Archive

Posts Tagged ‘惡意程式’

最終章!Edge電子郵件收發測試輕鬆完成

September 7th, 2016 No comments

最終章!Edge 電子郵件收發測試輕鬆完成

在確認了EdgeSync與傳輸服務皆在正常執行中,便可以準備來測試一下Email的對外收發。不過在此之前建議您,可以先使用Telnet命令,來測試一下Edge Transport主機的SMTP連接埠是否可以正常連線。請依序完成在內部網路以及經由Internet網路的測試,只要下達Telnet 主機IP位址 25即可。若發現沒有Telnet命令工具可用,則您需要從測試的電腦上,如圖32所示加入[Telnet用戶端]功能的安裝。如果是Windows 10的電腦,則必須改從[控制台]的[程式和功能]中,點選[開啟或關閉Windows功能]來進行安裝。

最終章!Edge 電子郵件收發測試輕鬆完成
圖32 安裝Telnet用戶端。

另外為了讓Internet的郵件,可以成功從Edge Transport主機來接收,並且傳遞到內部使用者信箱,您還必須修改現行DNS伺服器的MX記錄。如圖33所示範例,請在點選[瀏覽]按鈕後,改選取Edge Transport主機的A記錄。

最終章!Edge 電子郵件收發測試輕鬆完成
圖33 DNS記錄修改。

太好了!接下來請立刻使用Outlook或OWA(新版稱為OOW)用戶端,來測試一下Email對外的發送。當Email發送之後,您就可以開啟Exchange工具箱(Exchange Toolbox)中的[佇列檢視器],來查看Email對外的傳送情形。當您開啟內部信箱伺服器的[佇列檢視器]時,可能會看到下個躍點網域為您的Edge Transport主機,而傳遞類型會暫時出現[陰影備援]的訊息。

話說何謂陰影備援呢?其實陰影備援功能(Shadow redundancy)最早出現於Exchange Server 2010 之中,主要用途在於藉由備援郵件復本的機制,讓傳輸服務在確認所要傳遞的郵件,已送達傳送路徑中的下一個跳躍點(Hop)之後,才將暫存在傳輸資料庫的郵件進行刪除。如果下一個跳躍點的SMTP服務不支援陰影備援,則Exchange Server將會依據接收連接器(Receive connector)的間隔時間設定,來作為郵件備援複本的延遲認可之判斷。

當準備傳送至Internet的郵件(例如:msn.com)順利來到Edge Transport主機時,也同樣可以在它自己的[佇列檢視器]視窗中,如圖34所示檢視到正在連線狀態的訊息提示。

最終章!Edge 電子郵件收發測試輕鬆完成
圖34 Internet郵件寄送測試。

總結

Exchange Server 2016是一個極具彈性的訊息協同平台,就以針對防垃圾郵件與防毒的需求來說,不僅可以直接使用內建的兩種安全篩選器功能,也可以關閉此兩種代理程式,來改採用第三方相容的防垃圾郵件與防毒軟體,這包括了檔案層級的防毒軟體。

進一步若想要減輕信箱伺服器運行的負載,還可以在DMZ網路中建置一部專屬的Edge Server 來負責處理垃圾郵件的篩選工作。若您希望能夠包含橫跨異地的Exchange Server主機,都能夠使用Microsoft自家檔案層級的防毒軟體,並且做到集中監視與提供報告分析的功能,那麼加入System Center Configuration Manager於總公司的網路之中,肯定是最佳的解決之道。

以上資訊由www.hkitblog.com提供

先模擬、後化解!雲端 Honeypot + Sandbox = 防禦未知威脅

May 28th, 2014 No comments

進階持續性威脅 (Advanced Persistent Threat,簡稱 APT)可以說得上是令企業最為頭痛的問題,原因是 APT 攻擊往往會通過對目標進行詳細的分析及調查後才發動,因此命中率極高,而且企業亦較難以預測。不過隨著虛擬技術愈來愈成熟,而這種虛擬化亦正正應用到網絡威脅的範疇之中。

要數最為人熟悉,就是當年因 Google Chrome 率先高調宣傳的沙盒防禦技術,而這種技術一直以來均被廣泛應用於各種零日攻擊防禦方案之中。所謂的零日攻擊就是指一些新出現,而且並未有任何解決方案的網絡威脅,面對這些威脅,企業可以做的就是盡可能將其隔離,而這時候虛擬化技術便可以幫到你。

