APT 郵件攻擊防禦

面對日新愈益的資訊安全控管軟硬設備及防毒機制,駭客、詐騙集團、商業間諜與軍事間諜等人士夜以繼日地研究如何找到安全漏洞,並突穿層層防線,以達竊取機密、蒐集私密資訊、盜用銀行信用卡帳號密碼等目的,造成隱私資訊、商業損失、國家安全等危害無可計數。

現有資安架購之挑戰

傳統的防火牆 (Firewall) 可以針對來源 IP address / 服務埠 (Port) 連線 (connections) 進行存取控制 (access control)、新一代防火牆 (NG Firewall) 則可以針對應用級別 (Application-Level) 進行存取控制、入侵防禦系統(IPS) 則可以針對更深層的入侵手法做特徵 (Signature) 檢測及防禦;Email Security Gateway 則可針對垃圾郵件、病毒、蠕蟲、郵件炸彈等威脅做隔離;但不足以滿足當今及未來之資安攻防。

全新APT 威脅

APT (Advanced Persistent Threat) 進階持續目標式攻擊是種道高一尺、魔高一丈的攻擊手法,電子郵件則是 APT 攻擊最慣用之應用:有別於傳統垃圾郵件發送者 (Spammer) 採用大量發送、亂槍打鳥之發送手法,為了破解 Anti-spam、Anti-virus 系統,APT 改採少量的、長期的、針對目標的方式進行滲透,因此傳統的郵件防禦無法有效因應此類郵件威脅與風險。

駭客可利用已知的收件人郵件地址 (Recipient Email Address) 做目標性的 (Target) 攻擊與滲透,從 Internet 發送鎖定收件人目標的 APT 郵件,由於此郵件遵從 SMTP (Port 25) 標準傳送,因此可輕鬆通過防火牆,郵件內容或附件檔案則是精心設計的全新格式,包括零時差之全新變種病毒或 Malware,甚至運用社交工程 (Social Engineering) 手法降低收件人警覺心。

APT 郵件過濾

針對全新未知(unknown)的進階惡意程式(Advanced Malware)附檔;或目標式攻擊(Targeted attack)的釣魚郵件,APT 會做以下掃描:

靜態威脅情資比對:透過 CelloCloud 全球聯防中心更新的最新的威脅情資 (Threat Intelligence)做快速比對,包括全新 C&C 殭屍主機的 IP address、domain name、URL 連結等。

動態沙箱(Sandbox)掃描:透過深層檢測 DI(Deep Inspection)引擎將郵件標頭 (Header)本文(Body) 與附檔(Attached files) 做拆解,偵測後會將帶有特定附件的可疑郵件打包加密送往 CelloCloud 透過強大的雲端運算做動態沙箱掃描。

全系統模擬(Full-system emulation)技術:包括 Windows、Android、Mac OSX、Office 文件及 PDF 文件,能夠在短時間內觸發與誘捕潛藏的惡意程式現形。

關聯式分析(Correlation)與威脅評分:做威脅級別分析,再回覆 SEG 做隔離或放行。

專業鑑識報告(Summary Report):包括惡意威脅評分、惡意檔案名稱、網路活動、處理程序及寫入機碼(Registry)歷程等。

相關產品: