Police Car

InstantGuard®

雲世代入侵防禦系統 - 內部/外部威脅,都愛藏在https加密通道中

雲世代的隱憂:防禦外敵 or 內外兼顧?

InstantGuard 是一套可以彈性佈署在各種位置的IPS,具備inline/sniffer模式可以分析惡意的入侵流程,

並判斷是否存在可疑的攻擊行為,協助機關阻擋針對網站應用程式的各種攻擊,

並結合國際八大威脅情報中心,提供更安全的防護機制。

內建MalwarePatrol/Talos/FireHOL/Abuse惡意網站庫 & 國家資通安全會報

InstantGuard整合了後端雲端全球情報網聯合防禦服務,

與國家資通安全會報(俗稱技服)中繼站黑名單,

以零時差處理不斷變化的網站內容。

Screen 2
logo-malware-patrol.png
cisco-talos-security.png
Cisco-Talos.png
logo.png
9442231.png

​勒索情報網

​威脅情報網

​國家資通安全會報技術服務中心

FireHOL
​惡意IP情報網

​威脅情報網

利用情報單位提供的黑名單阻擋殭屍網路

  • ​內建擅長阻擋勒索病毒的Malware Patrol

Malware Patrol是一家擅長阻擋勒索病毒連線的引擎,特長在於不斷從各大網路的trace去追蹤DGA所連線到的Domain與IP。
透過30天內曾出現過的DGA Domain,經不斷反查IP確定是存活的IP後,將有效的Domain與IP放到黑名單中。
絕大多數的勒索病毒家族,在殭屍電腦沒有回報成功到惡意中繼站並下載加密金鑰前,是不會對電腦檔案進行加密的。

  • ​內建擅長阻擋惡意中繼站的FireHOL

FireHOL是一個免費幫大家整合犯罪IP黑名單的組織,提供自動下載的script讓大家能自行定期取用。
對已知的惡意IP會進行確認,若已脫離嫌疑就會自動被移除。

Picture6667.png
gdgdfhfhdfh.png
  • 國家級防線: NCCST(國家資通安全會報技術服務中心)

NCCST是台灣政府針對網軍入侵中央部會、地方部會、國營事業、軍事單位等政府相關組織,所定期發布的一個黑名單。
所有政府A級單位、B級單位、C級單位都需要手動匯入到防火牆或入侵防禦系統。

fgarhyjyuk.png
  • 內建Cisco Talos黑名單

作為Cisco收購Snort之後Firepower系列的領頭羊,Talos團隊定期發布IP與Domain的黑名單於其網頁上,提供大家使用。

hjuygdfa.png
  • 內建Abuse.ch的SSLBL黑名單

目前許多網站都已經加密為https,包括malware也常使用https作為回報中繼站的手段。
這些https連線的憑證簽發單位,常常是有問題或者不具公信力的簽發單位所簽發的。因此,SSL Blacklist (SSLBL)收集了不良憑證的fingerprint,讓具備過濾certificate fingerprint的設備進行阻擋。
對於不具備辨識certificate fingerprint的設備,abuse.ch也提供IP名單作為阻擋的黑名單。

qweettt.png
  • 內建Abuse.ch的RamsonwareTracker勒索病毒黑名單

勒索病毒的追蹤是RamsonwareTracker的目標,透過掌握勒索病毒的整體網路架構,此站台所提供的黑名單能有效阻絕勒索病毒的散播。

uuu.png

利用L7成立的BlacklistTotal阻擋殭屍網路

前面提到的威脅情報單位,通常各自獨立運作。然而實際將其黑名單拿來做阻擋名單會發現,存在許多誤判。
這些誤判經過L7提問後,常常得到的回答是: 【該網站上面被植入了某病毒】,但阻擋的影響範圍很大,常常導致一些常用的網站不能運作。

L7成立了BlacklistTotal的宗旨,是要將這些誤判移除後,公開放到BlacklistTotal上讓全球人士可以拿來查詢,以Trivago的概念,讓有嫌疑的URL/IP能被找出來,到底該URL/IP有被哪幾個情報單位列為惡意中繼站。