編輯部從網購、電商個資外洩,到跨國駭客集團駭入一銀 ATM 提領現鈔,新型態資安防駭、防個資與防 APT 持續性攻擊,已成迫在眉睫的資安課題。網路資訊與 F5 Networks 共同於 2016 年 7 月 20 日,假寒舍艾麗酒店 5F 松柏廳舉辦 ANTICIPATE 2016 –「F5 禦知未來資安論壇」,會中與業界專家、網路安全實務人員一起探討今日和未來的應用與存取安全,以及如何保護新的安全周邊。
本文目錄
世界一切由應用驅動 請重新從應用的角度思考資安
F5 台灣區總經理張紘綱開幕致詞中指出,F5 Networks 遍及 32 國,超過 4,000 名員工,尤其是應用程式遞送控制器 (Application Delivery Controller, ADC) 的全球翹楚,市占率約 60%;2015 年創下 19.2 億美元營收。今日已經是應用運行的世界,據 F5 市調全球平均企業執行達 508 種應用、個人執行 26.8 種應用,特別是其中亞太地區 15% 企業,執行超過 1,000 個應用,從手機訂票、連公司資料庫、社群網路等無所不在。
現今企業的數位資產的城牆是防火牆,護城河是 DMZ,IPS / IDS 是扮演警衛的角色,而今日企業數據和應用越來越分散,大多數防火牆對這些通過的加密封包視而不見。即便公司用了積極性的密碼防護,據統計有 20% 的員工會以不到 1,000 美元來賣掉自己的密碼。
今日的安全漏洞有 72%是用戶身份,因駭客偽造網頁、寄送釣魚鏈結的有害程式而被盜用,但 90%的 IT 資安預算卻用來是保護駭客不攻擊的傳統網路疆域。從這兩年資安的趨勢,Application Security 無疑將成為資安主流。 F5 提供全方位應用安全解決方案,在應用程式的防護 (Application Protection) 上,從 Networking 、 DNS Security 、 DDoS Protection 、 SSL Inspection 、 Hybrid WAF 、 Web Fraud Protection 、 IP Intelligence 等,全部在 Full proxy security 的架構幫您做檢視。張紘綱最後呼籲大家,請重新審視公司的資安架構,因為應用定義一切 (Application define everything) 。
企業資安 唯快不破
論壇首場由中央警察大學兼任教官、東吳大學法律研究所兼任助理教授李相臣先生,闡述比駭客更快一步的企業資安政策。他點出手機具備個人隱私、行動支付等價值資訊,使用行為又屬於直覺、衝動類型,將來必成病毒更快的散佈源。據調查以政府機關、銀行、零售業、電信業最容易發生資料外洩,駭客會事先摸清受害者系統與人際網路,以平行移動、上下入侵的種種行為進行攻擊;透過入侵防護較弱之海外 B 級分公司的迂迴手法,收買資安高階人員、甚至對實物電腦不熟的機構、銀行高階主管,採釣大鯨魚 (Whalishing) 的模式來竊取其帳密。
今日許多人透過全球網際網路的社群,相互交流學習到駭客新手法,還有透過全球 2.5 萬個監視器作為 DDoS 攻擊的跳板,以台灣 IP 佔 24% 為最大宗。他呼籲資安人員要正視 「進階持續性滲透攻擊」 (Advanced Persistent Threat,APT) 的威脅,了解自己的產業特性 (尤其是金融業) 與資產目標,學習吸收網路科技新知、資安實例與同業經驗,掌握病毒、駭客手法與漏洞修補知識。
防駭思維已從過去前端建立防線,轉向中後端內部存取行為監控、威脅偵測、特權帳號與資料存取等控管。企業要建置 APT 掃描工具與稽核內控機制,把資安戰略擺在減少被駭成本、困難度、縮短察覺時間並減少損失,並將資訊流與金流分開,擺放雲端的方式也是可採取的作法。
重新理解資安與新攻防剖析
