但實際上卻是常常被忽略的階段。攻
擊發生後更應該針對發生的狀況進行
分析,確認攻擊的侵入點,唯有如此
才知道哪邊是目前防禦機制的缺漏
處,真正需要補強的部分是哪裡。
現今絕大多數的資安防護設備,
都是注重在偵測與阻擋的能力上,
也就是希望任何的資安事件,能在
攻擊前與攻擊中這兩個階段就能有效
防禦。但是建置這麼多類型的資安防
護設備後,卻仍然有不少的資安事件
不停發生。其實有一部分原因就是因
為忽略攻擊後的分析,攻擊後的分析
可以讓管理者得知攻擊發生的時間、
攻擊發生的來源以及攻擊所影響的範
圍。管理者若能分析出被攻擊的根因,
當然也就可以針對被攻擊的弱點處持
續提升防護能力(圖二)。
Gartner
防護
APT
攻擊最佳實
務原則中提到:對付
APT
沒有萬靈
丹,企業必須建立一套涵蓋網路、
邊界、端點和資料安全的縱深防禦
策略。
Sourcefire
APT
解決方案
(
FireAMP)
同時包含網路端與使用
者端的防護機制。整合巨量雲端惡意
程式資料庫,並採取行為分析的方式
來偵測未知的惡意程式,同時提供網
路上的檔案軌跡追蹤圖,分析惡意程
式一旦入侵網路後,如何擴散到網路
上的其他設備,可以有效防止
APT
擊的擴散。還可透過設備軌跡圖,記
錄惡意程式進入系統之後所執行的各
項動作,讓管理者可以清楚知道哪些
惡意程式的資訊是可以清除並回復。
讓攻擊發生前透過
FireSight
技術掌
握網路整體架構,攻擊發生時利用智
能感測透析攻擊內容,攻擊發生後藉
由追朔分析技術調查受害範圍。
接著藉由
FireAMP
2
個重要
軌跡追蹤圖,來說明當惡意程式入
圖二
情境感知與自動化控制
回顧惡意程式在網路中
擴散與傳遞的軌跡
惡意程式執行軌跡分析
檔案深度分析
被駭主機追蹤
防止病毒擴散機制
輕量化連接器:
一般
PC
手機
虛擬機
整合式回應機制
174
2015
技術論壇
雲端運算與資料中心
資料儲存與備份
BYOD
與資訊安全
網路技術與應用