防堵資安攻擊,Votiro從檔案源頭做起

文/力悅資訊專案經理 吳偉綸 & 資深技術顧問 呂啟暉 | 分享

銀行及金融服務業經常是駭客攻擊的主要對象,近年來國內外重大資安事件屢屢成為國際新聞焦點,諸如國內知名銀行ATM自動吐鈔、SWIFT系統被植入惡意程式、韓國知名比特幣交易所遭駭客盜領等,皆蒙受重大財務損失。

面對如影隨形的資安危脅,相信許多公司對於已經佈署了防毒軟體(Anti-Virus)、入侵偵測系統(Intrusion Detection System,IDS)入侵防禦系統(Intrusion Prevention System,IPS)等多層資安防護系統,卻還是抵擋不住病毒(Virus)、惡意程式(Malware)、惡意程式碼(Malicious Code)等入侵攻擊,始終茫然不解。

原因出在這些號稱可以阻擋APT進階持續性滲透攻擊(Advanced Persistent Threat, APT)的防禦設備,其實還是使用傳統的特徵碼比對技術,而相關網路雜誌、媒體已多次提到,特徵碼比對技術僅能有效阻隔60%的已知惡意威脅,其餘特徵比對技術無法處理的40%未知的零時差攻擊(Zero-day Attack),會在特徵碼尚未更新、漏洞仍未修補之前的空窗期造成公司資安風險。將60%的資安防護視為100%屢見不鮮,正是因為這些被忽視的40 %落差使得公司遭受勒索病毒攻擊事件層出不窮。

檢視一般用戶使用的電腦所具備的資安防護,幾乎清一色為防毒軟體,駭客只需要將尚未存在於特徵碼資料庫的惡意程式藏匿在看似無害的檔案當中(Office, PDF, 圖檔…等),再經由USB傳遞、電子郵件寄送、瀏覽器下載、徵稿平台投遞等資料流,輕輕鬆鬆讓武器化文件落地到公司內部,再利用Windows系統內建工具如PowerShell等,即可無聲無息地針對系統漏洞發動攻擊。

試想一下,當第一線行員收到客戶透過USB提供的薪轉資料、業務人員的土地建價圖片,或是透過E-mail收到等候許久的包裹取件通知、客戶的財力證明,在打開這些文檔、圖片的同時,惡意程式卻已悄悄地執行並無預警地接管使用者的電腦、竊取使用者的機密資料、特權密碼,每一個資安事件的發生就是如此不著痕跡地隱匿在這些日常作業裡。

在解析駭客攻擊手法後,可見檔案溯源防護的重要性,因此正確補強特徵碼比對技術所造成的40%資安缺口,才能落實預防勝於治療的初衷。Votiro Disarmer採用先進檔案清洗與重組技術 (Advanced Content Disarm and Reconstruction),能夠將檔案的各個組成元件拆解分析,清除隱藏在其中具備執行能力的程式碼或元件;無法清除的部分,則以注入亂數方式使之無法執行,或將EXE執行檔予以隔離。之後再將各元件重組回既有檔案格式,同時保有檔案原始可用性。Votiro Disarmer有別於其他市售的CDR產品以轉檔、平面化(Flatten)方式使檔案失去原有功能,例如、圖層(Layer)、註解、Excel裡的計算式等等,造成使用者作業上的不便。

檔案共享是一趨勢,當檔案內容(Content-base)成為駭客使用的主要攻擊武器,檔案流的安全性更應該為公司所正視。

Votiro Disarmer提供未知、零時差檔案全面防護,適用於各個檔案流閘道,檔案於1秒內自動地清洗交還給使用者,使所有企圖以文件傳播的惡意攻擊無機可趁。

 

圖1. 檔案組成元件拆解分析

 

【Votiro Disarmer全方位檔案流安全防護機制】:

  1. 郵件伺服器檔案清洗 (Disarmer for EMAIL)
  2. 端末電腦檔案清洗 (Disarmer For Removable Device)
  3. 檔案伺服器檔案清洗 (Disarmer For File Transfer)
  4. 網頁下載檔案清洗 (Disarmer For WEB)
  5. 檔案清洗API (Disarmer API)

點我了解更多