阿碼外傳-阿碼科技非官方中文 Blog: 2013年8月9日

2013年8月9日

阿碼科技即將被 Proofpoint Inc. 併購

各位一直以來支持著阿碼的朋友:

今天,是阿碼放煙火慶祝的日子!

今天,我們帶著無比興奮的心情,跟各位報告:阿碼科技即將被美國NASDAQ上市公司 Proofpoint 併購,成為 Proofpoint 旗下的子公司!(Proofpiont 新聞稿)

這個併購案能夠這麼成功,我必須感謝過去兩年跟我一起打拼的阿碼同事,以及一路上支持我們的許多朋友。謝謝你們!

過去這兩年,是我生命中最快樂的日子。能夠跟一群有默契,感情好,像一家人一樣的朋友們一起工作,能夠感覺到我們不斷在深入、在創新、在突破、在學習、在進步、在幫助客戶、在創造不可能,這種感覺實在是太過癮、太值得了!這不是金錢可以買得到的,感謝阿碼讓我有這個機會,在我生命的黃金歲月中,創造出了這麼美好的回憶!我實在是太幸運了!

從Gartner最新於2013年公佈之Magic Quadrant for Secure Email Gateways報告,我們可以看到,今天的Proofpoint,已於眾Email廠商中,佔據了鮮明的領導地位:



這一次,Proofpoint能夠於眾多對手中脫穎而出,主要靠的,就是阿碼與Proofpoint於今年年初共同推出的Email針對性攻擊防禦方案。針對性攻擊,英文為「APT、Advanced Persistent Threat」,直譯為「先進持續性威脅」。在APT攻擊中,攻擊者長期鎖定攻擊目標,並結合多種方法(情報、社交工程、先進攻擊技術…)達成攻擊。在這種攻擊中,最常用的管道之一,就是透過Email。攻擊者將惡意的連結(URL)或文件(PDF、Word、Excel、Powerpoint、RTF…),透過Email寄給鎖定之目標,並結合情報或社交工程之手法,讓整個Email看起來合理、正常,取得目標之信任,引誘其打開連結或附檔,而導致電腦感染惡意程式。

但是,即使目標被誘導後,把惡意網址或附件給「點了下去」,又如何被感染?為何這種攻擊可以躲過防毒軟體、UTM、以及一般的Email安全設備的掃描?要探究原理,故事就要從防毒的身世說起:「大部分防毒的起源,都是針對PC上面的病毒或惡意程式來做掃描」。這句話的重點,不在於「病毒」或「惡意程式」,而在於「PC」。PC(桌機、筆電)是運算能力非常有限的,因此一路以來,防毒技術的重點,在於如何不吃掉PC上大部分資源下,如何能夠儘快掃出病毒。畢竟,誰會喜歡用一個一開機就吃掉你筆電一半的資源,讓你電池續航力立刻減半的防毒產品?

網路崛起後,防毒公司發現了新大陸:他們可以將引擎,授權給網路設備商,舉凡各種網路gateway、Email gateway、Email伺服器、UTM、或甚至防火牆,都可以是他們整合的對象。看似很不錯的策略,卻也更加速地將防毒技術的方向,往「快速比對」方面引導。這些身負處理極大流量的設備,要即時能夠偵測出威脅,就必須在一瞬間做出判斷。在這個年代中,出身已經受限的防毒技術,又更加地被引導於「特徵比對」方面的技術深耕。

2000年初開始,惡意程式散播的方式,發生了幾種根本性的改變:
a) 逐漸從原本靠複製來散播,改成了靠攻擊弱點來散播
b) 整個攻擊感染的過程,開始decouple,拆成分散但合作的組件
c) 腳本語言(script languages)開始在攻擊過程中扮演重要的角色

這幾種根本性的變化,讓一直以來都是以特徵比對為主的防毒技術,頓時失守,並很難有所突破。

當然,一路以來,防毒產業並不是沒有創新。例如2000初紅過好一陣子的沙盒檢測技術( SandBox),在當時來說,是一種創新的思維:不靠特徵比對,而靠行為分析,來偵測出最新的威脅。當時沙盒技術沒有很成功原因,在於當時的思維仍被既有之防毒產業徹底框住,而仍把對象設定於使用者的PC上,也因此,不論沙盒技術多強,仍面臨到PC上資源拮据、環境混亂、行為複雜等問題。有些廠商想到把沙盒技術放在獨立的硬體上面來執行,以克服運算量的問題。這是很好的第一步,但是這種作法仍然無法有效運用到今天的雲端技術。

