全站文章 iT邦幫忙
iThome Online提供免費電子報,現在就訂,最新IT訊息每日寄達。

iThome 每日新聞報
iThome 產品技術報
加入iThome Online會員,立即使用討論區、Blog等服務。

免費加入會員
登入 / 登出
管理會員帳號
忘記帳號密碼
聯絡客服
訂閱周刊
讀者服務
13' E政府專刊no.7(48)
13' iTcloud No.3(47)
12' E政府專刊no.6(46)
12' 個資法專刊No2(45)
12' iTcloud No.2(44)
12' e政府專刊No.5(43)
12' 個資法專刊(42)
11' CIO專刊(41)
11' e教育專刊No.3 (40)
11' e政府專刊No.4 (39)
11'iTcloud專刊(38)
10' e教育專刊No.2 (37)
10'e政府專刊No.3 (36)
09'e政府專刊No.2 (35)
09'e教育專刊(34)
09'e政府專刊(33)
08'企業資安專刊-端點安全防護(32)
08'企業採購情報誌(31)
07'資訊安全技術應用專刊(30)
07' 新世代資料中心專刊(29)
07'企業資安技術應用專刊(28)
企業採購情報誌'06冬季號(27)
APT防護SaaS:Seculert
文/李宗翰 (記者) 2013-11-12
分享到facebook
結合大資料分析雲,掌握APT侵襲企業動向。收集Botnet網路流量資訊與公司Proxy伺服器記錄檔,並結合大資料分析,讓APT動向現形

產品資訊●建議售價:以年度防護服務合約計價,並以涵蓋人數分級距,平均每人每年150~400元不等【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商。】 ●網址:www.seculert.com ●代理商:漢領國際(02)8228-6983 ●系統平臺:Amazon Elastic MapReduce (EMR) ●資料分析技術平臺:Apache Hadoop ●監控殭屍網路數量:1,000個以上 ●沙箱分析惡意程式樣本數量:每天4萬個以上

以雷達圖的方式呈現5大APT攻擊態勢
根據用戶所設定的網址資訊,Seculert的雲端服務將會比對、先前所收集到的殭屍網路流量,並加以分析,若發現有符合的記錄,會將這些事件標示在用戶網頁介面上的APT狀態儀表板,並依由內而外的順序,排列5種APT事件偵測方向,包含了記錄檔分析、內部員工、外部員工、合作廠商與客戶。

異於現行多數APT防護產品的形式,我們這次測試的Seculert是一套SaaS雲端軟體服務,而且提供的是網路安全預警的情報,並非直接即時偵測與阻擋線上的APT行為。

簡而言之,Seculert可針對網際網路上正在活動的APT威脅行為,透過他們本身發展的雲端運算環境與大資料的分析技術(Big data analytics),並交叉比對、關聯(Correlate)用戶網路應用環境的所有事件資訊,若站方發現到用戶網路環境相關的APT活動跡象,即會透過電子郵件自動發出警報,並將事件資訊呈現在網頁管理介面上。

這樣的攔截機制是如何運作?根據Seculert提供的資訊,他們會架設類似一般人平時在用的許多臺電腦,讓它們連上網際網路並感染APT,相對地,Seculert就可以借此來觀察惡意軟體長時間下的網路傳輸流量,這種作法同時也讓Seculert能夠收集到關於威脅活動狀態的相關資訊,然後得以將這樣的資訊與租戶的網頁存取活動的記錄檔,彼此交互關聯起來,進而準確地指出已受感染系統的所在地。

針對內外員工、合作廠商與顧客等面向,觀察殭屍網路的流量記錄
提供輔助操作Seculert API的介面
Seculert本身提供了API,讓用戶可以透過撰寫簡單的程式碼來存取Seculert所產生的分析結果,API也可以用在上傳的資料與系統產生的報表。而在Seculert的用戶網頁介面上也提供了Seculert API Console,讓IT人員可以用它,來學習在圖形介面或cURL的指令環境中運用API。
在Seculert提供的功能中,最常用到的是對於殭屍網路(Botnet)通訊流量資訊的攔截,簡而言之,這是從公司內部與外部雙管齊下的一種APT監視防護機制——Seculert會持續觀察殭屍網路的流量動態,並以此來找出內部、外部已經受到Botnet控制的所有網路節點。亦即是用混入敵營、伺機收集情報的方法,來找出已經潛伏在公司周遭或內部環境的奸細,原廠形容這是一種「雙面間諜」的反間手法,倒也貼切。

因此,要啟用這樣的防護,用戶需事先到Seculert網站介面上,去設定本身所處與周遭環境的基本網路位址資訊,而要定義的範圍,會依據由內而外的觀點,區分出內部員工、辦公室外部的員工、經常業務往來的合作廠商與顧客等四大面向。

之後,Seculert就會根據這些設定完成的組態,運用他們發展的大資料引擎來比對、分析所收集到的殭屍網路傳輸流量記錄中,如果發現到這些網址的確曾出現在殭屍網路的流量資訊上,Seculert就會將這些事件自動以電子郵件寄送訊息通知,並呈現在用戶網頁介面上。

在不同攔截面向上,用戶需輸入的設定資訊項目有一些差異。以針對內部員工的防護設定為例,IT人員需輸入公司對外網路的IP位址範圍,以及員工在工作時需經常存取的內部系統網站入口,例如CRM、HR、電子郵件等;若是要保護辦公室以外的員工,IT人員需輸入的是內部網站入口,以及員工收發電子郵件時所用的公司網域。至於合作廠商和顧客,則只需要輸入對應的網域。

我們在當中的設定,實際在內部員工的組態中,輸入了iThome測試室對外網路IP位址範圍(因為希望能更快攔截到殭屍網路流量,所以我們刻意把IP位址涵蓋數量設到255個之多),以及員工可能會經常存取的網站入口,並依序設妥外部員工、合作廠商與顧客等組態下的網站名稱位址。設定兩天後,帳號會正式啟動,接下來需要3到5天的偵測,才能知道Seculert是否找到惡意攻擊。

經過幾天後,Seculert的確發出電子郵件警報,表示有8個IP位址出現了APT活動的跡象。結果,我們對外網路的IP位址並沒有「中標」,而是其他IP位址的租戶偵測到相關的威脅。

不過,由於我們在原廠網站上所申請的只是免費試用帳號,因此只能看到其中1個IP位址的資訊,要升級到付費的Premium帳號,才能看到更多資訊。事實上,試用帳號只有兩周的使用時效。


1 / 2 下一頁

分享到facebook

2014資安趨勢研討會
更多研討會
▼ ADVERTISEMENT ▼
▲ ADVERTISEMENT ▲

電週文化事業版權所有、轉載必究 •Copyright © iThome | 刊登廣告授權服務服務信箱隱私權聲明與會員使用條款關於iThome