IT業界資訊媒體

【獨家專訪】拆彈專家 「漂白」檔案靠打散重建

從事網絡安全行業,都知道世界上沒有百分百安全的偵測工具,可以完全阻截黑客的攻擊。如果有,就不會出現零時差攻擊(Zero Day Attack)。

RESEC 網絡安全公司的 Executive Chairman Tal Yatsiv 亦明言,網絡安全只是一場攻防戰,防守方往往處於被動,大部分時間只能見招拆招;相反攻擊者由於了解守方的防禦手法,自然更易鑽探漏洞,想出新鮮的攻擊方法,「所以我們認為最佳的防禦策略,並不是偵測而是預防。」他說傳統防禦概念是以不同的工具去偵測哪些檔案藏有病毒,建立白名單,但前設是病毒特徵資料庫必須先有記錄,否則偵測工具便會放行,換言之都有出錯風險,「因此 RESEC 創辦人及 CTO Oren Shnitzer 當年設立 RESEC 時,其宗旨並非為了攔截有問題的檔案,而是視一切檔案都有問題,並提供安全方法讓用家去開啟檔案。」

安全防禦 拒設白名單

記者笑說偵測病毒策略還有另一缺點,就是有可能出現 False Positive 誤報,將「無毒」檔案封鎖起來。Tal 回應說所以其實毋須固執於有毒或無毒,因為有些檔案即使被報稱有毒,但因為工作需要,還是必須打開來看,「例如客戶經電郵發送訂單或圖片,即使防毒軟件判斷檔案有病毒,也未必能夠要求客戶重新發送『清潔』的檔案,我知道有公司會特別擺放一些離線的電腦,讓員工將檔案抄到 USB 手指並在這些電腦上開啟,但這樣就會犧牲了工作效率。」亦有公司會選用沙盒(Sandbox)服務,在隔離空間開啟檔案,不過,沙盒的運作原理跟防毒軟件一樣,當偵測到檔案有毒,便不會為用戶打開,所以同樣無法解決問題。

RESEC 的賣點,便是可讓用戶安心打開辦公室常用的檔案,由文件以至圖片,一樣可行。其原理是套用了 Content Disarm & Reconstruction(CDR)技術,簡單來說就是將檔案重建,同時將內裡的惡意元素例如虛假網站連結、釣魚陷阱等摘除,將一個乾淨的檔案交還用家。Tal 將一個有問題的 PDF 檔案打開,當滑鼠浮標指向 PDF 內某些位置時,隱藏程式碼會嘗試彈出一個虛假網站連結版面,可以騙取用家輸入登入資訊。另一個隱藏區域又試圖發出電郵,可讓黑客暗中偷走用戶的資料。PDF 最後一頁還有一條網站連結,當浮標移至上面,從彈出的預覽資料可見,將會到達的網址明顯與顯示在 PDF 上的不一樣,單是一個五頁的 PDF 已隱藏了各種陷阱。

重建檔案摘除陷阱

Tal 於是將這個檔案放進 RESEC 的控制介面,檔案會被上載到 RESEC 的雲端隔離空間進行重建,確保不會感染用家的電腦。啟動重建功能後,數秒內已出現一個新的檔案,打開一看,圖文位置與之前的 PDF 一模一樣,但內裡暗藏的陷阱已全部被移除,連 PDF 最後一頁那條表底不一的網址也被統一更新。「經過檔案重建,RESEC 會將有問題的部分摘除,亦會自動驗證內裡有沒有虛假網站或惡意連結,用家就可以放心打開及點擊文件的內容。」

視乎檔案類型,RESEC 重建檔案的速度會有分別,例如試算表就需要較長時間,因為 RESEC 與坊間的 CDR 軟件不同,經 RESEC 重建的微軟 Office 檔案仍保留原來的顯示格式,而且百分百可編輯,Tal 說這樣才能拿來工作,如格式走位,即使檔案打開了,也不再是用家所需。而視乎客戶的要求,RESEC 可以自動讀取電郵內的附件進行重建,又或直接在公司的 FTP、共享檔案夾內讀取檔案,減少員工的工作量。

雖然 RESEC 的「漂白」功能強勁,不過,Tal 指出現階段並非所有檔案都能重建,exe 執行檔便是其中之一。「現時分析程式碼的技術仍未完善,而且就算找到哪些程式碼有問題,系統在摘除後也無法重建出一個可執行的檔案,所以如用戶要打開這些檔案,便要配合其他隔離工具。」他說隨著機械學習及人工智能技術愈來愈進步,相信假以時日,要揪出有問題的程式碼,也不再是天荒夜譚。

9 月 17日 將會舉辦 RESEC 實戰工作坊,示範  CDR 技術如何快速重建檔案兼摘除隱藏陷阱,名額有限,先到先得。

日期:9 月 17 日(星期二)

時間:2:30pm – 5:00pm

地點:觀塘創業街 15 號萬泰利廣場 39 樓(牛頭角港鐵站 A 出口)

報名:http://bit.ly/2ZkW5Vo

費用:全免