ISS RealSecure Desktop Protector 7.0

結合防火牆與入侵偵測功能

經過「疾風」和「老大」這兩隻蠕蟲的肆虐，你有學到教訓嗎？經歷一次次的攻擊，仍有許多企業遭到危害，因為大多數的人認為企業內部很安全，卻忽略行動裝置和後門程式所帶來的安全危機。當使用者在外部存取包含後門和蠕蟲的檔案後，經由筆記型電腦和隨身碟等常見的行動裝置帶入企業內部，被入侵的電腦又會再對其他電腦進行跳板攻擊，由於資料傳輸不會經過防火牆和入侵偵測系統，所以無法被阻擋下來，整個企業內部的電腦可能都會成為受害者和攻擊者。

要阻擋這樣的悲劇發生，最簡單的方法就是定期安裝修正程式，但使用者卻沒這麼勤勞與配合，此時可以考慮個人端防護軟體，包括ISS RealSecure Desktop Protector、ISS PC Protection及Symantec Client Security等，具備防火牆及入侵偵測等主動防禦功能。

BlackICE Defender（現稱為ISS PC Protection）是大家耳熟能詳的個人端防護軟體，與ISS RealSecure Desktop Protector（RDP）功能大同小異，主差異是使用對象不同，PC Protection適合個人，無中央控管和報表功能，RDP適合企業用戶，能夠與SiteProtector整合，提供中央控管機制、安全事件分析與報表製作等功能。PC Protection和RDP都可以由ISS或鈺松的網站上下載，PC Protection可以免費試用，並有中文化版本，RDP則需申請試用序號。

一般市面上的個人防護軟體大都只有防火牆功能，只能達到最基本的通訊埠防護，而RDP除了防火牆，還結合入侵偵測系統，利用特徵比對和通訊協定分析，偵測出具有惡意攻擊行為的封包，為個人電腦提供更好的防護。

在特徵比對上，系統有1千多個的檢查項目，能偵測出後門程式、阻斷服務（DoS）、緩衝區溢位、暴力密碼及惡意掃描等行為，包括大部分駭客攻擊所用的手法。在通訊協定分析方面，RDP依據傳輸資料所使用的通訊協定，判斷是否合乎規則，檢查是否有攻擊行為，並能夠依據所用的通訊協定，對封包進行重組再分析的動作，避免駭客在封包中加入某些會被忽略的控制字元，而避過系統的偵測。

RDP預設將防火牆的安全等級分成4級，針對不同的等級，開放可能會用到的通訊埠，降低被攻擊的風險，使用者也可依需求新增或關閉特定的埠。另外，若使用者開啟自動阻擋功能，當RDP偵測到惡意攻擊後，會通知防火牆阻擋攻擊的IP位址，在開始攻擊時就立即加以阻擋，避免造成更大的損害。

透過內建的X-Force安全知識庫，系統可針對不同來源的安全事件進行關聯式分析，動態地找出具威脅性的安全事件，降低誤報發生率，例如對有弱點的主機進行攻擊，或是多步驟的攻擊。應用層監控與防護
SiteProtector中央控管， 提供部署、管理和報表

應用程式控管（Application Control）和通訊管控（Communication Control）是RDP蠻特別的功能。

當電腦被駭客植入後門程式或病毒所夾帶的自動執行檔，都不需經過使用者允許就會自動執行。應用程式控管會利用MD5演算法，為所有的重要檔案（如EXE、COM及DLL等）建立一個基準，並監控這些檔案的修改、執行或與網路連線動作，如果與基準不符，就會顯示視窗詢問使用者是否繼續執行，避免在不知情的情形執行惡意程式。

由於許多病毒、木馬、蠕蟲或後門程式會利用合法的應用程式來發出攻擊，因此不管資訊流是否是由合法的應用程式所發出，都應經過檢查後才能通過。RDP的通訊管控功能會偵測所有進出電腦的流量，確認是否為正要對外連線的程式，避免電腦向其他電腦發出攻擊行為或散布機密資訊。

ISS的產品幾乎都會使用「XPU」，它是半自動化的更新程式，當X-Force釋出新版攻擊特徵後，會以電子郵件通知使用者執行更新。原本RDP的版本是3.6，一下子跳到7.0的原因，主要就是產品整合XPU功能，但需搭配SiteProtector才能使用。單機版PC Protection和RDP都已內含攻擊特徵，若要更新則需安裝新版本。

SiteProtector除了提供RDP更新機制，還有中央控管的部署、管理和報表功能。管理者可以透過遠端安裝或代理程式，由系統統一部署，蠻實用的功能就是隱藏右下角的系統警示，讓使用者無法自行設定。另外，在安裝時，管理者可以設定2種使用者連線方式，一般狀況下使用內部網路設定，若在外部用VPN連線到企業內部，可以解密後再由RDP偵測，增加整體安全性。

RDP本身並沒有提供報表功能，必須透過中央控管機制收集事件記錄，然後彙整到資料庫中，再由SiteProtector產生報表，並可依管理者需求產生主機、事件、時間或報表輸出圖型等特定報表。文⊙陳世煌