針對新型態的垃圾信攻擊,尤其是針對性的郵件釣魚手法多稱為進階持續性滲透攻擊 (Advanced Persistent Threats, APT) 而現階段的防禦手法稱為進階威脅防護 (Advanced Threat Protection, ATP)。
ATP 進階威脅防護,區分靜態沙箱 (Static Sandbox) 跟動態沙箱 (Dynamic Sandbox),靜態沙箱偏向傳統樣本 (Pattern) 比對的方式,根據動態沙箱的分析結果產生的樣本進行過濾 ; 而動態沙箱就是透過沙箱行為分析等功能,在開啟郵件附檔及信件內容連結時,利用進階惡意程式偵測引擎,先比對信件附檔的特徵值,再將其解壓縮進行靜態程式碼分析並模擬檔案行為,以判斷其是否為可疑檔案,接著查詢即時防護病毒資料庫,最後提交至被隔離的沙箱環境引爆,並監控其行為並回傳詳細的分析報告。
沙箱防護的優點是可以直接模擬行為,但缺點是需要大量的系統資源來進行沙箱分析,因此流量大時就會需要更多資源來維持效能運作,減少收信延遲影響。效能上就像病毒過濾引擎的市場,仍以國外的沙箱技術相對穩定。例如 Cyren、SOPHOP、Broadcom(Symantec)、Trend micro、Microsoft 365、McAfee 等廠商。
除此外 ATP 防禦機制導入價格也相對昂貴,企業是否有需要導入 ATP? 我們可以用汽車安全氣囊角度來看 ATP 防禦機制,標配 6 顆安全氣囊,如果個人覺得需要更安全可以升級到 8 顆安全氣囊。反之,企業如果決本身的業務性質跟安全等級要更高,可以考慮導入進階威脅防護服務。
市場上的進階威脅防護服務區分軟體建置 (On-premise) 與雲端服務 (SaaS cloud),由於雲端服務相對過去不論技術或安全性相對成熟,加上雲端服務提供部分帳號採購彈性,各大廠的進階威脅防護服務,幾乎以雲端服務為主要訴求。