員工疏忽會是一大因素!不過當你撇除人為因素後,防禦方案本身的真正實力便是主因。就以近期流行的勒索軟件為例,在我們接觸的例子當中,採用知名品牌防禦方案但仍然「中招」的案例多不勝數,這其中就要由勒索軟件的傳播途徑說起。
勒索軟件的傳播途徑以電郵為主,普遍的做法是將連結放到虛假電郵之中以誘使用戶按下連結、下載並執行檔案,這可稱得上是典型的「中招過程」。當用戶按下電郵的連結時,照道理防禦方案應會即時進行封鎖,但假如該連結採用的是 HTTPS 的話,大部份傳統的防禦方案便失去效用,這是因為傳統的防禦方案無法有效將加密的封包 (packet) 解密作掃描,所以即使傳統的防禦方案加入了sandbox (沙箱) 功能,亦不能發揮應有的防禦效力!
有見及此,業界便發明了一些有別於傳統防禦方案的 sandbox 去提升防禦效力。
拆解加密傳輸的潛在威脅
正如 SonicWall 便使用了一種新技術,稱為 DPI-SSL(Deep Packet Inspection of Secure Socket Layer)。DPI-SSL 扮演著中間人的角色,在加密的封包真正進入到用戶網絡前,DPI-SSL 能將封包解密及進行掃描,如沒有發現問題的話,會再次將封包加密並讓其繼續傳輸至目的地;反之,當發現問題時,便會及時攔截並傳回有關方面作進一步分析,完美地解決了傳統防禦方案的不足之處。
SonicWall 高級產品市場經理 Brook 指:「現今超過一半的惡意軟件在傳送過程中都會採用 SSL 加密,而加密傳送的原意是希望令資料封包在傳送過程之中不能被竊取,並確保資料安全;不過當機制被應用到惡意程式時,其傳送過程亦會被加密,而傳統 sandbox 難以從中進行解密,往往令整套防禦方案失去應有的防禦能力。」
零日攻擊:對防禦方案的另一考驗
除了加密的傳送方式令傳統防禦方案失去作用外,零日攻擊會是另一考驗!所謂的零日攻擊就是一些最新出現的未知惡意程式/威脅,傳統的防禦方案會透過 sandbox 在虛擬環境下執行可疑的檔案,以便取得執行檔案後的行為模式,最終判斷該檔案是否為惡意軟件。
不過正所謂「道高一尺,魔高一丈」,傳統防禦方案通過單一引擎 sandbox 進行模擬未免有點少看現今駭客的實力,為此業界現時已出現 multi-engine cloud sandbox (多引擎雲端沙箱) 的方式,通過在 sandbox 之中採用多個不同的環境作模擬,藉以提升攔截的準確率。
其中 SonicWall 提倡的 Capture ATP(Capture Advanced Threat Protection)便是一例。SonicWall Capture ATP 主要以雲端方式提供 multi-engine sandbox 服務,其中的好處就是能在不會大量佔用系統資源的情況下,做到實時模擬多引擎環境,包括由虛擬化、hypervisor 到整個系統都可模擬得到;當偵測到未知的威脅時, SonicWall Capture ATP 會暫時將可疑的封包暫存於雲端之中,待確保安全後,才會繼續完成封包傳輸過程;而假如在過程之中偵測到有問題的封包時,SonicWall 團隊亦可做到近乎實時分析,並釋出最新簽名檔;現時 SonicWall Capture ATP 除了能針對傳送封包作偵測之外,一般常見的檔案如 EXE、DLL、PDF、MS Office 文件、壓縮檔案、JAR 及 APK 等都支援得到。
SonicWall 大中華區總經理 Keith 指:「要有效為企業安全把關,首先企業需要教導員工,提高其安全意識;其次就是要配合全天候的防禦方案!而今次介紹的 SonicWall Capture ATP 本身能支援由 DPI-SSL 到 multi-engine sandbox 的模擬環境,從最基本的傳輸過程開始一直到零日攻擊及未知威脅等都能有效應對;一套方案提供全方位防禦,令企業能專注於日常業務發展,無需再為網絡安全而擔憂!」
Keith 續指:「我們的產品遍佈全球 150 個國家,而且在中國及美國亦設有自家 R&D 中心;而在香港我們與 Data World Computer & Communication Ltd. (Data World C&C) 合作了超過 20 年,他們擁有專業的銷售及支援團隊,因此能有效解決客戶所面對的種種問題。憑藉與 Data World C&C 團隊緊密合作以及專業的支援隊伍,我深信 SonicWall 必定能為企業解決到最困難的資安問題!」
香港獨家代理商
Data World Computer & Communication Ltd.
熱線: (852) 2565 8733
電郵: [email protected]