F5 高級安全方案架構師金飛就駭客攻擊技巧會導致廠商的抵禦方案的變化提出精闢分析。全球網路攻擊路徑有 46.1% 來自中國,8% 來自美國,台灣 5.8% 全球第三。絕大部分駭客攻擊在幾分鐘內完成;但防禦體系卻在幾天還是一週後才起作用,以 5 月 4 日的 Struts2 漏洞為例,當天 F5 中國總代理就寫了個防禦腳本送給所有中國的客戶,只要在 iRules 後端的 Server 都可以置於保護網內。
前十大網頁伺服器漏洞中,有 7 個都跟 SSL 也就是金錢交易的有關,去年 SSL 漏洞爆發一大堆,唯一能阻卻駭客攻擊的手法就是成本。在大陸發動一季 DDoS,平均每天花 2,000 元,以很小的防禦成本來抵禦花費很大的攻擊成本,是唯一能倖存的方式。教科書所說的駭客破解手法與目的已經是古代史,現代都是背後有集團,有針對性目標的 APT 攻擊。
金飛指出,F5 是一家基於 TMOS 核心技術的軟體廠商,以應用交付為基礎的資安架構規劃上,可伴隨客戶業務的成長的彈性,只要稽核平台的硬體效能可以負擔,F5 的 VE 可以在 PC 上實現全部功能。 F5 提供大量 API 、 iRules 、 iControl 、 iCall 、 iApp 等實現軟體定義的防禦體系,用最小的技術投入來增加攻擊者的成本。
F5 的全代理安全架構 (Full proxy security),可以分析經過 SSL 加密且穿越網路防火牆之後的封包流量,無論 ICMP/SYN flood 、 SSL renegotiation 、 Slowloris attack 到用戶端的隱私洩漏部份關鍵節點,都可以用 iRule 方式加以防堵。像中國招商銀行、 12306 中國鐵道網就採用了 F5 的應用防護技術。
2016 年 1 月銀聯卡 (UniPay) 遭受 SlowPost 攻擊,致使一個 10K 網頁要花一年才傳輸完畢,整個網路頻寬癱瘓掉;買了兩台 F5 5000 incept 裝置才解決這個問題。 F5 的 iRule 僅需設定最多 25 個慢速╱長封包與 Slow_transaction_timeout:10,即可阻卻 SlowPost 的攻擊。
一般訂票系統用的 CAPTCHA 驗證碼機制,仍可能面臨到掛著 OCR 的訂票機器人來突擊;F5 發現像是每秒輸入超過 3 次,或送超過 65,520 個字元(有緩衝區溢位攻擊)疑慮時,會自行跳出 CAPTCHA 驗證的頁面,可改成從幾十種 CAPTCHA 隨機抽 2 種進行驗證,增加駭客重複測試的時間與機會成本。
據統計 DDoS 類型前三大分別為 UDP Flood (23%) 、 Slow POST (16%) 與 SYN Flood (14%),另有 34% 屬於混合型態。前陣子 F5 發表 DDoS Hybrid Defender,用 DDoS 的伺服器做 Layer 2~7 層加上 SSL Offload 的防護。 F5 也提供 DDoS 測試工具,可從 OSI Layer2~7 層對企業進行模擬攻擊,驗證資安體系是否 OK 。
F5 提供 「境外阻斷」,將幾百 GB 惡意流量清洗、過濾後再傳到台灣,也提供各層級 DDoS 雲防護 (DDoSaaS) 、 Web 應用防火牆的雲防護 (WAFaaS) 平台概念。 F5 跟中國電信 (CTC) 的雲堤合作,提供 Layer 4~7 層 DDoS 防禦服務。
像 Firefox 、 Chrome 等新式瀏覽器,很容易按下控制台來監控網頁原始碼,釣出用戶機敏資料。 F5 提供 WebSafe 與 MobileSafe 兩個 Solution,以遠程偵測、用戶層加密、自動交易偵測、反釣魚技術來防禦網頁詐欺,且僅在存取到銀行或網站登錄頁面時才啟用,已獲得包括德意志銀行在內 24 家銀行採用。
多雲接軌的任意門與安全策略