我這樣說好了。我們問一個關鍵的問題:當我們增加運算量時,防毒的掃描率是否會跟著提昇?答案是否定的; 這表示,防毒產業很難利用到目前突飛猛進的雲端技術。別誤會,防毒還是可以利用雲端來提昇掃描的「量」,但是卻很難用雲端技術來提昇掃描的「質」,也就是偵測率。

過去兩年在阿碼,我們的目標是:針對「次世代攻擊」,建立一個檢測平台,其偵測率是可以隨著運算量的提昇而提昇的。我們將一些很不錯的檢測分析技術,改在雲端上運算。我們設計技術的原則,不再是「如何在有限資源下,做出最好的檢測」,而是:「如何利用雲端龐大的運算量,來測出以往測不到的威脅」。在這種新思維下創造出來的技術,跟傳統技術非常不一樣,可說是開創了全新的威脅分析路線。也只有這種創新,才能讓我們擺脫過去的包袱,充分利用最新的技術,一反以往資安廠商的劣勢,掌握偵測次世代威脅的關鍵。這也是為何Proofpoint自從用了阿碼的技術後,就一直積極要併購阿碼的原因!

Proofpoint目前於市場上新推出的「Target Attack Protection (TAP) 針對性攻擊檢測」,就是利用阿碼的技術來完成的。TAP掃描Email中的網址與附件,自推出以來,不斷受到客戶的肯定,在Email安全界掀起了一股旋風,也讓Proofpoint於這次Gartner 2013對Email安全廠商的評鑑中,能夠脫穎而出,成為最具創新力之龍頭廠商!

其實就我們這幾年所看到的,所研究的「次世代攻擊」,遠不止於APT類型攻擊。舉個例子,在APT攻擊精神中,很重要的一環,就是目標的鎖定與範圍的定義。縮小攻擊範圍並提高針對性,可以減少攻擊曝光的機率,進而延長攻擊的壽命。這種需求,剛好跟網路上的廣告產業是一樣的:針對性、鎖定範圍、辨識機器人(如爬蟲)與真人…等。

例如,對於廣告商來說,廣告給了機器人,等於廣告商白付了錢,所以廣告平台在這方面下了不少苦工。而對於APT攻擊者來說,惡意攻擊吐給了機器人(阿碼的爬蟲),等於自投羅網,暴露行蹤,所以APT的工具,在這方面也下功夫。由於兩者需求相同,2009年後,許多攻擊轉而利用網路廣告平台既有之功能,而形成一種新型、有效,難以偵測的威脅,我們稱為「惡意廣告攻擊」,在我們來看,也算是一種「次世代攻擊」。

而對於阿碼來說,這是我們即將起飛的前夕,真可說是十年苦修,就待今朝!尤其過去兩年中,我們潛心打造我們阿碼新一代的檢測技術,重寫所有的系統,並開發了我們獨家的威脅描述語言與比對引擎Vicara。擁有了全新的雲端的平台與全新的檢測核心,現在再加上Proofpoint完整的Email安全解決方案,讓我們無比地興奮,如虎添翼的Proofpoint與阿碼科技,不但在Email APT產品方面將是全球最強,同時Proofpoint也將給阿碼科技更多資源,讓我們加速整個HackAlert Suite雲端產品線下面的每個產品 — 包含 HackAlert Website Monitoring網站掛馬檢測平台、HackAlert SafeImpression惡意廣告掃描平台、HackAlert Vulnerability Assessment弱點掃描平台、以及HackAlert CodeSecure源碼檢測平台!

一方面,透過Proofpoint充足的資源與在雲端方面的經驗,我們HackAlert Suite產品線中的各個產品,將會能夠加速創新、進步與演進,另一方面,透過Proofpoint全球完整的業務與客服編制,我們將能夠幫助到全球更多、更廣的客戶,讓我們設計創新出來的諸多產品,能夠在全球更有影響力,讓更多企業能夠體會到我們產品的好處!

各位,在全球資安界的舞台上,阿碼從一個台灣出來的小球員,一步一步地努力,今天終於要開始天天上大聯盟季後賽揮灑了。我們以無比興奮的心情,在這邊感謝各位,一路上交了許多朋友,也是受到了這麼多朋友一路上真心的幫忙,阿碼才能夠走到今天。謝謝各位一直以來對我們的支持,我們會永遠記得並珍惜!同時也請各位拭目以待,我們將推出全世界最頂尖的次世代攻擊防禦方案!

黃耀文
2013年8月8日



阿碼科技部份同事於 HITCON 2013

繼續閱讀全文...