應付 APT 攻擊,單靠防毒軟件,對於黑客的成本太低,黑客取易不易難。。加上Kaspersky Sandbox,令攻擊成本大增,並可將可疑檔案分析,交予SIEM系統。
新科技速遞
近期的網絡攻擊,包括加密勒索軟件攻擊,已經轉用了零日攻擊的「高階威脅」(APT),由於防毒軟件已不能奏效,無從過濾高階威脅,防禦越來越困難;IT人員須花費時間,評估大量的可疑檔案報告,不能即時辨識和應對最關鍵的威脅。
中小型企業資源較少,多不設處理IT安全技術人員,管理安全責任交到IT 部門手上,導致IT部門處理的事務廣泛而繁多,不可能及時修補所有漏洞;以防止高階和APT級攻擊。理論上,沙盒可防護APT,只是一般沙盒管理極為困難。
香港超過九成商業機構,均屬於中小企業,具預算設立資訊安全監控中心(SOC)不多,即使投資購買高階攻擊APT監控或威脅情報等方案,也缺乏專業人員處理大量可疑警報,必須聘請安全服務的托管服務供應商。
Kaspersky推出全自動應對高階攻擊,與需專業安全人員調查及處理的APT監控方案不同之處,Kaspersky Automatic Response Endpoint Anti-APT (powered by Kaspersky Sandbox)不需要手動操作,分析風險物件的影響。
自動雲端檢測
上述產品是Kaspersky NextGen Endpoint Security的延伸,端點安全方案檢測到無法深入分析行為、或遇到無法歸類為惡意的可疑對象時,系統就自動將可疑檔案,發送到沙盒中執行分析。
為了檢測一個物件是否是惡意,Kaspersky Sandbox會完整執行可疑檔案,收集並分析證據,如果當中有惡意行為,例如不尋常的加密、使用零日漏洞下載惡意物件、連線外部的C&C伺服器等,Sandbox就識別為惡意軟件,自動將其報告給端點保護解決方案,以採取進一步攔截及封鎖。
以Kaspersky的端點防護方案來說,可自動執行的動作包括:物件隔離(quarantine)、通知使用者、掃描作業系統或在企業網絡內其他電腦上搜索檢測到的惡意物件以防止威脅擴散等。
Kaspersky Sandbox還會將物件是否威脅的判斷結果儲存在自身伺服器上的緩存中,如果企業網路中的另一個端點請求分析已完成判斷的檔案,則端點防護方案能共用此資料庫獲得決策,而無需重新掃描該檔案,加快了回應速度並減少了伺服器上的工作負載。
自動化提升防護
Kaspersky Sandbox通過額外的安全層級,提升Kaspersky NextGen Endpoint Security企業防護的安全層級,端點防護能自動回應高級的零日威脅。此外Kaspersky也提供API,還可以與其他 EPP 解決方案集成。
「中小型企業很少有能力聘請和保留網絡安全人才,上述解決方案可自動解決問題,無需聘用IT安全專業人員。」卡巴斯基B2B產品行銷負責人Sergey Martsynkyan解釋。