F5 台灣區資深技術顧問紀文智指出,據統計企業端平均使用 508 種應用,員工、日常生活則一天平均執行 26.8 個應用 (Apps),有 82% 的企業朝向混合雲架構,也有高達 90% 的廠商關切雲的安全問題。過去數據中心是把企業私有 Server 、 Application 、 Database 透過各種不同安全防護機制做一個自建型建置,今日數據中心則結合 AWS 、 Azure 或 OpenStack 協議的公有雲、企業私有雲,將既有的 Datacenter 與 SaaS 來做混合搭配。
一般人認為雲是 Network Centric,F5 認為一切以 Application Centric (應用服務為主) 。傳統複雜的防護架構,從 Client 端到 Server/Application 端,像防毒軟體、防火牆、 IPS 等建置在 Layer 3~4 的網路端,可是現在駭客攻擊目標也鎖定在應用層,所以 F5 關切對 Application 的存取、 WAF 如何強化。從 Anti-DDoS 、 L3/L4 FW 、 IDS/IPS 、 APT/DLP 、 Anti-Virus 、 Client Fraud Protection 、 SSL 、 Load Balancer 到 WAF,每個獨立的單點設備只是獨立作戰,而沒有相互連動的話,無法對抗混合式攻擊,就像夢幻球隊也可能會輸球一樣。
紀文智提到一般雲供應商僅提供簡單 Network Firewall 與 WAF,同時混合著使用 A 雲、 B 雲現象越來越普及,進而衍生出身分識別與管理的困難性、缺乏詳細的通訊及分析能力、安全工具的複雜性、缺乏服務可攜性、政策一致性等議題。
F5 的技術可延伸到混合雲,從使用者端、傳統資料中心、 APP/SaaS 、 APP/Internet 、 Private Cloud/SDN 、 Public Cloud/IaaS 等各種公私有雲的平台環境,提供一致性的管理與監控 Policy 。
紀文智舉例 F5 搭配 AWS/Azure 混合雲環境下,藉由 DNS 的整合方式,BIG-IQ 5.0 的中央管理機制,整合 Devices 、 ASM 、 AFM 、 APM 、 WebSafe 、 LTM 等模組,採用視覺/圖形化的政策控管、儀表板以及 Web 網頁安全網管報告,容易檢視這些資安機制的效益,達成高可用性架構、應用為主、全方位 API 與簡化授權的功效。這也正是從 Amazon Web Service(AWS) 、 Microsoft Azure 、 DATACOM 等許多知名的雲服務商選擇 F5 作為合作夥伴的原因。
紀文智提到 2015 年 4~5 月香港許多銀行收到勒索郵件,宣稱有 400 Gbps 攻擊流量,2016 年 1 月英國國家廣播 (BBC) 被 602 Gbps 的 DDoS 攻擊。 F5 分析許多 DDoS 的 IP 來自監視器,同時攻擊流量來源依序是越南、俄羅斯、中國、巴西與美國,某網站列出花 29.95 美元就可買到連續一個月的 250 Gbps DDoS 攻擊流量。一般雲企業對外頻寬了不起 10 Gbps,根本無法應付上百 Gbps 的 DDoS 流量,
因此 F5 提供 Hybrid DDoS 安全防護解決方案,特別是 F5 Silverline 即時雲 DDoS 清洗服務,F5 在全球有四個清洗中心:美西、美東、德國、新加坡,當 DDoS 攻擊流量來自越南、俄羅斯、中國,直接決戰境外-以路由的方式將攻擊流量直接在當地阻絕清洗,從源頭過濾攻擊流量,同時確保可承受 1.0 Tbps 攻擊流量(雙向 2 Tbps),不因攻擊壓力而棄守客戶。
紀文智總結指出,F5 能提供自建數據中心的實體或虛擬設備、公有雲、私有雲環境,以多元化的模組、一致性的管理介面,提供雲雲接軌的資安體系的整合。
F5 加乘 IBM 全面洞察安全危機
