這幾年以來,進階式持續攻擊(APT)一直是資安領域的熱門話題,有些廠商也推出對應相關威脅的產品,趨勢科技除了在既有的端點安全與閘道安全產品上增強防禦之外,後來也專門闢了Deep Discovery系列來對應APT的偵測,提出了客製化防禦策略(Custom Defense Strategy)。

先前,這個系列包含的產品,主要是Deep Discovery Inspector(DDI),以及Deep Discovery Analyzer(DDA),分別是針對網路流量監控與整合式防護等用途,提供客製化沙箱模擬分析的安全機制。到了今年,趨勢繼續推出了Deep Discovery Email Inspector(DDEI),以及Deep Discovery Endpoint Sensor(DDES),分別對應電子郵件與端點裝置防護的需求。

由於大部分APT威脅的散播,都是透過電子郵件來進行,因此郵件端的防護格外重要,而且,對於企業環境所需的大規模安全防護機制上,若能在使用者收發電子郵件的過程當中,予以阻攔,也可針對企業整體資安防護網的建置與強化需求上,達到較為顯著的先期預防效果。也因此,像是DDEI這樣特別針對郵件的APT防護系統更受到矚目。

以硬體設備的形式推出,可分析多種格式的郵件附件檔、內嵌網址與密碼保護檔案

與Deep Discovery系列其他產品多採用軟體形式的作法相比,DDEI是將相關偵測功能的軟體整合硬體設備,部署時,可支援旁聽模式與監控模式──對於前者,趨勢稱為BCC(Blind Carbon Copy)模式,是從趨勢郵件安全閘道IMSVA旁接出來;至於後者,趨勢稱為MTA(Mail Transfer Agent),也就是俗稱的Inline或橋接模式,DDEI會建置在郵件安全閘道和郵件伺服器之間,在這個模式下,用戶也可同時設立多臺DDEI設備,讓它們能夠相互協同運作,以提高可靠度或分攤負載。

因此,在這兩種模式下,DDEI能搭配企業內現有的電子郵件閘道或伺服器防護產品,而不需大幅調整郵件傳送的架構。

就防禦功能而言,DDEI的主要作用,是設法偵測及攔截造成資料外洩的鎖定目標攻擊郵件,當中可偵測郵件中是否夾帶了惡意程式檔案,以及分析郵件內嵌的網址是否為惡意,同時也提供沙箱模擬分析能力,可驗證郵件所包含的檔案與網址安全性,藉此發現、攔截和隔離有問題的電子郵件。

當前許多惡意程式若要散播,經常會透過電子郵件的附件檔,誘使使用者開啟、執行,之後,再伺機發動各種針對系統、應用程式或網路的攻擊,而DDEI本身就具有郵件附件分析的機制,它會運用內建的多重偵測引擎與客製畫沙箱模擬分析,檢查的範圍,包括檔案與網頁等內容,例如Windows環境的執行檔、ZIP格式等壓縮檔,以及微軟Office、PDF等文件檔,此外,像是Java程式,也在DDEI偵測的範圍內。

在這項分析機制下,系統會運用啟發式掃描,以及搭配用戶所提供的關鍵字,來針對所要偵測的一般檔案、壓縮檔或密碼保護檔,去執行開啟、解壓縮或解鎖的動作。若郵件裡面嵌入了網址,DDEI也會檢查其信譽是否良好。因此,即使收到的郵件當中,已經夾寄了以密碼保護的檔案,系統將會運用這些方式,設法將其打開,予以檢查。

如有進一步驗證檔案安全性的需要,這套系統還可強制執行細部的掃描與沙箱模擬分析,以便找出那些利用重新導向(Redirect)、APT和透過偷渡式下載(Drive-by Download)等手法的惡意程式,或是各種漏洞攻擊,例如針對Office文件格式弱點的安全威脅,進而發現網路釣魚郵件潛藏的惡意網址,減緩那些以特定使用者為主要滲透對象的魚叉式郵件攻擊。

從DDEI執行的沙箱模擬分析的詳細結果資訊中,還可以提供給系統自己使用,作為進階威脅研究之用。除了這些由系統所產生的各種安全威脅分析資訊,DDEI本身還可整合了全球的資安情報,在管理介面上,提供管理者一套威脅情報入口網站Threat Connect,可協助掌握目前已發動的各種攻擊,了解其風險和來源。

針對趨勢所強調的客製化防護策略,DDEI提供了精細的控管方式。已惡意郵件處理的設定為例,管理者可在DDEI的管理介面當中,根據警示的嚴重程度來設定對應執行的動作,像是隔離、刪除、加上標籤並轉寄。而在沙箱模擬分析作業上,管理者也可依照本身的需求來設置,像是要求系統只對特定格式的附件檔案,來執行沙箱模擬,舉例來說,若設定為PDF檔案,如此一來,DDEI就會針對所有郵件中所夾帶的PDF檔案,來執行指定的分析。

在偵測惡意郵件的處理方式上,多數同類型產品僅能支援郵件的阻擋與隔離,以及執行處理動作的通知信寄送,DDEI可做到更細緻的功能,像是支援刪除夾檔、在郵件本文裡加注或標籤,對於無法掃描的壓縮檔,也提供控制項。

此外,在附檔偵測與分析的機制,DDEI提供的文件檔案格式漏洞偵測、自定密碼支援、針對檔案內容脈絡分析的多國語言支援,以及密碼保護的壓縮檔案分析(ZIP、RAR、7ZIP),也都是該產品所獨有的。

不單是針對檔案,DDEI的防護功能還包括網頁偵測與分析,當中整合了趨勢的網址信譽服務,以及網頁相關的漏洞偵測──可支援的範圍還滿廣的,像是HTML、Java、JavaScript、VBScript、PDF、Flash。

至於這類產品最常強調的沙箱模擬機制,DDEI提供的映像環境相當多元,甚至可自定不同的沙箱映像。目前,它的沙箱可支援Windows的作業系統,以及微軟Office、Adobe Reader這兩大文件檔案類型,而且是支援多國語言環境;除了Windows和Office都是可模擬多版本,DDEI裡面的沙箱模擬,也包括多個版本的Adobe Reader,因此,沙箱裡面就不用特地去安裝這套軟體。

趨勢Deep Discovery Email Inspector(DDEI)支援兩種部署模式,圖中為BCC(Blind Carbon Copy)模式,主要作用是監控而不阻擋。

DDEI設備的另一種部署模式稱為MTA(Mail Transfer Agent)模式,直接在線上傳輸阻擋可疑信件,主要作用是封鎖。

以MTA模式部署的DDEI設備,還可應用在高可靠度與負載分享的用途上,讓多臺DDEI彼此備援與分攤負載。

DDEI提供網頁管理介面,圖中為系統呈現APT信件處理狀態的儀表板。

產品資訊

●建議售價:500人使用權版本,新購用戶參考售價為99萬元(含軟硬體)

●原廠:趨勢科技(02) –

●型號:Deep Discovery Email Inspector 7100

●網路埠:資料連接埠3個,管理連接埠1個,皆為10/100/1000 Base-TX RJ-45規格

●處理量:每天40萬封電子郵件

●硬碟:2臺3.5吋SATA 500GB(RAID 1)

●部署方式:封鎖(MTA)、監控(BCC)

●偵測檔案類型:Windows執行檔、Office檔案、PDF、ZIP、網站內容、Java等

●硬體保固:3年

熱門新聞

Advertisement