强化事后应变处理 将恶意余毒清理殆尽

台湾思科系统安全事业部产品经理郭旭杰。

思科(Cisco)CEOJohn Chambers曾经说过，全世界仅有两种类型的企业，一种是自知已经遭入侵，另一种同样也遭到入侵，但却浑然不觉。这段话相当传神，完全契合今时今日的企业网安现况，也就是任何企业都必定会遭受恶意攻击，想做到100%安全，等同于不可能的任务。

既然如此，企业还应该一如过往，将网安防御重心悉数摆在「预防」之上？台湾思科系统安全事业部产品经理郭旭杰期期以为不可，他认为预防固然重要，但另外还需要补强修正措施，讲白了就是假定自己一定免不了遭受攻击，等于人人都会生病，如果这是难以扭转的宿命，那麽紧接着应当执行的要务，便是设法在最短时间内对症下药解除病万亿，让自己恢复健康。

只可惜，一些为企业所熟知的网安防护系统，不管是防火墙、防毒软件、入侵防御系统，甚或是时下最热门的APT防御方案，通通都落在「预防」框架之内，如果将此对应到黑客攻击的生命周期，正好处在「攻击前」(Before)、「攻击中」(During)等阶段，等于是在这些阶段与黑客一次定输赢，及早将黑客拒于企业门户之外，以发挥「预防重于治疗」妙效；此类做法，并不能说有所不对，但却百密一疏，意即如果黑客运用新颖的攻击手段，因而闯关成功，那麽企业尔后岂不面临永无止境的祸患？

遭受攻击成常态  企业须建立事后救援机制

「企业必须建构新的网安模型，除了Before、During，也要针对『攻击后』(After)有所防范，」郭旭杰说，有关这道「After」防护机制，必须具备两个重要能力，其一是知道何时被攻击成功，其二是可有效引导用户解除攻击成功后的所有危害。

为何需要大费周章扩建网安架构？郭旭杰指出，主要理由有二，首先，每一家企业都有装防毒软件，但所有防毒软件厂商提供的病毒码加总，不过2,000万支，但目前单指已知的恶意软件(还不包括未知)即超过1亿种，由此可见攻守双方之间实力悬殊，既然如此，企业怎能放心坚信其防护工具，一定100%可以抵档得了黑客的进犯？

其次，黑客发展恶意程序并非儿戏，其间也有十分严谨的QA程序，务求所有防护工具都无从识别其踪迹，才会正式启动，所以企业遭受恶意攻击得逞，是很难必免的事情，因此必须倚靠「攻击后」的防护机制，赶紧还原整个攻击事件的原貌，掌握其感染扩散的所有范围，尽速施展补救之道。

有监于此，思科不再固守于长期沿用的单点防护架构，进而针对Before、During、After等完整生命周期角度，重新展开Security Model布局规划，终至打造了全新的进阶恶意程序防护(Advanced Malware Protection；AMP)解决方案。

郭旭杰表示，时至今日，多数黑客已大量援引云端技术增强攻击力道，既然如此，防护厂商亦有必要比照办理，因此思科不断汇集攻击信息形成庞大的云端数据库，为AMP提供了强而有力的后盾。据悉，思科在全球各地共计部署了多达160万个传感器，以电子邮件为例，每日监测的邮件流量，即占了全球的35%比重，显见其可供分析样本部位极为壮观。

藉由回溯分析  完整还原攻击事件全貌

至于AMP系统本身的重点功能，大致包含两个主轴，一是「一次性侦测」的功能，包含了档案名智库和沙箱分析等等技术，可提供客户在预防已知及未知恶意程序的能力，但是「一次性侦测」的技术并没有百分之百，因此，AMP也提供「回溯分析」的功能，此即为网安业界罕见技术，则是弥补「一次性侦测」技术的不足。

郭旭杰进一步说明，回溯分析与一次性侦测两者之间的最大差异，便在于持续性。举例来说，一个月前，一项当时还不为世人所知的新式攻击，悄然潜进某企业，但一个月后，其相关特徵码已被公诸于世，这时企业回头过问防毒软件或沙箱，此恶意程序究竟何时进入？进入后的扩散路径为何？

不管防毒软件、沙箱都必然无法给出答案；反观AMP回溯分析机制，针对每一个进入企业内网的档案，都会给予唯一的SHA-256数值，此后不管这个档案如何变种，或者多少用户接触这个档案，任何行为轨迹都会留下完整纪录。

于是乎，只要恶意程序从未知变为已知，AMP即可根据时间轴倒带还原，把第一支挟带此恶意程序的档案何时进入企业，谁是第一个遭受感染者，之后又透过网络芳邻传递给哪些同仁，而到了其余同仁的电脑后，是否再繁衍出其他后门，凡此种种，所有情节通通完整呈现；如此一来，企业IT管理者即可将有问题的端点通通一网打尽，继而采取隔离或封锁等处置措施，确使该恶意活动的所有桩脚一一被拔除殆尽，完全不留伏笔，日后也不会死灰复燃。

据悉，迄今无论已经布建思科邮件安全、Web安全、端点安全、网络安全或IPS等设备的企业用户，皆可透过既有设备基础加装AMP，据此补足事后应变处理的能量，如果不想这麽做，也可独立部署AMP闸道器。无论选择哪条途径，都有助于填补企业在于事后发现与修正问题的缺口。