IBM 資深技術顧問洪國富先生,指出在最近與英國合作銀行 (The Co-Operative Bank) 的資安建置,即採用到 F5 防護技術的 IBM 資安解決方案。這套企業資安解決方案,以 Security Intelligence 功能單元與 Applications(應用)、 Network & Infrastructure(網路基礎)、 Endpoint(端點)、 Mobile(行動)、 Advance Fraud(防詐騙)、 Identity and Access(辨識存取)、 Data(資料庫)做串連。其中 Network & Infra 整合了 QRadar Incident Forensics 、 QRadar Risk Manager 、 Network Protection XGS 與 F5 的 AFM/APM/ASM/LTM 防護機制,與 Security Intelligence 單元的 QRadar SIEM 、 QRadar Log Manager 、 QRadar Vulnerability Manager 連動。
IBM QRadar 提供全面的風險與事件調查與分析能力。從風險管理、弱點管理階段,做弱點的分析╱預測;遇到攻擊時的配置管理階段,事後的事件管理、可視化管理階段來做事後補救。 QRadar 收集網路╱資安設備、 OS 、 Applications…等的日誌,以可擴充、多樣化圖表的日誌管理平台加關鍵字的搜尋引擎,結合網路流量分析,自動將安全事件關聯起來,進行行為分析、內文比對並產生報表(超過 2,000 種),並隨時反映在儀表板上。
QRadar SIEM 提供超過 600 個預設 Best Practice 的即時性攻擊與外洩事件關聯分析規則。在 Network Security Intelligence(網路資安智能)上,以 DPI 技術來針對 Layer 7 支援流量與內容解析 (Qflow);具備 1,000+應用程式通訊自動辨識與 100 種+ Flow 異常偵測之規則與應用。儀表板能呈現攻擊行為的樣式,相關的事件數量、事件的可信度和嚴重等級,資產保管人,遭受攻擊的系統目標數,系統上是否有弱點以及重要程度,來完整呈現資安事件資訊與內容。
洪國富指出 IBM QRadar 整合了包含 F5 、 FireEye 等在內 100+個技術合作夥伴、 500+種應用模組,是一個開放性的資安生態;提供可訂製的視覺化 Dashboard,支援各種 F5 相關日誌 (BIG-IP AFM/APM/ASM/LTM, FirePass) 、事件趨勢、事件種類統計,也可從 F5 後端 Server 撈出事件統計數、詳細的 F5 ASM 事件正規化、回應代碼與對應的攻擊類型。
IBM 建構 X-Force 威脅情報共用平台 (http://xforce.ibmcloud.com),以超過 1,000 項專利技術,持續對全球 133 國、 3,700+全球託管用戶、 20,000 多台合約設備做監控和分析不斷變化的資安威脅。洪國富最後提到 IBM 的 Guardium 產品,能針對業界所有資料庫、大數據環境,提供資料與檔案型態的保護與監控,以及做弱點評估╱掃描功能;能與 F5 ASM(Application Security Manager) 介接並將資安資訊匯入 Guardium 的資料庫內並以報表方式呈現。
網頁應用程式之安全防禦週期與應對
逸盈科技集團資安顧問吳耿宏談到,從早期 Client/Server 架構到今日電子商務,各種應用與相關 Protocol 越來越集中,無論手機 APP 、 IoT 或行動裝置,HTML 5.0 、 REST & RESTfull web service 、 Bank 3.0 、 Mobile APP 、第三方支付與全球網購等,用到的都是 HTTP 。
OWASP 網站列舉前十大針對 HTTP 網頁的威脅。中國大陸還有個叫烏云網 (WooYun.org) 的網站,會自動幫公司偵測弱點並寄信提醒你三個月內要改善,不然會加以公開。企業走向雲必然會遇到 Web Attack 與 APT 的攻擊。從過去取得信用卡資料盜刷,到近年來像中華郵政用戶、多益考生等個資外洩,駭客、詐騙集團拿著精準的資料對用戶詐騙,使企業面臨賠償與後續修補漏洞的成本問題。
