Archive

Posts Tagged ‘APT’

聘請專家團隊為企業安全把關:省時、省錢、提升 ROI

June 25th, 2014 No comments

隨著全球物聯網趨勢,加上虛擬化混合架構等多種因素的影響之下,企業的網絡環境已變得更為複雜,而複雜的環境所帶來的除了是增加了管理上的難度,更會令安全風險提高。
當你擁有複雜的網絡環境,黑客便會更容易於不同方案之間尋找漏洞,繼而針對漏洞研究全新的惡意軟件或攻擊模式,如 APT、發動零日攻擊、植入惡意軟件偷竊企業資料等等。

不得不提的零日攻擊

提到多種攻擊模式,當中最值得一提的是所謂的「零日攻擊」。零日(Zero Day)是指一些全新的安全事件,這些事件被發現時往往只是在互聯網上出現了一段很短的時間,因此安全廠商並未能針對這些零日攻擊/零日漏洞提供相關的更新簽名檔,藉以修補有關漏洞。

傳統防禦方案難以應付零日攻擊

面對這些情況,作為資安管理人員可以做的,就是切法令這些零日攻擊排除於企業網絡之外;而這方面,傳統的防禦方案會通過在一定時間內推送簽名檔,從而令防禦方案能辨別到這些零日攻擊並再作進一步的保護及流量排除。

不過從發現零日攻擊->收集用戶提供數據->分析攻擊->製作簽名檔->推送更新,這過程往往要花上半日時間,而這半日時間足夠令企業網絡陷入崩潰。

最新防禦技術:模擬環境下封鎖流量

針對這問題,從前的解決方法只是與黑客「鬥快」。但隨著虛擬化技術愈趨成熟,新一代的防禦方案已能完美地通過虛擬化的協助下解決零日攻擊的問題。

現時坊間有些方案,例如是 Check Point ThreatCloud 便可令這些惡意流量在未進入企業網絡之前進行封鎖,這樣便可大大提升整體的防禦能力及安全性。

技術背後…

通過 Check Point ThreatCloud,流量在進入企業網絡前,會先把流量送到虛擬的 sandbox 之中,並通過 Check Point 的雲端智能風險識別技術對流量作實時分析及掃描,從而將惡意攻擊及流量排除於企業網絡之外。

專人管理: 讓你專注業務發展

企業可通過部署上述提到的方案,從而為企業的網絡安全把關。但現實情況是:作為企業 IT 管理員,很多時都會有數之不盡的工作需要處理,因此基本上難以全天侯留意著最新的安全威脅。

面對這情況,現時很多企業都流行通過採用第三方提供的管理服務進行網絡安全管理。透過採用這些服務,企業便享受到 24 x 7 的安全管理,讓 IT 人可騰出時間處理業務上的各種 IT 工作。

最近 Check Point 便正式與 Macroview Telecom 合作,並為企業推出針對 Check Point ThreatCloud 方案的管理服務,大致上可分為 ThreatCloud Managed Security Service 以及 ThreatCloud Incident Response Service。

上述提到的兩種管理服務均有專人 24 x 7 替你的企業網絡安全把關,當有威脅出現時,專家將會實時向企業管理者發出通知。而作為企業用戶,除了可實時就各種新式的惡意流量/攻擊取得通知之外,更可即時登入 Managed Security Services Web Portal 取得全球最新的資安風險資訊,令你隨時為可能出現的威脅作好準備。

專家亦會不停針對 Check Point ThreatCloud 進行優化,令其在應對不同的攻擊時能保持應有效率。以下為詳細資料:

ThreatCloud Managed Security Service

針對不同的威脅提供全天侯保護
採用 Check Point ThreatCloud 全球資源為你加強防禦能力。
實時監測並向用戶通知最新威脅。
優化方案以提升防禦能力。
安全專家隨時候命,並為你的員工提供進階協助及全球安全風險資訊。

ThreatCloud Incident Response Service

因應突發情況為企業提供專家支援。
降低停機時間。
通過 event report 提升反應時間。
應對不同請求提供更高效的反應時間。
通過內部或第三方工具提升協作效率。
可提供異地日誌存儲及設定數據。

