国际资安大厂芬安全(F-Secure)日前公布,利用应用软件的程序漏洞感染用户的行动装置已经成为恶意软件最主要的扩散途径。但芬安全也提出对应之道,与其被动防御不如主动拦截并攻击,面对越来越猖狂的网络攻击与殭尸病毒,民众已经不能再用消极态度面对,正面迎击才能确保自己全面性资安零漏洞。透过海量行为分析与洞悉黑客逻辑,芬安全最新资安防护版本5号深蓝技术(DeepGuard 5)的推出,更能够直接探测恶意软件的攻击意图,无须再花多余力气研究黑客究竟如何运用漏洞入侵。
黑客利用应用程序的漏洞,将殭尸病毒直接植入在软件安装的程序之中,用户在安装程序的过程中不知不觉将恶意软件一并植入,一旦装置受感染,黑客就可以监控用户的使用行为,包括窃取密码或是其他敏感数据,甚至可以远程操控用户的计算机从事不法行为。根据芬安全的安全实验室全球检测就发现,前十大成长快速的资安威胁型态中,这种包裹在应用软件里让用户一起打包的资安威胁成长迅速的原因之一,推测是因为软件开发速度越来越快,软件研发的技术也越趋简单,导致黑客可以轻易入侵。
「在恶意软件随时变形的世界里,唯一不变的就是他们还是恶意软件」芬安全的安全实验室的资深分析师Timo Hirvonen直指,有了应用程序作为后盾,恶意软件便可以隐藏其中,甚至重新编写他们所利用的漏洞,应用程序做什么,恶意软件就像是跟屁虫一样跟着变化,这是典型应用程序保护却同时被恶意软件利用的程序漏洞,但漏洞并不容易被发现,与其花时间抓漏洞,不如直接分析攻击行为并拦截更事半功倍。
芬安全的安全顾问尚‧沙利文(Sean Sullivan)指出,拦截恶意行为是5号深蓝技术最新加入的功能,不只解决了过去资安防护仅以判断传统病毒特征后被动防护的不足,更可以直接阻断可能的感染机会。5号深蓝技术直接监控并保护使用程序,范围包括浏览器、插件、微软的Office操作系统、Java等,其中像是word、PDF这类常被用来浏览的文件系统,DeepGuard也可以在过程中拦截任何可疑或是有攻击、感染意图的程序行为。
沙利文更表示「现今顶级的资安防护已经不再是等到布告栏上贴出罪犯名称后再进行追捕,而是要在犯罪之前就制止犯案」,为了掌握黑客以及病毒逻辑,芬安全在2006年就已经开发了第一个版本的深蓝技术,透过不停更新版本与技术,芬安全已经成功建立黑客与病毒逻辑的强大数据库,并以此作为资安防护的重要根本。
芬安全大中华区总代理商翔伟资安科技总经理杜世鹏也进一步解释,透过深蓝技术持续累积病毒模式与数据库,现在的芬安全仅需要恶意软件其中一个样本,就能分析行为模式以及攻击途径,掌握病毒变形后的所有感染模式,而无须针对时时刻刻都在变种的病毒单一破解,尤其现在恶意软件的变形速度根本是以光速进行的时候,更可以争取到最充裕的时间帮助用户对抗无所不在的恶意软件。透过深蓝技术强大并完整的数据分析,芬安全将资安防护转换成直接行动,让用户无需害怕铺天盖地而来的病毒网。