針對端點的進階威脅防護,CylanceProtect支援多種惡意威脅的分析,並且對於記憶體內執行的惡意程式提供偵測機制,以及可防護Script指令碼攻擊手法。
原廠強調,CylanceProtect藉由處理程序的行為分析,取代即時監控的作法,比一般端點防護軟體更省資源,這點在我們透過VM模擬的端點電腦實機測試時,感覺相當顯著。
這款產品的另一個特性在於,安裝CylanceProtect代理程式的端點電腦,在沒有網路、或是無法連線主控臺的狀態下,還是可以獨立運作,阻擋可疑的惡意行為,它也不需像防毒軟體頻繁更新病毒碼,行為特徵與公司政策大概只要半年左右更新一次即可。而在端點電腦無法連接到主控臺的情況下,CylanceProtect則是提供手動更新設定檔案的機制,不過,若是企業內部獨立運作的端點電腦數量相當多時,管理者可能需要逐臺電腦套用,較為不便。
從管理介面中,我們發現CylanceProtect偏重於端點防護與偵察,對於單一威脅情資的分析極為詳細,但若是對於橫跨多個電腦的攻擊手法,由於缺乏攻擊鏈分析,管理者較難直接掌握事件發生的範圍。
針對威脅事件的攻擊類型與發生時間,提供整體狀態資訊
在CylanceProtect的主控臺中,它的儀表板所提供的資訊,都是以威脅的各種性質做為分析,提供管理者進行調查之用。例如,以時間區間呈現攻擊事件數量的走勢,以及透過大小區塊的矩形樹狀圖(Treemap),顯示惡意軟體與潛藏軟體(Potentially Unwanted Program,PUP)類型分布比例等。管理者可在儀表板頁面中,快速得知企業內部受到攻擊的情形。
管理者想要進行調查,可透過儀表板上的資訊,直接對於特定屬性的惡意攻擊清單進行檢視,也能直接切換至威脅防護分頁,針對指定的條件搜尋攻擊事件。在威脅防護分頁中,總共有多達26種屬性的欄位可供陳列,像是初次發現的時間點、簽章資訊等,並且,每個欄位都能當作篩選攻擊事件的條件之用。
值得一提的是,由於近期採用Powershell等Windows內建工具下達指令,或是採取Script指令集包裝的攻擊手法相當盛行,CylanceProtect也在威脅情資中,特別對於防止此種惡意指令集的部分,提供已經成功阻擋的可疑事件列表。
我們以內含惡意行為VBA巨集的DOC與XLS文件測試,在端點電腦的代理程式能夠成功阻擋,之後,主控臺即留下記錄供管理者調閱。針對指令集防護的情資,在CylanceProtect指令集控管介面中,主要顯示端點防護程式阻擋可疑行為的次數,以及受到相同檔案影響的端點電腦數量等,但缺少像是供管理者檢視Script檔案內容等進階功能。
可突顯目前最嚴重的惡意威脅類型
在CylanceProtect的主控臺中,儀表板提供端點異常狀態的情資,管理者可依據時間軸、威脅類型與威脅等級,檢視走勢圖、矩形樹狀圖,以及高風險指標等資訊,而且點選圖上的項目,便能進一步追查受到影響的處理程序記錄。
對於惡意軟體隱藏在記憶體內執行的行為,加以偵測
而針對代理程式發現可疑行為時,自動執行阻擋的功能,可從CylanceProtect端點裝置控管政策中看到相關項目。系統將防護策略分成4個項目:檔案監控、記憶體內監控、可執行檔與應用程式控管,以及前述的Script指令控制。
其中,設定項目最多的部分,是針對隱藏在記憶體執行的惡意程式監控機制,主要能處理3種攻擊類型:漏洞攻擊、感染處理程序,以及提升惡意程式的權限。而這裡可對於個別項目,配置端點代理程式的處置方式,預設是終止執行,也可調整為較寬鬆的封鎖或是警示措施。
不過,這個防護功能可能會與其他虛擬機器的防護功能衝突,因此對於在虛擬化環境採用這款軟體,原廠表示,有可能需要將這項監控機制關閉。
此外,CylanceProtect在可執行檔的部分,管理者可設定代理程式發現疑似有問題的處理程序執行時,連同相關的子處理程序一併刪除,或是限制只能在特定資料夾執行的措施。
能透視惡意軟體結構,並提供細致的鑑識資訊
在單一惡意軟體的鑑識中,CylanceProtect提供了危險程度指數,而且在端點電腦偵測到惡意軟體啟動時,也具備了第一時間初步處置措施,像是加以隔離、抹除(Waive)等。此外,這裡也對於檔案在VirusTotal多防毒軟體引擎網站的評價,提供一鍵檢視的功能,讓管理者能夠參考其他防毒軟體識別的結果,同時,可藉由Google搜尋檔案的相關資訊。
這裡也指出CylanceProtect為何將此惡意軟體的行為,視為威脅的徵兆。例如,端點代理程式一旦發現某個可疑軟體會持續收集電腦資訊,並且以試圖隱藏的方式執行等情況,因此認為它有可能是傷害端點電腦的行為。
此外,這套產品可針對惡意程式加以拆解其中的結構,以及記錄執行時發生的行為,像是端點電腦受影響的檔案、遭到修改的登錄檔等,只是這裡提供的是清單,看不出真正執行的順序與運作方式,管理者難以進一步了解惡意程式攻擊的手法。
CylanceProtect特色總覽
針對惡意攻擊的手法,CylanceProtect擁有多種機制,在惡意軟體的識別與分析之外,也可對於Script指令碼進行阻擋,而攻擊者若是刻意規避防毒軟體的偵測機制,在記憶體中執行惡意程式,CylanceProtect也可找出有問題的處理程序。
陳列Script指令檔阻擋記錄,以供進一步調查之用
CylanceProtect針對可疑的Script指令碼,包含PowerShell程式碼、Office檔案內的VBA巨集等,提供阻擋的功能,並在管理主控臺中顯示記錄,管理者便能得知指令碼事件中,受阻擋的可疑攻擊次數統計等資訊。
針對惡意軟體剖析會執行的可疑行為
針對單一惡意軟體的分析,許多同類型軟體大多提供檔案資訊,包含特徵碼、數位簽章、危害指數等,而CylanceProtect還列出識別為惡意軟體的行為特徵,像是刻意潛藏在背景中執行,或是會擷取系統資訊並回傳等。
可自訂監控記憶體內執行處理程序的策略
CylanceProtect針對會在記憶體中執行的惡意軟體,提供專屬的偵察機制,管理者能針對特定類型的攻擊手法,套用端點執行的政策:停止執行、封鎖、警示等選項。此外,在政策之中,也可設定檔案白名單,以及惡意指令碼封鎖功能的啟用與否。
產品資訊
Cylance CylanceProtect
● 代理商:安創資訊(02)2822-4970
● 建議售價:每端點電腦每年2,680元(未稅)
● 伺服器部署形式:軟體部署、雲端主控臺
● 管理功能:端點AD整合、報表輸出、警示通知
● 支援端點平臺:Win XP、Win 7、Win 10、Win Server、macOS
【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商。】