作者cem236321 (ming)
看板MIS
标题Re: [请益] SSL封包拆解及扫瞄相关解决方案
时间Thu Sep 24 23:44:43 2015
...(探头)
※ 引述《bojack (Bojack)》之铭言:
: 各位先进大家好:
: 小弟又来和大家讨论和请益问题了 :p
: 现阶段单位OA对外仅开放80及443 Port
: 近来想评估有关藏在加密连线内的恶意指令或连线的阻挡机制(Anti-C&C)
: 参考了 Gartner 相关资料指出,现阶段愈来愈多恶意程式会躲在合法的连线内
: 如果有电脑不幸成为 Botnet 其中一台成员,就会回传 Callback 指令回去
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
从这边去找APT端点防护的产品
fireeye / Verint(Xecure-Lab)
这两家都会有功能比较,记得两家都要看
: 原有的防火墙、入侵侦测等资安设备可能无法辨识
: 因此研究了一下厂商相关的解决方案,首先就是要处理加解密问题
你知道有技术教学怎麽把Gmail当作C&C Server嘛..XD?
Secure GateWay 这类产品基本上都是...用过就知道了....
功能很多 但跟你想的不一样(过滤色情网站~控管上网行为之类~)
另外~解SSL多数产品都是要Client埋入凭证
但是你希望避免内部有问题的电脑连线到C&C Server
基本上...别抱太大期望...
: 接下来就是扫瞄连线内容是否有问题
: 目前看到下列产品
: 1. A10 Thunder ADC + FireEye
: 2. Blue Coat SSL Visibility Appliance + Content/Malware Analysis
: 3. Palo Alto ??
: 4. F5 ??
: 目前是考量二点
: 1. 处理加解密的效能
: 2. 扫瞄机制的效能与辨识度是否完善
: 不知道是否有其它先进有研究此议题或是有推荐相关设备呢?
端点防护的产品买下去会比较实际
至於那一家的产品品质比较好...就做POC吧...XD
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 36.231.233.192
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/MIS/M.1443109485.A.869.html
1F:推 bojack: 您提到的 Gmail+C&C 我有找到范例,挺酷的,不过我们公司 09/25 13:48
2F:→ bojack: 是禁用 Gmail,所以这个风险应该是可以避免 09/25 13:48
3F:→ bojack: 目前公司端点已经安装蛮多东西了,一来人数蛮多的,二来也 09/25 13:49
4F:→ bojack: 担心再装下去会不会又拖到使用者效能,所以才考虑从骨干这 09/25 13:50
5F:→ bojack: 边一次做掉看看,若真的没有好的解决方案,就只好再朝向端 09/25 13:50
6F:→ bojack: 点防护了。非常感谢您的指导 ! 09/25 13:51
7F:推 sssxyz: 端点跟gw还是有些差异 公司预算够的话都做比较完善 09/25 17:50
8F:→ cem236321: 重点不是Gmail + C&C 而是连Gmail都可以当C&C 09/25 18:29
9F:→ cem236321: 剩下的你要怎麽档?! 09/25 18:29
10F:→ cem236321: 你如果担心效能问题 找Verint的产品来做POC... 09/25 18:30
11F:→ cem236321: 就知道影响如何了..他们加在资源控制这方便做的不错 09/25 18:30
12F:推 bojack: 谢谢C大的分享,目前有采用Verint产品,这块会再问问 09/29 11:59