top of page
雲世代的隱憂:防禦外敵 or 內外兼顧?
InstantGuard 是一套可以彈性佈署在各種位置的IPS,具備inline/sniffer模式可以分析惡意的入侵流程,
並判斷是否存在可疑的攻擊行為,協助機關阻擋針對網站應用程式的各種攻擊,
並結合國際八大威脅情報中心,提供更安全的防護機制。
內建MalwarePatrol/Talos/FireHOL/Abuse惡意網站庫 & 國家資通安全會報
InstantGuard整合了後端雲端全球情報網聯合防禦服務,
與國家資通安全會報(俗稱技服)中繼站黑名單,
以零時差處理不斷變化的網站內容。
勒索情報網
威脅情報網
FireHOL
惡意IP情報網
威脅情報網
利用情報單位提供的黑名單阻擋殭屍網路
-
內建擅長阻擋勒索病毒的Malware Patrol
Malware Patrol是一家擅長阻擋勒索病毒連線的引擎,特長在於不斷從各大網路的trace去追蹤DGA所連線到的Domain與IP。
透過30天內曾出現過的DGA Domain,經不斷反查IP確定是存活的IP後,將有效的Domain與IP放到黑名單中。
絕大多數的勒索病毒家族,在殭屍電腦沒有回報成功到惡意中繼站並下載加密金鑰前,是不會對電腦檔案進行加密的。
-
內建擅長阻擋惡意中繼站的FireHOL
FireHOL是一個免費幫大家整合犯罪IP黑名單的組織,提供自動下載的script讓大家能自行定期取用。
對已知的惡意IP會進行確認,若已脫離嫌疑就會自動被移除。
-
內建Cisco Talos黑名單
作為Cisco收購Snort之後Firepower系列的領頭羊,Talos團隊定期發布IP與Domain的黑名單於其網頁上,提供大家使用。
-
內建Abuse.ch的SSLBL黑名單
目前許多網站都已經加密為https,包括malware也常使用https作為回報中繼站的手段。
這些https連線的憑證簽發單位,常常是有問題或者不具公信力的簽發單位所簽發的。因此,SSL Blacklist (SSLBL)收集了不良憑證的fingerprint,讓具備過濾certificate fingerprint的設備進行阻擋。
對於不具備辨識certificate fingerprint的設備,abuse.ch也提供IP名單作為阻擋的黑名單。
-
內建Abuse.ch的RamsonwareTracker勒索病毒黑名單
勒索病毒的追蹤是RamsonwareTracker的目標,透過掌握勒索病毒的整體網路架構,此站台所提供的黑名單能有效阻絕勒索病毒的散播。
利用BlacklistTotal整合的威脅情資資料庫阻擋殭屍網路
前面提到的威脅情報單位,通常各自獨立運作。然而實際將其黑名單拿來做阻擋名單會發現,存在許多誤判。
這些誤判經過L7提問後,常常得到的回答是: 【該網站上面被植入了某病毒】,但阻擋的影響範圍很大,常常導致一些常用的網站不能運作。
BlacklistTotal的目的是要將這些誤判移除後,公開放到BlacklistTotal網站上讓全球人士可以拿來查詢,以Trivago的概念,讓有嫌疑的URL/IP能被找出來,到底該URL/IP有被哪幾個情報單位列為惡意中繼站。
bottom of page