網站攻擊也可以是 APT 環節之一,像台灣某政黨網站被駭的事件層出不窮。吳耿宏指出企業習慣在 Server 設置一個 DMZ 區,把資料庫 (DB) 跟對外服務的 Web 資料擺在一起,容易遭到駭客以 SSL injection,將後門設在 DB 上的風險。完善的資安防禦需要專業攻防技術的知識,並具備長期抗戰的決心。
應用程式的開發週期從定義需求、設計架構、開發、測試到營運,弱點掃瞄與滲透測試,必須在測試到營運這階段就要開始持續進行。 WAF 的建置相較於 IPS/Firewall 來得複雜,且營運之後的挑戰才開始。尤其電商的程式更新頻率非常頻繁,某電商客戶每個星期就要開一個埠來做促銷活動;而企業尤其電商 Server 會擁有易遭人覬覦的大量客戶資料,一旦發生資安事件,反應處理總是慢半拍!只有定期弱點掃描顯然是不足夠的。
中芯數據的 Web 防護產品,從預防(滲漏測試/惡意程式/漏洞檢測)、保護 (WAF) 、檢測(事件處理分析)到修復(強化防禦機制、定期設定調整)四個週期。以 LTM 來當 WAF 並不適合,適合 WAF 應用的 ASM,具備正╱負向表列、攻擊特徵碼的即時更新、敏感資料遮蓋、網站效能監控與 HTTP DDoS 保護功能,像是給旗下供應商直接編修網頁的白名單機制,具備完整攻防經驗來提供規格調校,機敏資訊隱藏、阻擋惡意爬站行為,與 ASM 的 DDoS 防禦策略。
入侵預防及資安事件處理
FireEye 大中華區技術經理林秉忠先生,指出 2004 年 FireEye 成立,2014 年初宣布併購美國 Mandiant 網路安全公司,擁有數百位智能與惡意軟體的專家,與許多應付 APT 攻擊的知識。 FireEye 與 F5 Network 是全球技術合作夥伴,像借助 F5 Load Balancer 、 SSL 攔截機制來做 Server Immigration 與 APT 偵測。
他播放一段 APT 示範影片,像孟加拉央行被盜領事件,就是駭客以內嵌可側錄滑鼠、鍵盤的遠端控制軟體(惡意軟體),藉由社交網站或偽造銀行公文的網頁鏈結來騙取點開,進而取得像是帳密、公司往來信件等等機敏資訊;接下來觀察一段時間(3~6 個月)),了解銀行或入侵機構的作業程序,轉移到有權限的操作者,並等待最佳時機進攻。
2013 年加州 Palo Alto 城某處 ATM,被遠自基輔的駭客破解,半夜無故自動吐鈔,2015 年年底烏克蘭電廠也被俄羅斯駭客強行遠端關閉,最近的一銀 ATM 吐鈔盜領事件等都是類似的手法。林秉忠呼籲大家要調整思維,重點應放在擺脫駭客的攻擊,任何資安技術都無法阻止機敏資料被盜的問題,只能借助專家與智慧。
Mandiant 在 2015 年做的一份 M-Trends 2016 報告中,指出每個行業都會遭受 APT 攻擊,即便 JPMorgan 投資 2.5 億美元在網路安全,2014 年 10 月仍被駭客入侵,造成超過 8,000 萬客戶個資外洩。近年來美國銀行的惡意程式平均潛伏期,已從 2011 年的 416 天縮減至 2015 年 146 天;若是 IT 資安能力夠強,平均可在 52 天內發現漏洞並即時修補。
他也指出雖沒有台灣數據,但亞洲地區平均高達 520 天,幾乎一年半才被發現,依他個人對國內銀行檢測經驗,發現有些惡意程式都躺了 3~5 年。國內很多企業的漏洞,不是多年後因內部發現異常通知 IT 時被意外揪出,或者等到調查局、國安局上門通知才發現。
孟加拉央行被盜領事件後,央行總裁引咎辭職,央行金融長到國會聽證會說明緣由時,特別指出大家該注意駭客的手法。台灣每年舉辦的駭客年會 (HITCON) 中,不見得要用什麼高明的惡意軟體,就可以破解一些資安措施。