近日多家安全廠商均推出針對 APT 攻擊的防禦方案,其中 Fortinet 以及 WatchGuard 分別推出類似方案;先不說 Fortinet,我們暫且介紹一下 WatchGuard 推出的相應方案 - WatchGuard APT Blocker。

WatchGuard APT Blocker 可識別出可疑的檔案,然後便會將它們傳送到雲端上的新一代「沙盒」 (sandbox),利用全系統模擬環境,偵測 APT 與空窗期 (Zero Day) 惡意程式。新方案同時整合了可視性工具 WatchGuard Dimension,以單一視圖即時展示進階威脅。

上述提及的全系統模擬環境,簡單一點便是所謂的 Honeypot,通過於雲端部署大家常用的系統(如 Windows XP)又或者刻意不進行系統更新,以吸引黑客錯誤地進行攻擊,而從中專家便可收集到一定的攻擊數據、檔案,從而於最短時間內研究出解決辦法。

一直以來,APT 的目標都是政府機關與大型企業的關鍵基建,使它們受盡 Stuxnet 蠕蟲病毒和 Duqu 惡意程式等攻擊。不過,現時進階威脅已經開始將小型機構及公司當作目標,破壞力更絲毫不減;現時 APT Blocker 已正式上市,並於 WatchGuard Fireware 安全平台 11.9 版本提供了三十天免費試用。

WatchGuard Fireware 11.9 版本的其他特點:

– 增強應用流量管理,讓用戶監控應用頻寬,從而將適當頻寬保留給關鍵的業務應用
– 擴展系統管理員審查和變更追蹤可視性可進一步遵循 HIPAA 及 PCI 規範,包括將防火牆規條變更與個別人士連繫
– 企業可在 WatchGuard DLP 方案廣泛的預先定義規則組合上自訂 DLP 特徵
– 加強 IPv6 支援,包括鏈路聚合、VLANS 和動態路由
– 自訂網絡區域,讓網絡管理員迅速區隔無線訪客網絡,且符合內置無線連接功能的設備的 PCI 標準要求。

以上資訊由www.hkitblog.com提供

向黑客下戰書!Symantec 研新技術助企業把關

December 18th, 2013 No comments

正所謂「道高一尺、魔高一丈」,很多時當防護技術愈來愈強,黑客亦會研發新的技術以求突破;近日安全機構 Symantec 便聲稱研發到兩種技術,分別在 Symantec Endpoint Protection 中融入網絡威脅防護(Network Threat Protection)技術,為 Mac 作業系統提供保護;以及在 Symantec Messaging Gateway 中加入 Disarm 技術,保護企業對抗惡意附件程式。

現時﹐針對性攻擊的目標已經不再局限於大型企業及機構。由於規模較小的企業之安全措施一般較簡單,同時又與大企業有緊密聯繫,令它們開始成為黑客的目標。Symantec 在今年 4 月發布的第 18 期互聯網安全威脅報告(Internet Security Threat Report, Volume 18) 便顯示 2012 年針對性攻擊較上一年激增了 42%,而在這些意圖盜取企業知識產權的針對性網絡攻擊中,有 31% 是以製造業及中小型企業為目標。

新技術助企業把關

隨著 Mac 商務用戶增加,黑客已經開始針對 Mac 系統展開攻擊,加上許多 Mac 用戶對安全問題的忽視,令 Mac 系統進一步成為針對性攻擊者的目標。Symantec Network Threat Protection 技術能偵測到攻擊者在 Mac 系統內的網絡流量,從而發現針對性攻擊利用的漏洞所在,並自動將其攔截。

此外,在 Network Threat Protection 分析和攔截攻擊的同時,Symantec Endpoint Protection 亦運用了 Symantec Insight 和 SONAR 等防禦技術攔截針對性攻擊:

1. 針對性攻擊採用經常改變和特別設計的惡意軟件來避開傳統的病毒指紋、啟發式檢測、模擬器及虛擬執行(VX)系統,而通過 Symantec Insight 配合上 Symantec 數百萬用戶的匿名軟件部署模式,從而辨識到那一個軟件正受到世界各地使用者的信賴,或那一個是不明或需要注意的軟件。

2. SONAR 行為偵測技術能夠自動監控受保護的終端,並即時分析每個正在運作中的軟件,以識別其是否有針對性攻擊行為。

新增 Disarm 技術

Symantec Messaging Gateway 10.5 中新增了一種名為 Disarm 的技術,此技術能應對 APT 攻擊;相信大家都知道,現時多數針對性攻擊均經過精心策劃,並會偽裝成普通電子郵件,傳送的檔案還會附帶 PDF、DOC 或 XLS 等格式的檔案,其中包含嵌入式攻擊,而這些偽冒郵件有可能逃過所有傳統的掃描器、啟發式檢測、模擬器,甚至虛擬執行解決方案。

