在紐約曼哈頓的時代廣場上,面對著紐約時報總部的時代大樓,其每年最後一天的降球儀式,為紐約市民慶祝新年時的主要地點;左手邊是象徵著美國高科技與資本主義的納斯達克總部,右手邊則是象徵著美國音樂文化發展的百老匯。在這裡設立總部的還包含了路透社、安永會計師事務所(Ernst & Young)、摩根史坦利(Morgan Stanley)與MTV等。
今天,我們來到這裡的納斯達克總部,為納斯達克開市敲鐘,也發表我們在 APT 防禦方面的最新併購案。
有了阿碼這隻超強生力軍加入後,APT防禦將是整個 Proofpoint 往後的重點發展方向,而幫公司評估適合的併購對象,也成為我加入後的重點工作之一。完整的 APT 防禦,需要多種技術相互組合,而 NetCitadel 擁有的獨特全自動事件處理機制,正是我們客戶急需要的一塊。
各位知道,阿碼的 APT 惡意文件與網址偵測技術獨步全球,可以很有效地真測出零時差威脅。APT 翻成中文是「先進持續性威脅」,所以我們今天真測出此威脅,並不表示攻擊者今天才開始攻擊:極有可能,他已經攻擊一段很長的時間了,而往後,他仍然會持續進行攻擊。所以偵測到某威脅時,有幾個很重要的問題:
- 今天,我們保護了該使用者,但是過去,在客戶還沒使用阿碼之前,有沒有其他人已經被感染了?
- 而往後,如何確保其所有他同事皆不被該攻擊感染?
- 如何將需要「資安專家」人工甚至到場處理的諸多動作,給自動化?
這該如何達成呢?假設客戶某員工被我們檢測出來,收到了針對性攻擊的惡意文件,那麼我們是否能夠全自動地完成以下動作:
- 透過動靜態合一的分析,取得該惡意文件之最終目的:要植入的惡意程式,或要執行的機器碼(shellcode)
- 將該惡意程式的感染痕跡,當場做全自動的特徵取樣
如果可以做到以上,那麼我們就可以進一步地說:我們知道感染後的特徵了。這邊的重點,是「痕跡」。我們的沙箱與動靜態檢測,可以有效錄到整個感染的「行為」:期間,被呼叫的 API、產生的暫存檔、對記憶體的操作(如 heap spraying)等等都是。問題是,行為不是痕跡:行為,要於感染的過程中全程監控,才可以錄到,而對於一台正被使用中的電腦,如果要知道「是否已經被感染」,則我們需要的是能夠在我們的沙箱分析中,不但能夠自動分析識別惡意「行為」,而還要能夠更進一步地自動分析出感染後之「痕跡」。
今年,在阿碼諸多同事的努力下,我們研究出了可以達成的技術!那麼接下來,我們需要有一套裝在每台電腦上面的軟體,持續不斷接受我們的引擎所自動分析出來之「感染痕跡」,並做以下處理:
- 掃描該電腦,確定是否有被感染?
- 如果有,則立刻通知管理者,
- 立刻自動跟網路上的防禦設備(如防火牆、IPS、UTM等)聯絡,請所有相關設備立刻阻擋一切與受感染機器相關之網路封包,等於將該機器自動拔除網路,
- 立刻自動跟網路上的防禦設備(如防火牆、IPS、UTM等)聯絡,針對我們自動截取判斷出來的惡意網域,封鎖一切封包,等於封鎖企業內部任何對於這些外部惡意機器的任何連線。此點可以將保護範圍擴大為企業內部的所有電腦,而不僅限於被我們測出來受感染者。
如此一來,我們就可以將我們自動偵測到的零時差威脅的應用擴大,運用「一即一切」的原理,從防衛一個時間點,擴展到防衛過去與未來的感染;從偵測到針對某員工的攻擊,擴展到對全部員工的防禦,並且能夠在發現威脅後,做最有效的即使處理,立刻阻隔攻擊者,防止資料外洩,降低損失。
要能夠支援多家的防火牆與網通設備,以及發展這樣一套在電腦上面常駐的「感染痕跡掃描器」,以阿碼現有的資源,可能需要一整年的時間,在諸多客戶表達極度需求的情況下,我們開始往併購方面努力。我們有兩個選擇:a) 找具有相關經驗的公司,併購後,請他們放棄目前產品,全力投入開發我們要的上述,或 b) 找公司是剛好有開發出上述需求的。
很幸運地,NetCitadel 正是 (b)!可是因為市場上專注於此之公司很稀有,大家都想要,併購的過程可說是一波三折,從原本年初我們覺得確定無望,大家相互安慰,到後來峰迴路轉,我方勝出,讓我覺得在商場上打拼,一半是努力,一半真的是命啊!
Proofpoint 在矽谷的公司中並不算大,我們于納斯達克上市也才兩年多。但是每每看到同事這麼地努力,處處想辦法提供客戶最好的產品,最好的服務,希望可以獲得客戶的青睞,都會很感動,也希望阿碼這邊一直持續創新,把東西做得更好。
的確,我們要的,不是漂亮的辦公室或出差時的高級旅館,我們要的,是客戶的肯定,是大家技術的提升,是一個能讓我們持續創新的舞台,是資源讓我們能夠持續併購與我們有相同夢想的團隊加入。新創公司,就是這麼令人著迷!
最後我想說,雖然感覺外面都是我在「出沒」與發聲,而今天我的照片也在時代廣場的大電視牆上了,但是我比任何人都清楚,能夠有今天的成績,是整個團隊七十幾人一起的努力,我只是大家推派出來的代表,或許因為我程式沒大家寫得好,但是我肯坐飛機吧!
對軟體產業來說,人才就是資產,人才就是一切,我們靠的是腦袋與創意而非資本,我們創出的是高利潤的服務而非高污染的工廠!很感謝這幾年一直默默在背後付出的阿碼團隊,你們實在是太辛苦了,我講不出什麼,只能夠說,真的謝謝各位!也謝謝一路以來支持我們的客戶跟長官,沒有您們的支持,阿碼不會有今天,而我們回報的方式,就是繼續努力奮鬥下去,並希望政府能認同台灣軟體產業的實力,扶植出更多成功的軟體公司!
Wayne 於紐約
附錄:
Proofpoint 官方新聞稿
NetCitadel規格
支援之 APT 偵測來源:
- 阿碼證點(Proofpoint TAP)
- FireEye MPS
- Palo Alto Networks WildFire
- HP ArcSight
- QRADAR
- GeoIP
支援之網通設備:
- Cisco ASA
- Cisco IOS
- Cisco NX-OS
- Juniper SRX (JUNOS)
- Check Point
- Palo Alto Networks
- Fortinet FortiGate
Photo credit:
Copyright 2000-2014, The Nasdaq Stock Market, Inc.
Reprinted with the permission of The Nasdaq Stock Market, Inc.
Photo credit: Peter Aaron/Esto
繼續閱讀全文...