...(探頭） ※ 引述《bojack (Bojack)》之銘言： : 各位先進大家好: : 小弟又來和大家討論和請益問題了 :p : 現階段單位OA對外僅開放80及443 Port : 近來想評估有關藏在加密連線內的惡意指令或連線的阻擋機制(Anti-C&C) : 參考了 Gartner 相關資料指出，現階段愈來愈多惡意程式會躲在合法的連線內 : 如果有電腦不幸成為 Botnet 其中一台成員，就會回傳 Callback 指令回去 ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ 從這邊去找APT端點防護的產品 fireeye / Verint(Xecure-Lab) 這兩家都會有功能比較，記得兩家都要看 : 原有的防火牆、入侵偵測等資安設備可能無法辨識 : 因此研究了一下廠商相關的解決方案，首先就是要處理加解密問題 你知道有技術教學怎麼把Gmail當作C＆C Server嘛..XD? Secure GateWay 這類產品基本上都是...用過就知道了.... 功能很多 但跟你想的不一樣（過濾色情網站～控管上網行為之類～） 另外～解SSL多數產品都是要Client埋入憑證 但是你希望避免內部有問題的電腦連線到C&C Server 基本上...別抱太大期望... : 接下來就是掃瞄連線內容是否有問題 : 目前看到下列產品 : 1. A10 Thunder ADC + FireEye : 2. Blue Coat SSL Visibility Appliance + Content/Malware Analysis : 3. Palo Alto ?? : 4. F5 ?? : 目前是考量二點 : 1. 處理加解密的效能 : 2. 掃瞄機制的效能與辨識度是否完善 : 不知道是否有其它先進有研究此議題或是有推薦相關設備呢? 端點防護的產品買下去會比較實際 至於那一家的產品品質比較好...就做POC吧...XD -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 36.231.233.192 ※ 文章網址: https://www.ptt.cc/bbs/MIS/M.1443109485.A.869.html