侵到企業內部網路時,該如何透過
FireAMP
提供的資訊來貫穿攻擊前、
中及後的資安防護程序。
1.
網路檔案軌跡追蹤圖
網路上的檔案軌跡追蹤圖,是透
過網路端的防護設備所提供。當惡意
程式出現在網路上時,如圖三,便可
利用檔案軌跡追蹤圖來分析攻擊發生
的起始時間點、攻擊的來源及惡意程
式擴散的狀態。如果整合端點的保護
資訊,更可以將惡意程式在網路擴散
的狀態,與端點中惡意程式執行時的
細節,整合至網路檔案軌跡追蹤圖,
透過單一介面,便可以同時瞭解惡意
程式對整個網路環境跟主機的影響。
2.
設備軌跡追蹤圖
設備軌跡追蹤圖,可以用來追蹤
惡意程式的行為。當惡意程式被執行、
新增、複製及移動時,
FireAMP
便會
記錄所有行為。管理者分析設備軌跡
追蹤圖的時候,可以完全掌握惡意程
式所有行為,包含執行過程中產生之
全部檔案。根據這個資訊,當然就能
夠完全清除有問題的所有惡意程式。
如圖四,這是使用者透過
Chrome
去瀏覽
10.180.0.144
上被植入
Java
0
Day
攻擊程式的網頁,後續發生
的所有行為。從圖四中可以發現,當
Chrome
瀏覽網頁後,
Java.exe
啟動,接著屬於正常程式
(
綠色
)
Java.exe
居然產生惡意程式
(
紅色
)
惡意程式也被執行後,便依照本身功
能去下載更多惡意程式來執行。當然
圖四僅為惡意程式行為示意圖,當惡
意程式出現時,
FireAMP
是會自動依
照政策所設定的方式進行阻擋。
圖三 網路檔案軌跡追蹤圖
175
Technology Forum 2015
雲端
資料
BYOD
與資
網路