2018 年


2018-03-29

產品處 產品經理 張峰銘

捍衛電子郵件系統安全,抵禦 APT 攻擊的第一步!

 APT 攻擊已成為企業首要威脅

近年來資安事件頻傳,災情遍布各大產業,其中又以金融、製造及政府單位最為嚴重。仔細觀察後可發現,這些資安事件大部分是受到針對性滲透攻擊所造成的。這類攻擊方式又稱為進階持續性滲透攻擊(Advanced Persistent Threat, APT),是近年來常見的攻擊型態,在這種新型態的攻擊背後,往往有相當龐大的駭客集團,攻擊手法除了針對攻擊對象設計專門的惡意程式,也會透過釣魚網站等方式達到竊取資料之目的。

 

電子郵件是 APT 攻擊的前哨站

電子郵件系統是 APT 攻擊最常使用的管道,同時也是企業機敏資料最重要的出入口,電子郵件系統的防護就顯得格外重要。面對不斷演進的攻擊手法,安全電子郵件閘道(Secure Email Gateways)除了提供垃圾郵件過濾機制(Spam  Filtering)與基於特徵值的病毒防護(Anti-virus)等功能外,還須具備URL防護與分析郵件附檔的能力,例如URL重寫防禦(URL Rewriting Defense)及進階的沙箱分析(Sandbox Analysis)等功能,以確保企業用戶的安全,以下分別說明此兩種進階的防禦方式:

 

URL 重寫防護

根據資安研究報告指出,大多數的 URL 攻擊都是一次性的,且連結會在 24 小時之內失效,這也說明了要防範 URL 攻擊是非常困難的事。安全電子郵件閘道需提供進階的 URL 重寫防禦功能,在信件發送給後端使用者前重寫 URL,以提供更完善的保護,這類防護機制可細分為以下功能:

  • 移除信件 URL 連結或 JavaScript,並修改成不可點擊的版本。
  • 將信件 URL 內容替換,如將 URL 的完整網址顯示於信件,以避免使用者點擊假冒的惡意網址。
  • 信件 URL 重新導向,將信件連結重新導向到 URL 安全性檢查服務,已再次提醒使用者。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

圖一:將可疑 URL 內容完整顯示於信件,避免使用者點擊

 

沙箱分析

沙箱是一個模擬真實系統的運行環境,讓檔案自動化執行以確認其行為,例如是否會連線到惡意網站 IP 或於背景下載可疑程式等,此技術通常用於檢查無法識別的信件附檔,以追蹤潛在威脅的可能性。安全電子郵件閘道所提供的沙箱分析需具備以下功能:

  • 需支援各式各樣的檔案類型,包括常用於攻擊的 ZIP、JS 及包含巨集的 Office 文件等。
  • 針對帶有惡意程式的病毒信,可選取處理動作,並定期通知管理者。
  • 完整威脅事件分析及統計報表,以幫助管理者追蹤與管理。

 

 

 

 

 

 

 

 

圖二、完整威脅統計報表,幫助管理者追蹤

 

 

學習式的進階惡意程式偵測引擎

當信件通過安全電子郵件閘道時,並不會將每一封信件的附檔都丟到沙箱環境,以避免耗費不必要的資源。在提交至沙箱環境前,進階惡意程式偵測引擎會先比對信件附檔的特徵值,或將其解壓縮進行靜態程式碼分析並模擬檔案行為,以判斷其是否為可疑檔案,接著查詢即時防護病毒資料庫,最後提交至被隔離的沙箱環境引爆,監控其行為並回傳詳細的分析報告,每次分析的結果,會回饋到機器學習的機制中,以提高判斷進階惡意程式的準確度。

                                          圖三、進階惡意程式偵測流程圖

 

資安觀念是 APT 防護的重點

APT 攻擊事件的發生,絕非由單一事件所引起,強大的安全系統可預防攻擊,進而降低企業內部系統被入侵的風險,但唯有培養正確的資安觀念,落實於企業文化才能真正杜絕各種攻擊所帶來的危害。導入具有 APT 防護的安全電子郵件閘道,是行動的第一步。MailGates 憑藉累積多年的豐富實戰經驗,加上客戶的需求回饋,推出完整的 APT 防護機制,協助企業捍衛電子郵件安全。