最新消息
【OPSWAT资安人专访】零时差、无感式攻击时代来临! 突破性CDR与沙箱技术提高企业防御力
在当今数位时代,电子邮件依然是骇客最青睐的攻击管道,据统计显示超过94%的信息安全事件源自于邮件途径。OPSWAT北亚区技术顾问周裕华指出:「现今的电子邮件攻击已不再局限于传统形式,骇客运用进阶钓鱼技术,会先收集使用者在不同平台的密码,建立资料库进行交叉比对,大幅提高攻击成功率。」
随著企业普遍采用M365等云端服务,任何装置都可能成为接收点,更增添了防护难度。除了传统的恶意程式攻击外,骇客更发展出各种具隐匿性的无感式攻击方式,包含进阶钓鱼技术、QR Code诈骗、图片隐藏式攻击等多元形式。特别值得关注的是无档案攻击(Fileless Attack)的兴起,攻击者透过脚本程式(Script)取得系统最高权限,进而瘫痪现有的防御机制,最终再植入实体档案进行破坏性攻击。
前端防护新利器:CDR技术突破
面对日益复杂的威胁态样,内容消除重建技术(Content Disarm and Reconstruction,CDR)展现出优异的防护效果。「CDR技术采用接近零信任的防护概念,不依赖传统的特徵码比对,而是采取彻底的档案解构、威胁清除与重建流程。」周裕华强调,这种防护方式特别适合对抗未知威胁,尤其是针对尚未被信息安全社群识别的零时差攻击。
他解释,OPSWAT的方案整合33个防护引擎,并结合CDR技术,对邮件内文、附件进行全方位扫描。这套系统能够识别隐藏于图片中的恶意程式,也可侦测经过伪装的网址连结。
因应近期QR Code诈骗事件增加的趋势,OPSWAT特别开发专门的QR Code防护机制。「当使用者扫描QR Code时,系统会自动产生具备更高安全性的第二个QR Code,并透过30多家情资服务供应商进行扫描验证,一旦发现恶意内容,系统将即时阻挡,确保使用者安全。」周裕华解释道。
然而,在实务应用上,由于CDR需要进行完整的档案处理流程,企业在导入时必须在系统效能与安全性之间寻求最佳平衡点。
「企业应该依据产业特性与法规要求,选择适合的防护引擎组合。」周裕华建议,「特别是在推动信息安全防护时,IT部门常面临方便性与安全性的矛盾。以邮件过滤为例,既要满足高阶主管对即时收件的需求,又要确保信息安全控管得当,这需要透过灵活的解决方案来平衡。」
企业防护策略的差异化思维
「企业信息安全防护的重点应著重于建立前端防线,预防胜于治疗。」周裕华强调,单纯依赖EDR 或MDR 等后端解决方案,往往为时已晚。
OPSWAT区域销售总监游承岳特别以实际市场经验指出不同产业对信息安全防护的需求与执行程度存在显著差异。
他分析:「金融业因受到金管会要求,在信息安全防护的执行上相对积极主动。」金融业须配合金管会要求定期进行信息安全检测与演练、对于系统可用性与资料完整性要求极高、需要即时侦测与防护能力,降低信息安全事件影响并建置完整的信息安全事件应变与通报机制。
「我们建议金融业客户采用多重防护引擎配置,并搭配CDR技术,确保每个可能的威胁进入点都受到严密保护。」周裕华补充。
在政府单位方面,游承岳观察政府单位在推动信息安全措施时常面临预算与行政流程等挑战,但随著《资通安全管理法》的实施,已开始建立更完善的防护机制。政府单位需依据资通安全责任等级分级表进行防护,但预算编列与采购程序较为复杂、信息安全意识培训需求大,并且需要须因应开放资料与便民服务的安全需求。
游承岳说明,「针对政府单位,我们会提供符合政府采购法规范的解决方案,并特别强化教育训练与技术移转的部分。」
游承岳也观察到制造业的信息安全现象:「随著工业4.0和智慧制造的发展,制造业逐渐重视信息安全防护,特别是在工控系统(ICS)的防护方面。」制造业面临的挑战包括:OT与IT环境的信息安全整合需求、生产系统运作不能中断的要求、设备商与供应商的信息安全管理、智慧制造带来的新兴信息安全威胁等。
「科技业普遍具备较强的信息安全意识,但也面临较多的进阶攻击威胁。」周裕华指出。科技业尤其在智慧财产的保护、研发环境需要灵活的存取控制、以及远端工作模式和APT攻击的挑战。
对此,周裕华提出三大建议:
- 分级防护:依据资料与系统重要性,实施不同等级的防护措施
- 客制化配置:根据产业特性,调整防护引擎的组合与设定
- 持续优化:定期检视防护成效,并根据新兴威胁调整防护策略
次世代沙箱技术的突破性进展
在威胁侦测技术方面,周裕华表示:「传统沙箱技术最大的问题在于分析时间过长,往往需要数分钟才能完成单一档案的扫描,这对企业日常运作造成很大影响。OPSWAT的次世代沙箱技术较传统技术快速十倍以上,透过AI技术与威胁情资整合,能在几秒内完成分析,有效解决传统沙箱因timeout设定而被规避的问题。」
这套系统采用多层次防护架构,整合了多项先进功能:
- 环境检测机制:能精确识别恶意程式的执行环境需求
- 休眠时间确认:防止恶意程式透过延迟执行来规避检测
- URL信誉引擎检查:即时验证可疑连结的安全性
- IOC(Indicators of Compromise)资料库比对:快速识别已知的威胁指标
- 骇客组织关联性分析:追踪并分析可能的攻击来源与手法
此外,OPSWAT系统特别创新地导入ChatGPT技术,协助分析人员快速理解威胁特性。「当分析人员遇到特定威胁时,系统能即时提供威胁特徵说明,特别适合处理Tudor或其他复杂恶意程式的分析工作。」周裕华强调,「这项功能特别能帮助非专职信息安全分析人员快速掌握威胁态样,提升应变效率。」
在实务应用方面,次世代沙箱展现多项优势:
- 快速威胁鉴识:透过多重分析引擎并行运作,显著缩短扫描时间
- 准确度提升:结合AI技术与威胁情资,降低误判率
- 威胁关联分析:能自动建立威胁事件之间的关联性,协助掌握攻击脉络
- 即时防护回馈:分析结果可即时回馈给防护系统,强化整体防御能力
周裕华特别指出,「面对无档案攻击的威胁,我们的沙箱系统能够模拟完整的攻击链,包含初始的指令码执行、权限提升、防护机制关闭等过程,让企业能够提前识别并阻挡这类攻击。」
结语
随著信息安全威胁手法不断演进,企业需要采取更全面且灵活的防护策略。周裕华总结:「面对AI技术与ChatGPT带来的新兴威胁,企业更需要建立多层次的防护架构,结合多引擎扫描、CDR技术、沙箱等不同解决方案。同时,持续的使用者教育与信息安全意识提升,也是确保整体防护成效的关键。」透过整合先进技术并结合产业特性制定客制化的防护方案,企业才能建立起更完善的信息安全防护网,有效应对各类新兴威胁。
全文连结:https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=11351