老牌資安廠商Check Point，針對未知威脅的防護，自2015年推出SandBlast零時差防護解決方案，包含 Threat Emulation（TE）與Threat Extraction（TX）功能，前者是沙箱模擬機制，後者他們稱之為威脅萃取，也就是運用了CDR技術，針對文件檔案提供相應的處理。目前，他們將此方案應用在郵件與網頁下載的防護。

與這次其他測試產品不同的是，這套SandBlast方案融合於自家威脅預防體系，並不完全以專屬產品形式提供。

更具體一點來說，Threat Extraction提供於SandBlast網路與端點防護產品。在網路安全部份，對應的是SandBlast Network產品，例如內建NGTX軟體組合的次世代防火牆，並搭配中控管理主機而成，可針對SMTP協議MTA模式，也就是可處理郵件附檔。而在端點防護所對應的是SandBlast Agent產品，將能夠處理來自HTTP/HTTPS、用戶從網頁下載的檔案。

此外，CheckPoint也提供開放型的API，如果企業有客製的應用程式，想要使用SandBlast的功能，就能整合應用。然而，他們並未針對可攜式媒體、檔案伺服器等管道提供產品方案。

對於有意或已經採用SandBlast網路安全產品的企業用戶來說，可以直接啟用Threat Extraction的防護，增加未知威脅防護能力，反之，企業用戶就要整套部署，不如單獨採購專屬產品划算。

至於SandBlast Agent本身也是統合多項功能，像是勒索軟體防護、端點鑑識分析，以及防毒、全機加密、USB加密、VPN等。不過，當中的SandBlast Agent for Browsers功能，目前已有不安裝代理程式、可單獨選購的銷售方式，採購上會相對有些彈性。

Check Point提供沙箱與威脅萃取的解決方案，並整合在他們的SandBlast網路與端點產品中，可對應郵件與網頁下載的管道，提供防護。在Smart Event後臺介面，將可檢視Threat Extraction處理的防護紀錄。

郵件安全防護作法特別，採CDR與沙箱併行處理方式

在郵件防護功能方面，以SandBlast Network次世代防火牆產品為例，在R77.30版本後，開始提供TE沙箱模擬與TX威脅萃取技術的防護，協助企業用戶做到郵件附檔安全防護。

這裡的運作方式相當特別，不同於這次測試的其他郵件CDR產品。舉例來說，當外部郵件經安全閘道過濾，上述兩項機制會併行處理，也就是說，閘道端會將郵件經CDR處理，並傳送至使用者信箱，同時，也會將郵件送至Check Point雲端沙箱檢測（企業也可額外選購產品自建於企業內部）。

在這兩項技術的併行之下，由於沙箱檢測時間可能花上較久的時間，透過CDR技術的輔助，企業用戶可以較快收到無潛藏威脅性的附檔，同時，經CDR處理的每封郵件，也會附上說明與一個連結，若使用者必須取得原始檔案，則是可以透過該連結，前往系統提供的自助服務登入頁面，自行取回原始檔案。而且，使用者所能取得的，只有經沙箱判定沒有惡意程式的檔案，若是檢測出惡意程式，系統將封鎖、刪除。因此，與其他郵件CDR方案相比，在取回原始檔案的機制上，這裡也能提供較為自動化的作業流程。

而這裡的相關防護設定，管理者可透過Smart Console後臺管理介面來管控。以Threat Extraction的功能而言，這裡支援的檔案格式以Office文件、PDF與圖檔為主，像是Word、Excel、Power Point，以及JPEG、PSD與EPS等圖檔。

基本上，管理者可針對指定的檔案類型，啟用郵件檔案威脅清除防護，並可制訂多條管控原則，具設定彈性。

特別的是，這裡提供了兩種處理方式，一種是從檔案包含的物件拆解，可根據巨集與指令碼、內嵌物件、內嵌圖片與PDF JavaScript等檔案部分來設定，同時，介面上附加了風險等級的提示，像是巨集與JavaScript的部分，就列為最高風險等級5，讓管理者對於各個物件的潛在風險，能有更直觀的瞭解。另一種處理方式，則是轉換成PDF。

提供瀏覽器附加元件，可針對網頁下載提供檔案威脅清除

在SandBlast Agent解決方案，當中的CDR防護管道，可作用於網頁下載。

在部署架構上，可分成端點代理程式與瀏覽器擴充套件兩種。前者需安裝SandBlast Endpoint Protection軟體，支援Window 7與Windows Server 2008 R2作業系統，可透過Smart Center後臺介面集中管控。而當中提供的SandBlast Agent for Browsers功能，可為用戶端安裝瀏覽器附加元件，以執行Threat Extraction的防護功能，目前能夠支援Chrome、IE、Firefox等瀏覽器。

後者的差異在於，可不安裝代理程式，單純採購瀏覽器附加元件，而它的管理方式則是透過雲端。

值得一提的是，原廠透露，未來網路產品的Threat Extraction功能，也將能以閘道方式，針對網頁上傳、下載執行防護。不過，Agent端的應用仍有其便利性，像是使用者如果在公司外上網，也能受此機制防護。

 Check Point SandBlast Network／Agent特色一覽 

檔案威脅清除提供兩種處理方式

Check Point的Threat Extraction功能，支援Office、PDF與圖檔，並提供CDR技術與轉存PDF兩種檔案威脅清除的處理方式。

設定細項具有風險等級提示

在Threat Extraction的原則管控設定中，除了可針對指定檔案格式，也能進一步從檔案包含的物件拆解，清除巨集與JavaScript等內容。

可防護網頁檔案下載

在SandBlast Agent產品中，透過瀏覽器附加元件即可執行Threat Extraction的防護功能，像是下載一份Word檔案時，該附加元件可將該檔案，自動轉換成PDF檔下載。

整合沙箱技術應用

SandBlast解決方案將沙箱與CDR防護功能整合，相當特別。管理者透過Smart Console管理介面，可管控透過SMTP與HTTP協定傳送至企業的檔案內容。

提供郵件安全與自助取回機制

在SandBlast Network產品的防護下，可幫助企業使用者收到的電子郵件，經過檔案威脅清除機制防護，特別的是，這裡還整合了使用者自助取回原檔的機制。

 產品資訊 

● 原廠：Check Point (02)2703-2798

● 代理商：聚碩(02)8797-8260

● 產品建議售價：SandBlast Network：以型號CPAP-SG5200-NGTX硬體產品為例，136萬元，需搭配SmartConsole中控管理主機，如CPAP-NGSM405為75萬元。SandBlast Agent：每用戶端3,500元，SandBlast Agent for Browsers每用戶端1,500元。

● 支援防護管道：可針對郵件與網頁下載的檔案傳送防護

【註：規格與價格由廠商提供，因時有異動，正確資訊請洽廠商】