如何確保資料保密

很多企業在採用 Managed Security 等相關方案時,由於所傳輸的數據均會通過管理者一方,因此很多時都會擔心企業機密資料的安全性。

針對此問題,原來在 ThreatCloud 與 Check Point 閘道之間會採用 SIC(Secure Internal Communication)加密,並於 Check Point 平台及 Managed Server 又或者其他 Check Point 的方案之間提供信任憑證;通過這種方式,即使是管理一方亦難以窺探到企業所傳送的機密資料,從而確保了資料安全及保密性。

以上資訊由www.hkitblog.com提供

先模擬、後化解!雲端 Honeypot + Sandbox = 防禦未知威脅

May 28th, 2014 No comments

進階持續性威脅 (Advanced Persistent Threat,簡稱 APT)可以說得上是令企業最為頭痛的問題,原因是 APT 攻擊往往會通過對目標進行詳細的分析及調查後才發動,因此命中率極高,而且企業亦較難以預測。不過隨著虛擬技術愈來愈成熟,而這種虛擬化亦正正應用到網絡威脅的範疇之中。

要數最為人熟悉,就是當年因 Google Chrome 率先高調宣傳的沙盒防禦技術,而這種技術一直以來均被廣泛應用於各種零日攻擊防禦方案之中。所謂的零日攻擊就是指一些新出現,而且並未有任何解決方案的網絡威脅,面對這些威脅,企業可以做的就是盡可能將其隔離,而這時候虛擬化技術便可以幫到你。

近日多家安全廠商均推出針對 APT 攻擊的防禦方案,其中 Fortinet 以及 WatchGuard 分別推出類似方案;先不說 Fortinet,我們暫且介紹一下 WatchGuard 推出的相應方案 - WatchGuard APT Blocker。

WatchGuard APT Blocker 可識別出可疑的檔案,然後便會將它們傳送到雲端上的新一代「沙盒」 (sandbox),利用全系統模擬環境,偵測 APT 與空窗期 (Zero Day) 惡意程式。新方案同時整合了可視性工具 WatchGuard Dimension,以單一視圖即時展示進階威脅。

上述提及的全系統模擬環境,簡單一點便是所謂的 Honeypot,通過於雲端部署大家常用的系統(如 Windows XP)又或者刻意不進行系統更新,以吸引黑客錯誤地進行攻擊,而從中專家便可收集到一定的攻擊數據、檔案,從而於最短時間內研究出解決辦法。

一直以來,APT 的目標都是政府機關與大型企業的關鍵基建,使它們受盡 Stuxnet 蠕蟲病毒和 Duqu 惡意程式等攻擊。不過,現時進階威脅已經開始將小型機構及公司當作目標,破壞力更絲毫不減;現時 APT Blocker 已正式上市,並於 WatchGuard Fireware 安全平台 11.9 版本提供了三十天免費試用。

WatchGuard Fireware 11.9 版本的其他特點:

– 增強應用流量管理,讓用戶監控應用頻寬,從而將適當頻寬保留給關鍵的業務應用
– 擴展系統管理員審查和變更追蹤可視性可進一步遵循 HIPAA 及 PCI 規範,包括將防火牆規條變更與個別人士連繫
– 企業可在 WatchGuard DLP 方案廣泛的預先定義規則組合上自訂 DLP 特徵
– 加強 IPv6 支援,包括鏈路聚合、VLANS 和動態路由
– 自訂網絡區域,讓網絡管理員迅速區隔無線訪客網絡,且符合內置無線連接功能的設備的 PCI 標準要求。

以上資訊由www.hkitblog.com提供

向黑客下戰書!Symantec 研新技術助企業把關

December 18th, 2013 No comments

正所謂「道高一尺、魔高一丈」,很多時當防護技術愈來愈強,黑客亦會研發新的技術以求突破;近日安全機構 Symantec 便聲稱研發到兩種技術,分別在 Symantec Endpoint Protection 中融入網絡威脅防護(Network Threat Protection)技術,為 Mac 作業系統提供保護;以及在 Symantec Messaging Gateway 中加入 Disarm 技術,保護企業對抗惡意附件程式。

