新一代的網路威脅已經出現,現今對特定目標攻擊的方式是使用隱藏惡意軟件與指揮控制架構來提供商業間諜竊取企業機密資料。這類的攻擊使用複雜的惡意程式設計方式,來繞過使用特徵碼(Signature-Base)防禦的防護層(如IPS、防毒軟體等),為網路罪犯提供一個可以取得客戶資料、知識產權與商業秘密的管道。

 

一旦隱形惡意軟體感染了終端電腦設備(PC,Mac,iPad,智慧手機等),此程式將會以使用者合法管道存取Internet的存取方式與犯罪者溝通。

 

命令指揮系統(Command-and-Control,C&C)可以發出相關指令給惡意軟體來竊取資料和機密,並持續更新/修改惡意軟件,以進一步逃避檢測或進行特定性的任務,這些隱形的威脅是目前各行業的安全團隊急需解決的目標。

 

根據最近的研究顯示,平均企業網路漏洞要超過170天,才會被發現與察覺。快速檢測漏洞和終結罪犯通信,才可以有效防止資料被竊取。

 

 
 

Damballa Failsafe

 

  • 貨真價實的網路行為偵測技術,監控真實網路封包(非沙箱內的扮家家酒行為偵測),快速發現潛藏的惡意軟體,即便是最先進的Sandbox-Aware惡意軟體也逃不過法眼
  •  

  • 不須安裝Agent軟體,亦不依賴沙箱,故完全不受限於平台種類,各種連上網路的Windows、Mac、Linux、iOS、Android、Symbian、embedded的伺服器、個人電腦、手機、平板、POS…全部都可支援
  •  

  • DGA(Domain Generation Algorithm)偵測專利,聰明找出C&C主機不斷快速更換的惡意網址
  •  

  • 全球目前有四億台設備受到Damballa Failsafe的保護
  •  

  • 自動檢測和分析可疑的可執行檔案和PDF文件,來發掘已經進入網絡的zero-day或未知的惡意軟體攻擊
  •  

  • 迅速識別企業網絡上C&C的行為和犯罪流量
  •  

  • 針對惡意軟件和惡意通訊關連感染提供完整準確與立即的證據
  •  

  • 阻擋犯罪通訊以防止數據被竊取
  •  

  • 提供完整的檢測證據與可追查的事件發生序列,並提供操作修補的作法來減少漏洞發生

 

 

 

※ 已知威脅不過是冰山一角,Damballa可抵禦未知及隱藏的威脅
 

Damballa Failsafe感應器監控DNS、Proxy與防火牆的網路流量,並利用多維深度檢測引擎檢測相關可疑行為並迅速分析與隔離攻擊行為。

 

Damballa LAB實驗室擁有業界最先進的網絡威脅情報,Damballa Failsafe準確地檢測未知的Zero Day的威脅,並有效減少這些惡意行為造成的風險與阻止惡意程式與C&C服務器端點通信。

 
 

 
 

Damballa Failsafe

 

Hunting for Advanced Malware, Persistent Threats and Targeted Attacks

 

快速、準確的偵測。Damballa FailSafe使用Out-of-Band感應系統,監控網路通信包括Firewall流量、DNS查詢和HTTP請求。監看網路行為、特殊的檔案、C&C與相關的資訊來辨別已存在的惡意程式與查明感染的設備。

 
 

Danballa Failsafe 感應器使用多維度的封包深度解析引擎來檢測惡意威脅以達成:

 

  • 自動惡意程式分析(Automated Malware Analysis)
– 檢測和捕捉可疑的可執行程式和PDF文件,如果確定是惡意的檔案,將進一步在Damballa實驗室即時分析分析檔案與C&C的溝通行為,並提供主機相關溝通細節資料。

 

  • 行為分析(Behavioral Analysis)
– 追蹤資產通信,確定某些通信很像自動化或更像是人的行為,但是是非人為的操作。

 

  • 通訊剖析(Profiling Communications)
– 分析網路流量,以確定目標是否可疑,或與已知可能的C&C通信,名聲很低的DNS,或者是一般曖昧的目標。

 

