Juniper：消除威脅、制敵機先

最近，Joe 因公到國外出差，第一站先到香港分公司。當時正值超級盃的賽事期間，所以他趕快連上自己支持的隊伍的官方網站。就因為這樣，他的筆記型電腦無意間感染了惡意程式的病毒。不知情的 Joe，還繼續透過公司的虛擬專屬網路 (VPN) 連上位於達拉斯的總部，以便更新業務記錄，並確認產品庫存數量。

此時，部署於達拉斯總部的入侵偵測與預禦 (IDP) 裝置，立刻偵測到病毒並即時採取防堵行動，然後通知安裝於香港分公司的 VPN 裝置，告知在第 47 個訊務串流中偵測出惡意程式。香港的 VPN 平臺偵測到第 47 個訊務串流是從 Joe 的電腦送出，於是自動切斷他的連線。同時，此 VPN 平臺在 Joe 的電腦螢幕上顯示已偵測到惡意程式的訊息，並提醒他此病毒會被隔離，直到排除感染問題為止。接著，螢幕畫面指示 Joe 連到一個網址以進行問題診斷，並說明當電腦病毒被清乾淨後，他的網路權限就會恢復正常。

同一時間，該公司遍佈世界各地的公司節點中，所有 VPN 與 IDP 設備也都偵測到相同的病毒，並積極採取修正措施。此外，每一部設備也都在記錄檔中產生 300 到 500 行的資訊，來描述事情發生的經過。而在達拉斯總部，安全威脅管理系統也已蒐集並找出這些紀錄的關聯性，判定這些紀錄是屬於同一事件的不同面向描述。此一管理系統並送出一封電子郵件給正在家中沉睡的資訊部經理，通知他發生了病毒入侵事件，不過已經全面排除了。

這種動態機動式威脅處理回應模式並非異想天開，目前業界已發展出機動式安全解決方案。Gartner 副總裁 Neil MacDonald 表示，機動式安全基礎設施是一套同步化安全系統，可即時處理威脅，而非在病毒攻擊結束之後才作出反應。MacDonald 說：「安全防護必須發展成一個能彼此互連安全服務的機動式系統，以便能溝通與分享資訊，做出更好、更快的安全決策。」

機動式安全防禦：協力打擊威脅

Gartner 的 MacDonald 指出：「使用的目的，就是為了掃除這些黑洞。」機動式安全解決方案可提供整體網路的透視度，並協調各個不同網路與安全設備採取威脅回應措施，以協助企業整合零散的安全事件分析，以便快速辨識並反擊威脅，同時遵循相關的法令規範。

當發生安全防護中止時，時間是非常關鍵的要素。威脅愈快被控制，它能造成的傷害就愈小。但前提是企業必須能夠即時發現威脅，並確定讓威脅入侵的主因。此時，如果資訊部門需要檢查來自於散佈不同地點之管理系統與數百臺網路設備的紀錄，其作業將變得過於繁重又費力。

（作/Juniper 先進技術資深經理林佶駿）

……未完（更多內容請參閱網路資訊雜誌 2009 年 3 月號 208 期）