去年,許多訴求能夠在端點電腦發現未知威脅,並可執行封鎖、阻擋等措施的防護產品,像是CrowdStrike、Carbon Black、Cylance等廠牌的解決方案,都相繼引進臺灣。而今年初,有廠商正式代理Malwarebytes的防護產品。

不過,Malwarebytes成立至今,已經接近10年之久,之前,他們的主力產品Anti-malware,曾在個人端領域以防間諜軟體聞名,後續又推出了針對漏洞攻擊的Anti-exploit,以及Anti-ransomware防加密勒索軟體等。而在企業產品領域,他們將上述的3款軟體,以防護套餐的型式,推出名為Malwarebytes Endpoint Security(MBES)的解決方案。

論及MBES所含的軟體特性,它們都採用無特徵碼比對的方式,包含Anti-Malware軟體的Chameleon偵測技術,以及Anti-exploit的4層漏洞防護機制等,主動偵測處理程序的行為特徵,分析攻擊手法並加以攔截,與次世代端點防護(Next Generation Antivirus)產品的做法接近。

不過,與大部分次世代端點防護軟體最大的不同點是,MBES強調能與一般的防毒軟體共同運作,企業可在現有的端點防護機制上,直接加裝MBES,搭配使用,換言之,所有列管電腦不須先行移除防毒軟體,就能部署這款產品。

其中,Anti-malware與Anti-exploit這2個軟體,是MBES最主要的功能,它們可透過主控臺集中部署、控管。從管理介面的政策邏輯來看,Anti-malware針對的是惡意軟體監控,可手動或排程掃描電腦,而Anti-exploit的防護目標,則是特定的應用程式,在這些軟體執行時,才提供相關的保護。

就MBES所提供的3款軟體而言,仍是各有其專屬的設定介面,而在原廠近期推出的Malwarebytes Endpoint Protection中,終於充分整合,不過,這款產品與MBES最大的不同點之一,就是只提供雲端主控臺的管理機制,不少企業恐怕無法接受,而改考慮MBES。

若是企業想要管理執行MBES的端點電腦,這款解決方案提供的管理平臺,是安裝在Windows Server上執行的軟體,不像一般的防毒軟體,採用網頁管理介面。

針對多種類型應用程式提供漏洞攻擊防護

在MBES管理主控臺中,我們可看到對於應用程式漏洞,Anti-exploit提供了應用程式強化、記憶體內防護、行為防護等功能,並能依據瀏覽器、辦公室套裝軟體、PDF檢視器等類型,自訂防護項目。

端點電腦所需資源極為輕省

我們實際將MBES所含的3款防護軟體,全部安裝在執行Windows 10的測試電腦上,發現在端點電腦占用的系統資源,算是相當的少,從工作管理員來看,在我們的測試電腦中,MBES總共只用了16.4MB記憶體,我們在操作電腦時,在安裝軟體的前後,感覺系統執行同樣都非常順暢。這也反映在原廠提供的建議需求上,端點電腦的記憶體只要求1GB,而在儲放應用程式與事件記錄的磁碟空間上,也僅需100MB即可。

值得一提的是,在一般的快速掃描與完整掃描模式之外,Anti-malware另外提供了較為輕省的極速(Flash)掃描,相較於前述兩種模式,極速掃描的範圍只有檢查開機磁區、正在記憶體內的處理程序與檔案,以及啟發式未知攻擊檢測,而不會掃描登錄檔與其他電腦內的資料,因此掃描時更加節省端點電腦的系統資源。

我們在另一臺實體電腦上,分別以Anti-malware執行極速與快速掃描,所需時間各為4分23秒與13分53秒。在相同的條件下,若是採用電腦內建的Windows Defender,快速掃描則要14分49秒,Anti-malware極速掃描只需不到1/3的時間。而我們透過工作管理員來看,在Anti-malware執行掃描的過程中,處理器的使用率一直維持在15%,而Windows Defender掃描時,處理器最高卻會使用到71%,從處理器使用率來看,Anti-malware占用的資源也相當低,不會有突然耗費大量處理器的情況,影響使用者操作電腦。

