作者cem236321 (ming)
看板MIS
標題Re: [請益] SSL封包拆解及掃瞄相關解決方案
時間Thu Sep 24 23:44:43 2015
...(探頭)
※ 引述《bojack (Bojack)》之銘言:
: 各位先進大家好:
: 小弟又來和大家討論和請益問題了 :p
: 現階段單位OA對外僅開放80及443 Port
: 近來想評估有關藏在加密連線內的惡意指令或連線的阻擋機制(Anti-C&C)
: 參考了 Gartner 相關資料指出,現階段愈來愈多惡意程式會躲在合法的連線內
: 如果有電腦不幸成為 Botnet 其中一台成員,就會回傳 Callback 指令回去
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
從這邊去找APT端點防護的產品
fireeye / Verint(Xecure-Lab)
這兩家都會有功能比較,記得兩家都要看
: 原有的防火牆、入侵偵測等資安設備可能無法辨識
: 因此研究了一下廠商相關的解決方案,首先就是要處理加解密問題
你知道有技術教學怎麼把Gmail當作C&C Server嘛..XD?
Secure GateWay 這類產品基本上都是...用過就知道了....
功能很多 但跟你想的不一樣(過濾色情網站~控管上網行為之類~)
另外~解SSL多數產品都是要Client埋入憑證
但是你希望避免內部有問題的電腦連線到C&C Server
基本上...別抱太大期望...
: 接下來就是掃瞄連線內容是否有問題
: 目前看到下列產品
: 1. A10 Thunder ADC + FireEye
: 2. Blue Coat SSL Visibility Appliance + Content/Malware Analysis
: 3. Palo Alto ??
: 4. F5 ??
: 目前是考量二點
: 1. 處理加解密的效能
: 2. 掃瞄機制的效能與辨識度是否完善
: 不知道是否有其它先進有研究此議題或是有推薦相關設備呢?
端點防護的產品買下去會比較實際
至於那一家的產品品質比較好...就做POC吧...XD
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 36.231.233.192
※ 文章網址: https://webptt.com/m.aspx?n=bbs/MIS/M.1443109485.A.869.html
1F:推 bojack: 您提到的 Gmail+C&C 我有找到範例,挺酷的,不過我們公司 09/25 13:48
2F:→ bojack: 是禁用 Gmail,所以這個風險應該是可以避免 09/25 13:48
3F:→ bojack: 目前公司端點已經安裝蠻多東西了,一來人數蠻多的,二來也 09/25 13:49
4F:→ bojack: 擔心再裝下去會不會又拖到使用者效能,所以才考慮從骨幹這 09/25 13:50
5F:→ bojack: 邊一次做掉看看,若真的沒有好的解決方案,就只好再朝向端 09/25 13:50
6F:→ bojack: 點防護了。非常感謝您的指導 ! 09/25 13:51
7F:推 sssxyz: 端點跟gw還是有些差異 公司預算夠的話都做比較完善 09/25 17:50
8F:→ cem236321: 重點不是Gmail + C&C 而是連Gmail都可以當C&C 09/25 18:29
9F:→ cem236321: 剩下的你要怎麼檔?! 09/25 18:29
10F:→ cem236321: 你如果擔心效能問題 找Verint的產品來做POC... 09/25 18:30
11F:→ cem236321: 就知道影響如何了..他們加在資源控制這方便做的不錯 09/25 18:30
12F:推 bojack: 謝謝C大的分享,目前有採用Verint產品,這塊會再問問 09/29 11:59