2016資安 - 強化端點進階威脅防禦的新世代防毒產品



摘自: http://www.ithome.com.tw/tech/109832

企業級端點進階威脅偵防系統

http://www.ithome.com.tw/article/109831


防毒軟體一直是端點電腦主要的保護傘,但現在的滲透攻擊多半規避防毒軟體偵測機制,導致難以發現受害範圍與攻擊來源,因此,如何有效強化端點異常行為的偵測與防禦,成為做好資安的必要條件
~
企業針對端點的保護,防毒軟體可說是基本配備,但是,近年來無法透過防毒軟體攔阻的惡意攻擊手法日益增加,像是大多數人聞之色變的加密勒索軟體,防毒廠商在發現攻擊的手法之後,便將相關的惡意軟體加入特徵碼中。然而當大量的變種軟體出現時,光是倚賴已經發生的事件,也難以直接防範其他的未知軟體。
而像是軟體漏洞的問題,也是有心人士運用的攻擊手段之一。但光是倚靠軟體供應商的修補,難以即時因應零時差漏洞,而且,對於在企業上來說,遇到廠商緊急製作的修補程式,來不及完整測試就推出的情況也時有所聞,導致某些電腦套用之後無法正常運作,影響企業生產力。因此,廠商就算提供了修正檔案,企業不一定願意立即套用。
對於企業來說,或許可以採用軟體白名單的方式,強制員工只能執行指定的應用程式,阻斷這類手法,可是,在現實情況中,通常管理者很難將所有部門所需執行各類型的軟體納入白名單,而且版本日新月益,若是隨著各類軟體的更新周期,調整白名單裡的比對資料,像是檔案的MD5或是SHA雜湊值等,也會大幅增加管理的負擔。
~
未知攻擊的因應成為新世代端點防護的顯學
在端點防護產品的功能演進,從早期的自動化、支援多裝置,到近年來已變成要求高度即時資訊,甚至期望能夠防範於未然,在找到疑似的攻擊就加以監控,一旦出現異常就進行相關的處置措施。(圖片來源/Accelerite)
協助企業找出潛藏在端點電腦的惡意攻擊行為
這類型的產品,在市場研究機構Gartner的分析報告中,稱之為Endpoint Detection and Response(EDR),顧名思義是針對端點的運作情況,收集情資,讓企業在發現異常時,可適時做出對應的反制措施。
我們在今年初,介紹過藉由發現企業內部使用者的存取行為異常,找出滲透式攻擊行為的解決方案(UEBA,也有人稱為UBA),與這次的端點進階威脅偵測與防禦系統(EDR)有其相似之處。這兩種系統,都是為企業找尋可能潛藏已久的惡意攻擊,因此,我們之前在UEBA產品中常見的攻擊鏈分析,在針對端點的EDR解決方案大多都有提供。
但不同的是,EDR解決方案著重於端點電腦行為的偵測,因此都必須在電腦部署代理程式,藉此收集操作行為。因此,企業端點進階威脅偵防系統往往能夠執行較多的反制措施,能依據指定規則,攔阻惡意程式執行。
此外,由於著重於找出可能有問題的端點電腦,EDR產品幾乎以端點電腦為基礎單位,統整情資給管理人員,甚至像趨勢科技的Endpoint Sensor,目前為止尚未提供與企業AD整合的功能,雖然在攻擊鏈中可看到當時操作人員的使用者名稱,但這個情況,也突顯這類型產品聚焦端點而非使用者的特性。
...(more)

留言

張貼留言

這個網誌中的熱門文章

網路晶片商的解決方案

圖片
Survey and Research: http://www.smallnetbuilder.com/tools/charts/router/view https://www.snbforums.com/threads/how-to-find-the-best-router-for-gigabit-internet.38635/ https://www.smallnetbuilder.com/lanwan/lanwan-howto/33095-how-to-find-the-best-router-for-gigabit-internet 1. Broadcom方案     (1)     LDK: Linux Development Kit (LDK) for the Broadcom iProc (integrated Processor) family of processors. The iProcLDK currently supports all the production iProc SOCs (Northstar/Northstar+/Northstar2/ … etc). It provides as buildroot package for toolchains/compiler, U-Boot loader, Linux kernel 3.6.5 BSP and applications. The LDK now has SAMBA optimized porting for NAS application.       (2)   ESDK: WLAN Enterprise SDK (or Enterprise Wireless SDK) which support to the Broadcom reference platforms. It provides bootloader (CFE/U-boot), Linux kernel 2.6.36 BSP, WiFi driver and application (with Enterprise features).   ...
閱讀完整內容

工業用網路Industrial Network介紹

圖片
Industrial Networks Industrial Networks Industrial Networks is your resource for industrial Internet, Industry 4.0 and Industrial IoT information. Find ... Industrial Networks Fundamentals Industrial Networks Fundamentals Fundamental basics you should know with respect to electrical industrial networking Industrial Communication Protocols Modbus TCP https://www.youtube.com/watch?v=k993tAFRLSE OPC UA https://www.youtube.com/watch?v=-tDGzwsBokY PLC Tutorial (Programmable Logic Control) https://www.youtube.com/watch?v=rh5DfK2JWmA http://domynews.blog.ithome.com.tw/post/1252/139350 作者:Paul Ferguson(資深威脅研究員) ICS (工業控制系統, Industrial Control Systems )網路最近的 新聞 鬧得很大。因為出現了一連串的弱點、熱門入侵外洩事件以及其他各種安全上的問題。     ICS 網路的定義是由各個在機電組件上控制和提供自動測量資料的元件所組合成的網路或網路集合。這些機電組件包括閥門、調節器、開關和其他機電設備,你可以在各種產業裡看到它們,像是石化與天然氣、自來水處理、環境控制、發電和配電、製造業、運輸業以及許多其他產業別。     這裡並不需要深入探討各個特定產業,這些 ICS 應用環境都有一個...
閱讀完整內容

TechNet網路技術: VPN

圖片
摘自: https://technet.microsoft.com/en-us/library/cc739294(v=ws.10).aspx https://technet.microsoft.com/en-us/library/bb742458.aspx Synology NAS VPN設定:  https://walker-a.com/archives/2501/2 DrayTek FAQ: https://www.draytek.com/zh/faq/faq-vpn/vpn.lan-to-lan/%E5%A6%82%E4%BD%95%E5%BB%BA%E7%AB%8B-vigor-lan-to-lan-ipsec-%E9%80%9A%E9%81%93/ What is VPN ? VPN Scenarios Virtual private networks are point-to-point connections across a private or public network such as the Internet. A VPN client uses special TCP/IP-based protocols, called tunneling protocols, to make a virtual call to a virtual port on a VPN server. In a typical VPN deployment, a client initiates a virtual point-to-point connection to a remote access server over the Internet. The remote access server answers the call, authenticates the caller, and transfers data between the VPN client and the organization’s private network. To emulate a point-to-point link, data is encapsulated, or wrapped, with a header. The ...
閱讀完整內容