雲世代的隱憂：防禦外敵 or 內外兼顧?

InstantGuard 是一套可以彈性佈署在各種位置的IPS，具備inline/sniffer模式可以分析惡意的入侵流程，

並判斷是否存在可疑的攻擊行為，協助機關阻擋針對網站應用程式的各種攻擊，

並結合國際八大威脅情報中心，提供更安全的防護機制。

內建MalwarePatrol/Talos/FireHOL/Abuse惡意網站庫 & 國家資通安全會報

InstantGuard整合了後端雲端全球情報網聯合防禦服務，

與國家資通安全會報(俗稱技服)中繼站黑名單，

以零時差處理不斷變化的網站內容。

利用情報單位提供的黑名單阻擋殭屍網路

• ​內建擅長阻擋勒索病毒的Malware Patrol

Malware Patrol是一家擅長阻擋勒索病毒連線的引擎，特長在於不斷從各大網路的trace去追蹤DGA所連線到的Domain與IP。
透過30天內曾出現過的DGA Domain，經不斷反查IP確定是存活的IP後，將有效的Domain與IP放到黑名單中。
絕大多數的勒索病毒家族，在殭屍電腦沒有回報成功到惡意中繼站並下載加密金鑰前，是不會對電腦檔案進行加密的。

• ​內建擅長阻擋惡意中繼站的FireHOL

FireHOL是一個免費幫大家整合犯罪IP黑名單的組織，提供自動下載的script讓大家能自行定期取用。
對已知的惡意IP會進行確認，若已脫離嫌疑就會自動被移除。

• 國家級防線: NCCST(國家資通安全會報技術服務中心)

NCCST是台灣政府針對網軍入侵中央部會、地方部會、國營事業、軍事單位等政府相關組織，所定期發布的一個黑名單。
所有政府A級單位、B級單位、C級單位都需要手動匯入到防火牆或入侵防禦系統。

• 內建Cisco Talos黑名單

作為Cisco收購Snort之後Firepower系列的領頭羊，Talos團隊定期發布IP與Domain的黑名單於其網頁上，提供大家使用。

• 內建Abuse.ch的SSLBL黑名單

目前許多網站都已經加密為https，包括malware也常使用https作為回報中繼站的手段。
這些https連線的憑證簽發單位，常常是有問題或者不具公信力的簽發單位所簽發的。因此，SSL Blacklist (SSLBL)收集了不良憑證的fingerprint，讓具備過濾certificate fingerprint的設備進行阻擋。
對於不具備辨識certificate fingerprint的設備，abuse.ch也提供IP名單作為阻擋的黑名單。

• 內建Abuse.ch的RamsonwareTracker勒索病毒黑名單

勒索病毒的追蹤是RamsonwareTracker的目標，透過掌握勒索病毒的整體網路架構，此站台所提供的黑名單能有效阻絕勒索病毒的散播。

利用L7成立的BlacklistTotal阻擋殭屍網路

前面提到的威脅情報單位，通常各自獨立運作。然而實際將其黑名單拿來做阻擋名單會發現，存在許多誤判。
這些誤判經過L7提問後，常常得到的回答是: 【該網站上面被植入了某病毒】，但阻擋的影響範圍很大，常常導致一些常用的網站不能運作。

L7成立了BlacklistTotal的宗旨，是要將這些誤判移除後，公開放到BlacklistTotal上讓全球人士可以拿來查詢，以Trivago的概念，讓有嫌疑的URL/IP能被找出來，到底該URL/IP有被哪幾個情報單位列為惡意中繼站。