現時﹐針對性攻擊的目標已經不再局限於大型企業及機構。由於規模較小的企業之安全措施一般較簡單,同時又與大企業有緊密聯繫,令它們開始成為黑客的目標。Symantec 在今年 4 月發布的第 18 期互聯網安全威脅報告(Internet Security Threat Report, Volume 18) 便顯示 2012 年針對性攻擊較上一年激增了 42%,而在這些意圖盜取企業知識產權的針對性網絡攻擊中,有 31% 是以製造業及中小型企業為目標。

新技術助企業把關

隨著 Mac 商務用戶增加,黑客已經開始針對 Mac 系統展開攻擊,加上許多 Mac 用戶對安全問題的忽視,令 Mac 系統進一步成為針對性攻擊者的目標。Symantec Network Threat Protection 技術能偵測到攻擊者在 Mac 系統內的網絡流量,從而發現針對性攻擊利用的漏洞所在,並自動將其攔截。

此外,在 Network Threat Protection 分析和攔截攻擊的同時,Symantec Endpoint Protection 亦運用了 Symantec Insight 和 SONAR 等防禦技術攔截針對性攻擊:

1. 針對性攻擊採用經常改變和特別設計的惡意軟件來避開傳統的病毒指紋、啟發式檢測、模擬器及虛擬執行(VX)系統,而通過 Symantec Insight 配合上 Symantec 數百萬用戶的匿名軟件部署模式,從而辨識到那一個軟件正受到世界各地使用者的信賴,或那一個是不明或需要注意的軟件。

2. SONAR 行為偵測技術能夠自動監控受保護的終端,並即時分析每個正在運作中的軟件,以識別其是否有針對性攻擊行為。

新增 Disarm 技術

Symantec Messaging Gateway 10.5 中新增了一種名為 Disarm 的技術,此技術能應對 APT 攻擊;相信大家都知道,現時多數針對性攻擊均經過精心策劃,並會偽裝成普通電子郵件,傳送的檔案還會附帶 PDF、DOC 或 XLS 等格式的檔案,其中包含嵌入式攻擊,而這些偽冒郵件有可能逃過所有傳統的掃描器、啟發式檢測、模擬器,甚至虛擬執行解決方案。

通過 Disarm 技術,用戶便可把每一個郵件的附件轉換成數碼「無害」副本,從根源上阻止收件人與惡意程式的接觸。這項技術能詳細檢查所有帶有 Microsoft Office 和 Adobe PDF 附件的電子郵件,並建立附件的重構版本,在郵件及新附件傳送給收件人之前,刪除所有可被攻擊者利用的內容,例如 Javascript 及嵌入式 Flash。

現時出現的針對性攻擊同時會試圖運用不同方法對企業進行攻擊。通常攻擊者會通過社交網絡(網頁瀏覽器)聯繫企業員工﹐然後把攻擊滲透進他們的電腦,再滲透進企業的網絡。而 Symantec Web Gateway(SWG) 便正正針對此問題而出現。

它是一種監控所有輸入及輸出網站流量的方案,專門偵測和攔截針對性攻擊。SWG 也利用 Symantec Insight 專利技術來自動偵測「信譽度低」的檔案,並在它們到達用戶前將其攔截;此外 Symantec 亦通過 Email Security.cloud 服務提供主動式電子郵件保護。這一服務能在無需安裝任何軟件或硬件的情況下自動過濾所有寄入及寄出的電子郵件。官方指出,Email Security.cloud 採用 SKEPTIC 和 Real-Time Link 等多種技術。

保護現實和虛擬數據中心

Symantec Critical System Protection(CSP) 是一款專為保護現實和虛擬基礎設施的伺服器鎖定解決方案,通過安裝並配置 CSP,允許裝置在伺服器上運作,從而攔截一切反常活動。一旦有人發動針對性攻擊或作出偏離常態的行為﹐例如瀏覽電腦或數據中心中的敏感性資料,CSP 便可自動監測到這些行為﹐並且進行攔截。

以上資訊由www.hkitblog.com提供