執著對於舊愛的迷戀

家鄉是舊的好,故人是老的好,應用在IT上面可就不是這麼回事了。

過去30年間,對於IT業界第一想到的資安議題就是無所不在的駭客攻擊事件,而傳統上對於阻止駭客攻擊的方法,大概唯一想到的就是防毒軟體。

對於IT來說,送上去的防毒軟體預算,大概老闆與採購都不敢阻擋,反正價低便宜,有買有裝有安心,但是效果呢? 可就不是這麼一回事了。

已知態樣之攻擊未知新態樣之攻擊
File-based 以檔案形式攻擊例如PE執行檔,包含EXE/COM/DLL例如變種的執行檔
File-less 無檔案形式攻擊例如 Powershell/WMI 工具例如攻擊作業系統或應用程式的記憶體漏洞

傳統的防毒軟體僅能針對已知的File-based 攻擊有效,對於其他三種攻擊態樣完全無效。因為傳統防毒軟體依賴大量的人工去蒐集並判斷大量的執檔,找到其中的病毒檔案,然後分析其特徵並製作病毒碼,然後推送至全球的端點程式中。

這樣的效率在20年前或許還有效,但是在今日的網路世界中遠遠不及駭客的技術演進。最大的缺點就是加入人工的判斷,以及資料庫遠遠來不及加入最新的攻擊態樣。

已知態樣之攻擊未知新態樣之攻擊
File-based 以檔案形式攻擊可以利用病毒碼資料庫偵測必須利用機器學習偵測變種的執行檔
File-less 無檔案形式攻擊必須結合全球情資與專家判讀須具有防護漏洞技術,如 ASLR/DEP/SEH 防護

以上表為例,可以知道傳統防毒軟體實在是效果非常有限,縱使每一台伺服器或是個人電腦都有安裝,但是可以達到的保護非常不足。

相反地,最新的雲端架構端點防護解決方案 CrowdStrike 不僅不需要病毒碼更新就可以防護已知的惡意程式,更具有 Machine Learning/Indicator of Attack/Exploit Mitigation等技術防止上述四種型態的攻擊。另外加上獨家唯一的 Overwatch 服務,可以 7x24x365 全天候監視與判讀所有端點發生的異常處理程序 (Process) 行為,即使在客戶IT下班或是放假,也可以保持最高戒備的資安防護與應變。

想要了解更多,請洽數位資安。

Posted in 新聞, 產品新知 and tagged , , , , , , , , , , , , , , , , , .