通過 Disarm 技術,用戶便可把每一個郵件的附件轉換成數碼「無害」副本,從根源上阻止收件人與惡意程式的接觸。這項技術能詳細檢查所有帶有 Microsoft Office 和 Adobe PDF 附件的電子郵件,並建立附件的重構版本,在郵件及新附件傳送給收件人之前,刪除所有可被攻擊者利用的內容,例如 Javascript 及嵌入式 Flash。

現時出現的針對性攻擊同時會試圖運用不同方法對企業進行攻擊。通常攻擊者會通過社交網絡(網頁瀏覽器)聯繫企業員工﹐然後把攻擊滲透進他們的電腦,再滲透進企業的網絡。而 Symantec Web Gateway(SWG) 便正正針對此問題而出現。

它是一種監控所有輸入及輸出網站流量的方案,專門偵測和攔截針對性攻擊。SWG 也利用 Symantec Insight 專利技術來自動偵測「信譽度低」的檔案,並在它們到達用戶前將其攔截;此外 Symantec 亦通過 Email Security.cloud 服務提供主動式電子郵件保護。這一服務能在無需安裝任何軟件或硬件的情況下自動過濾所有寄入及寄出的電子郵件。官方指出,Email Security.cloud 採用 SKEPTIC 和 Real-Time Link 等多種技術。

保護現實和虛擬數據中心

Symantec Critical System Protection(CSP) 是一款專為保護現實和虛擬基礎設施的伺服器鎖定解決方案,通過安裝並配置 CSP,允許裝置在伺服器上運作,從而攔截一切反常活動。一旦有人發動針對性攻擊或作出偏離常態的行為﹐例如瀏覽電腦或數據中心中的敏感性資料,CSP 便可自動監測到這些行為﹐並且進行攔截。

以上資訊由www.hkitblog.com提供

Google 洗底嚴打黑帽 SEO!全球 2.3% 網站「被消失」

May 29th, 2013 No comments

Google 洗底嚴打黑帽 SEO!全球 2.3% 網站「被消失」

如果大家所從事的機構本身十分依賴網頁進行商業交易的話,你必定認識到甚麼是 SEO(Search Engine Optimization),透過 SEO 替網站進行針對性的優化工作,便可令網站出現在搜尋結果的較前位置,從而提升網站曝光率並增加瀏覽人次。

其實網站進行優化工作絕對是最正常不過的,不過過份進行優化又或者透過做假作優化以提升排名的話,便會引起搜尋引擎的懷疑,這種優化的方式便被視為 Black Hat SEO;假如你的網站被搜尋引擎如 Google 認定是 Black Hat SEO 的話,你的網站除了會被放到搜尋結果較後位置之外﹐更會被 Google 列入危害網站(更甚者將會從搜尋結果中「被消失」)。當訪客瀏覽時,Google 便會作出警告,這將會直接影響網站人流及客戶對公司網站的信心,所以即使你進行優化,亦應該適可而止。

今天 Google 的工程師便正式公佈最新針對垃圾網站的技術 – Penguin 2.0,新的技術將能自動於網站底層掃描是否擁有 Black Hat SEO 的特徵又或者包含惡意程式;這對比以往只透過檢視 Google 收集的數據而判斷網站是否垃圾網站、是否擁有 Black Hat SEO 特徵的方法更為準確快捷。

官方估計,在新的技術幫助之下,全球約有 2.3% 的美式英語網站將受直接影響,這亦代表了 2.3% 網站的搜尋結果將會被放置到較後位置或消失。雖然新技術能自動針對網站進行掃描及偵測,但官方亦同時公佈 webspam report page,透過填寫表格大家將可舉報垃圾網站;現時表格之中並沒有要求用戶提供舉報證明,估計此舉報平台主要用於收集情報,然後官方會再利用新技術針對被舉報網站作深入掃描工作。

一如以往,為了避免不法之徒估計到 Google 最新的排名準則,因此官方並沒有公開有關技術的詳細資料;但官方強調,針對垃圾網站的掃描工作將愈來愈精密,未來亦會加強有關工作,務求提高搜尋結果所顯示的內容價值!

以上資訊由www.hkitblog.com提供