Damballa Failsafe針對可疑流量執行完整的數據封包捕獲並產生分析報告,定義受害者的設備上惡意軟件的變化,並提供了一個完整的管理畫面來說明,Who、What、Where以及Why。這種情境功能提供了安全團隊明確、 可操作的智慧化分析和減少浪費時間在追蹤誤判的告警。

 

※ Damballa Failsafe提供了安全團隊明確的、 可操作的智慧化架構和減少浪費時間在追蹤誤判的告警

 

 

 
 

Damballa Failsafe

 

  • 可保護各種終端設備
Damballa Failsafe 藉由監控網路通訊可以保護企業內所有的運算裝置,無論是哪種作業系統或平台–所有的伺服器、桌上型電腦、PC、Mac、iOS、Android裝置,甚至是嵌入式裝置。DamballaFailsafe 保護企業避免受感染的裝置連入公司網路,像是差旅人員、承包商、行動裝置及員工自有裝置 (BYOD)。

 

  • 提供可協助快速對事件做出反應的行動指引
藉由自動剖析惡意網路行為的證據,Damballa Failsafe 消除一般產品常見的假警報,精確指出感染所在位置並對事件反應需求排出優先順序。DamballaFailsafe 基本上不會有 false-positive 誤判的機率。通訊剖析 (Communication Profiling) 負責蒐集疑似犯罪行為之事證並經過交叉比對確認後才產生出結論。

 

風險剖析 (Risk Profiling) 根據裝置上及裝置所在網段所發生的威脅性活動指出哪些被感染裝置暴露在最高的資料竊取風險下,提供更明確的資訊及處理優先順序給事件反應小組。

 

  • 可抵禦隨時竄出的各種新威脅
Damballa Labs 透過 Big Data 分析及專利的機器學習系統來發現新出現的威脅–遠遠早在其它資安業者發現它並進行分析再建立特徵碼之前。如果您必須仰賴事先看過該惡意軟體才有辦法做出保護措施的話–您已經輸了這場戰爭了。對於這個產業中的大多數業者而言,找出惡意軟體只是整個調查動作的開端,對 Damballa 而言,找出惡意軟體只是確認我們已經掌握的犯罪資訊。

 

  • 價位合理的APT防護方案
Damballa Failsafe 的安裝簡易快速–不需調校,不需修改,維護需求也很低。我們的解決方案安裝簡便,而且通常在安裝完畢的數個小時之內就可以找到之前沒被發現的威脅。我們目前正負責保護世界各地共四億台裝置。DamballaFailsafe 可與您現有的安全基礎建設無縫整合 (SIEMs, Loggers, Netflow) 以改善流程以及縮短修補完成時間。

 

  • Damballa Failsafe自動發掘出您組織內被罪犯控制的最高風險裝置
Damballa Failsafe 可即時偵測及分析惡意網路傳輸的軌跡證據,剖析出罪犯類型並快速找出被入侵之高風險裝置。Damballa Failsafe 加快了資安事件反應速度因為系統可以對網路發生中的犯罪行為提供明確的行動指引。

 
 

 
 

Damballa Failsafe

 

Advanced Cyber Threat Intelligence

 

Damballa Failsafe防護利用了業界領先的早期預警能力技術的Damballa FirstAlert 來發現C&C架構與新興網路威脅,可在幾周或幾個月前發現並提供資安公司惡意軟體樣本。通過使用 Damballa FirstAlert 網路的威脅情報,Damballa Failsafe可以在傳統的預防性安全解決方案前檢測到在商業網路中的高級的惡意軟體感染並有效偵測與防護。

 

並由通訊剖析模組 (Communication Profiler) 所蒐集到的跡證會交給事件分析模組 (Case Analyzer) 判斷並做出結論–不單只是警示而已–還可做到宣判高風險裝置確認已經遭到罪犯的掌控。

 
 

 
 

※ 企業可針對與此相關的證據,知道哪些設備需要立即引起注意,從而有效地確定修復工作的輕重緩急。

 
 

Damballa Failsafe 成功案例

 

  • 唯一能自動化偵測出組織內遭到罪犯控制的最高風險設備的解決方案
  •  

  • 正在保護全世界超過四億台裝置
  •  

  • 獲得全世界主要的垂直產業以及最大的ISP業者及電信業者採用
  •