二、當未知的病毒出現時,回
溯 性 分 析
(
Retrospective
Security)
在前面內容中,將攻擊發生分
3
個 階 段。 其 中, 攻 擊 後 的 這
個階段,是現在最容易被忽略的部
分。 而
FireAMP
強 調 回 溯 性 分 析
(
Retrospective Security)
藉由完
整記錄所有攻擊事件的全部資訊,讓
資安管理人員有辦法再回溯到最開始
的攻擊情境,可以徹底瞭解攻擊發生
的根因,以便做出有效的改善方式。
而回溯性分析的概念是如何運作
呢?圖六中顯示,有一個
pad.swf
案被記錄下來,此時圖示的顏色為灰
色,表示目前此檔案還無法判斷是正
常還是惡意程式。但是在圖七中,跟
最初被記錄的時間相隔
10
小時多之
後,
pad.swf
已經可以被辨識為惡意
程式。
為什麼會發生這樣的情況?
pad.
swf
Adobe Flash
格式的檔案,
圖五 網路檔案軌跡追蹤圖
(
PDF
惡意檔案
)
是一種常見被嵌入網頁中的動畫程
式。而
pad.swf
並不是可直接被執行
的檔案,為什麼被判斷為惡意程式。
其實,答案就是圖中
192.168.0.232
主機使用的
Flash
播放器本身有弱
點,而且
pad.swf
是一個未知的惡意
程式,尚未被成功捕獲到,當然就還
無法正確辨識。
那使用者看到有問題的
pad.swf
動畫時,會發生什麼事?使用者很可
能會毫無感覺,攻擊成功是一瞬間的
事。這便是零時差
(0
Day)
攻擊的
可怕之處,使用者可能只是在無意之
間瀏覽一個網頁或是打開一個文件,
攻擊便已經成功,等到防毒軟體有能
力辨識惡意程式時,惡意程式的入侵
時間與來源等資訊,將無從追查。而
FireAMP
的目標便是提供足夠的資
訊,讓資安管理人員在攻擊發生後,
能夠確實的找到問題發生的根因,才
能夠知道如何去改善。
透過
FireAMP
的軌跡追蹤圖,
177
Technology Forum 2015
雲端
資料
BYOD
與資
網路