Fidelis全面防御进阶威胁 消弭FinTech风险

2017/05/23 - 魏淑芳

近年来「金融科技(FinTech)」蔚为风潮，不论金融机构或网络科技业者，都亟思运用信息科技、产品或新的通讯协定，搭配新的商业模式，孕育出新型态借贷、支付、数码货币、财富管理等等服务。

不可讳言，这些创新服务固然富含潜力，但也蕴含难以逆料的风险，只因碍于传统网安工具的「视野」不足，无法识别许多新的未知事物，使黑客成功闯关的机率急遽增加。

长期钻研主动威胁防御(ATD)、网络骇侵监识技术的Fidelis Cybersecurity，其亚洲区技术顾问邢广耀表示，传统网安产品的检测面向欠缺广度，仅聚焦在诸如80、443等常见端口，及已知通讯协定，不仅难以抵挡零日攻击，对于恶意程序在企业内部横向扩散，也往往束手无策。

邢广耀点出现有防御机制的一大盲点，尽管不少企业已布建Anti-APT机制，藉以侦测恶意攻击，同时部署数据外泄防护(DLP)系统，避免重要数码资产旁落他人之手，但Anti-APT只看得懂恶意程序，无能力辨析数据档案内容，而DLP看得懂数据内容，却无法连结恶意行为做关联判断，随着不同系统各司其职，使整体防御架构出现偌大缺口，无异给予黑客上下其手的空间。

持平而论，黑客并非魔术师，不可能瞬间达到窃取数据目的，而需历经渗透、线上遥控、横向感染、数据泄漏等多个阶段，此即为威胁生命周期。

Fidelis代理商中飞科技产品经理张建伟说，综观大多数网安设备，防御能力普遍落在上述第一或二道阶段，唯有Fidelis深谙黑客的思维脉络，继而凭藉对于未知协定的辨析、对于内部横向感染的监识与阻断等多项独门实力，巧妙填补传统防护技术的缺口，得以形成全面性视野，有能力针对完整威胁生命周期执行侦测、防御及监识调查。

加快速度  夺取黑客珍贵资源

Fidelis提供两大解决方案，一是Fidelis Network，另一是Fidelis Endpoint。Fidelis Network个中蕴含APT渗透监识防御、DLP数据防盗监识、网络网安监识分析等三大关键技术，其间不论Anti-APT或DLP等监识机制，范围都含括所有端口(0？65535)、所有已知通讯协定，并善用已知协定当做Decoder，以解析每个封包对应的通讯协定内容，研判是否为经过黑客窜改的未知协定，但无论是已知或未知内容，Fidelis皆完整保存元数据(Metadata)，以利于日后做时光回溯调查，还原黑客活动的全部轨迹。

邢广耀强调，针对前述Anti-APT、DLP各自单兵作战下的缺憾，Fidelis别出心栽在DLP中安装APT监识防御机制，使DLP不仅能实时侦测所有敏感性数据的移动轨迹，同时亦可结合恶意攻击信息，一并执行关联分析，所以纵使黑客巧妙运用带有ASP或PHP的恶意程序码，意图躲避沙箱检测、潜入企业伺机窃取机密，终究难逃法眼。

另有人好奇，Fidelis可做到时光回溯调查，但一般封包侧录工具却不行，其间差异为何？邢广耀解释， Fidelis收录对象为Metadata、非完整封包数据，不仅有助于大幅节省储存成本，更使监识调查所需查询的信息量急遽缩减，故能快速产出监识结果。

「『时间』正是黑客最珍贵的资源，」邢广耀说，Fidelis目标很明确，便是尽力缩短威胁侦测、调查、反应与确认的时间，进而夺取黑客的宝贵资源。

至于另一主力产品Fidelis Endpoint，顾名思义其职责为端点防护，主要功能在于自动化收集所有端点的完整信息Metadata，统一收纳于管理中心，以利结合Fidelis Network网络威胁告警、SIEM告警或其他威胁情资，迅速进行关联分析，紧接着将有问题的端点予以隔离，从线上清除恶意Processes及还原，终至大幅提升事件反应速度，及早令黑客攻势戛然而止。


图说：Fidelis Cybersecurity亚洲区技术顾问邢广耀表示，该公司提供的主动威胁防御监识调查系统，可协助企业快速回溯入侵者轨迹，藉以争取时效清除与还原受骇系统，及早瓦解恶意移动。