网路资讯／防护工具选得巧　开启APT防护罩

作／曹乙帆

资讯安全领域一向对于新攻击手法相当敏感，从去年初开始由APT攻击造成像是Stuxnet蠕虫、RSA等资安事件后，随即成为媒体关注焦点，大家闻APT色变。因此，资安厂商相继推出相关解决方案。本文特别介绍趋势科技、Xecure Lab与Websense三家的解决之道，可作为未来企业在导入相关产品时之参考。

Websense TRITON 7.7

一般而言，APT攻击大致会有侦察、诱饵、转向、漏洞攻击、下载档案、回报及窃取资料等7大阶段，所有阶段都是为了达成其最后一个阶段的终极目标，也就是窃取资料，若未达成，其他阶段再怎么成功也算失败。

但对于企业而言，每个阶段都要面面俱到，同时每个阶段都需各别部署不同的安全防护方案，最重要的，莫过于不同安全防护是否能够发挥协同防护的最大效益，唯有如此，才能将APT拒之于企业大门之外。

传统资安防御方案在因应APT新型攻击上漏洞百出，这是因为传统方案乃基于病毒码，并缺乏即时内嵌的内容分析，同时单单只处理外来攻击，对于由内而外的资料传送缺乏良好的监控机制，另外在部署选项上无甚差异。

Websense TRITON提供整合式安全架构，其同时结合Web安全、资料安全、邮件安全及行动安全，因而能提供整合式的解决方案。再者，透过Websense Global SaaS基础架构，能同时对总公司、分支据点及行动工作者提供整合式的安全防护平台。再借由ThreatSeeker ACE进阶分类引擎，加上Threat Seeker Network及Websense Security Labs，而为企业打造整合式的分析机制。

目前Websense Security Labs在全球拥有上百位的研究人员及程式开发人员， 并包含进阶演算法及机器学习、自动启发式分析、反向工程、漏洞入侵分析及次世代蜜罐等技术领域专家。

至于ThreatSeeker Network则由Web/Emai l 安全闸道器、Websense Security Labs、威胁分析资料库(Threat Analytics Database)、云端安全资料中心等不同成员所构成，这些成员之间会进行威胁侦测/探针、即时安全更新及共享分析/回馈等作业，进而达到APT及其他恶意攻击的联防效益。

Websense TRITON所内建的ACE整合式威胁侦测引擎，内建许多先进安全防护机制，包括即时威胁引擎、3大反恶意程式引擎（商业防毒引擎、启发式分析引擎及恶意PDF引擎）、鱼叉式网路钓鱼/信誉评估/Web连结防御、复合式计分模型与预测式防御等机制。

总而言之，Websense TRITON 7.7整合了7大突破性安全防护机制于一身，包括内建10大全新进阶威胁与资料窃取防御机制的Web防御、内含在线恶意程式沙盒的鉴识服务、支援Email URL沙盒技术的邮件安全、内建Email DLP机制的行动安全、DLP/资料窃取防护、苹果端点防护，以及IPv6的支援。该方案并内建7大业界第一的安全机制，例如Web UR0L及档案沙盒服务、网路犯罪加密侦测、资料撷取鉴识、密码档资料窃取防护、Email URL沙盒技术、移动中资料OCR及行为式DLP等创新机制。