能攔截新興威脅並清除

為了測試MBES的防護效果,我們將Windows 10作業系統內建的Windows Defender防毒軟體功能停用,然後,在這臺電腦上,執行網路上取得的多個惡意攻擊樣本檔案,在測試環境中執行。

以開啟檔名為蔡英文的國際戰略的DOC檔案為例,當Word應用程式開始執行,並將DOC文件開啟時,MBES的Anti-exploit便會開始檢查,並攔截其中的惡意攻擊,最後強制關閉Word。

此時,Anti-exploit彈出一個視窗,指出已經成功阻擋Word應用程式的漏洞攻擊,並詢問我們,是否將檔案匿名送交給Malwarebytes,藉此強化特徵庫的比對內容。

不過,在遭到攔截之後,這個DOC檔案,並未直接遭到MBES刪除。但我們再次開啟這個檔案時,Word則顯示,文件中夾帶的附件檔案已經不復存在。

接著,我們驗證惡意軟體的偵測機制,藉由從網路上取得一種WannaCry惡意程式樣本(111.EXE),並手動執行,MBES的Anti-malware偵測到可疑的惡意處理程序後,便直接阻擋,並以警示視窗說明,要求使用者確認後,將檔案移至隔離區,或是暫時允許執行等。在這過程中,測試環境中的所有資料,都沒有遭到WannaCry樣本加密。

可快速瀏覽端點遭受攻擊的概況

針對端點威脅與漏洞攻擊,在MBES的管理主控臺中,網管人員可快速檢視最近一周內的情勢,以及在30天內,遭受攻擊次數較多的10臺端點電腦,並且得知列管電腦最近24小時上線與離線情形。

可呈現政策改版狀態與部署進度

在一般的防護政策項目中,管理者可針對Anti-malware與Anti-exploit這2款軟體,個別指定防護模式,像是Anti-malware針對記憶體內、Windows啟動,以及登錄檔項目等,執行掃描,在這裡,我們也能看到啟發式偵測功能的選項。而對於Anti-exploit,MBES主控臺則是提供了受保護的應用程式清單,以及進階行為防護模式的設定,像是應用程式強化措施、行為偵測,還有針對記憶體內進階保護功能。

從Anti-malware的防護功能來看,這款軟體能夠針對記憶體、開機磁區、系統登錄檔,以及檔案系統等執行掃描。它也能協助企業發現可能會造成危害的軟體,包含廣告軟體、P2P應用程式等,並顯示在掃描結果報表裡,供管理者後續處理。

而在Anti-exploit的設定介面中,我們看到它預設保護多種應用程式,免於遭到漏洞利用攻擊。在這款漏洞防護軟體的預設項目裡,包含了常見的網頁瀏覽器、辦公室套裝軟體、PDF檢視軟體,以及多媒體播放器等,不過,其他需要納入Anti-exploit保護的應用程式,我們還是可以自行加入。

此外,管理者若是想要輸出威脅態勢的資訊,MBES的主控臺也提供了簡易的報表,並能匯出成Excel檔案。只是這裡內建的報表格式偏少,包含伺服器系統資訊在內總共7種,且管理者只能調整報表統計的起迄時間,沒有自訂的功能。若是想要產生自訂報表,管理者就必須匯出以其他方式處理。

透過3種防護軟體提供多層把關

對於端點電腦的保護,MBES總共提供了3款軟體,分別防範惡意軟體、漏洞攻擊,以及勒索軟體等攻擊手法。其中的Anti-malware與Anti-exploit,可由MBES的主控臺集中部署與管理,而Anti-ransomware則無相關控管機制。

 

 產品資訊 

Malwarebytes MBES

●代理商:瑞奇數碼(02)2658-1786

●建議售價:廠商未提供

●管理伺服器需求:2GHz處理器、4GB記憶體、40GB儲存空間、Windows Server 2008、SQL Server 2008

●端點電腦作業系統:Windows XP~10、Windows Server 2003~2016、macOS 10.8以上

●可用軟體模組:Anti-malware、Anti-exploit、Anti-ransomware,另針對macOS提供Mac Remediation

 

 

 

 

 

 

 

 

 

 

 


Advertisement

更多 iThome相關內容