從 FireEye 角度來看,企業要做的是事前預防像是攻防演練;事中隨時掌握新技術的評估,像是 FireEye 的 DPT 的資安設備;事後處理則像 FireEye/Mandiant 公司能提供駭客攻擊源頭、手法分析與應對策略。 FireEye 也提供 Compromised Assessment,提供設備介接來協助分析是否有駭客入侵的跡象;萬一發現入侵跡象,可進一步提供 Incident response retainer(IRR) 協助入侵訊息的鑑證,並提供專家協助事件調查及公關管理,以及 FaaS: FireEye 24×7 監控/調查服務。
網路詐欺犯罪推陳出新,雲端與應用保護的新思維
F5 台灣資深技術顧問許力仁,提出資安考量的關鍵在於 Cost Effective, Application 就是最重要的投資點。而網路罪犯攻擊新趨勢,在於繞過價值數千萬、被保護的非常良好的資料中心,直接對 End-user 毫無保護的 Client 端裝置與瀏覽器進行攻擊。
許力仁透過圖表解說網路詐騙的流程,駭客使用以漏洞入侵的惡意程式,讓受害者感染並取得銀行帳密;接著以遠端存取入侵的電腦,將錢轉到不知情的掮客,再把錢轉到詐騙集團或換成數位金幣。美國 FBI 統計以這類盜領行徑已有 390 個案例,損失達 2.2 億美元。近年來金融惡意程式則以瀏覽器套件或 Java Script 形式附著在瀏覽器上,篡改開啟的網站內容,植入惡意表格做鍵盤側錄,藉此竊取受害者輸入的使用者名稱、帳戶及密碼;透過 VNC 來遠端操控,並從預設組態定義目標銀行,以及線上支付服務的目標網站;最後引導到假網站,完成自動轉帳交易。
據統計 2015 年全球有 5.94 億人在網路上被詐騙,或因網路犯罪受到損失,整體損失金額達 1.58 億美元。而 93.6% 網站都有的 Java Script,除了透過 DOM 可以建立動態 HTML 、變更 HTML 參數/物件/文字內容,也就是做一個極為相似的偽造登入網頁,甚至散佈勒索的加密軟體。前陣子 Neverquest 這種惡意 Java Script,把銀行網站客服電話改成導向詐騙集團的專線,一路指導不知情的用戶,最後把錢轉走,在俄羅斯已經發生多次。
另外還有惡意程式。當使用者瀏覽登入原本合法網站頁面時,會多產生幾個欄位,標準欄位的資訊傳送到原本的合法網站,但多出的欄位攔截的資訊,被另外送到預先設定的投放地點 (drop zone),美國、英國、東南亞都有發生這些案例。
許力仁闡述 F5 的 WebSafe 技術的防堵機制。當受害用戶存取到被 F5 WebSafe 保護的網頁時,雖然觸發惡意 Javascript 將合法登入網頁複製並存入駭客的私有 Server;當要顯示登入網頁時,惡意 Javascript 開始重導向網址,從駭客 Server 讀出網站登入頁並添加額外欄位時,會被 WebSafe 偵測並觸發警告,並擷取到駭客 Server 的 IP 位置;同時用戶若登入合法網站,卻觸發了惡意 Javascript 要另外添加欄位準備攔截資訊時,由於經 WebSafe 防護的網頁欄位參數都有編碼,使得駭客攔截到的是無法解開的雜訊。
另外萬一遇到駭客躲藏在幕後的中間人攻擊 (Man in the middle),從中攔截用戶與伺服器之間的欄位資訊並擅自修改時,WebSafe 反詐欺技術下的銀行網頁,會事先在機敏欄位有預設的防詐騙設定檔;當用戶填入交易項目如帳號、金額時,即便觸發了 Javascript 進行竄改,WebSafe 不僅內嵌防止機器人快速轉帳的行為限制,還會將推入虛擬伺服器的網頁與先前填入的頁面再度比對,一旦發現被修改,立刻觸發警告並停止網頁傳送,也不會錢一下子就被轉走。
使用 F5 WebSafe 保護的網頁應用層編碼技術特有的立即反應、完全透明、適用各種裝置、強化電子商務、金融網站上的登入防護等可以預防並防堵詐騙。
從雲到端的資安解決方案
零壹科技應用服務部技術顧問陳鳴豪先生,提到了作為代理商的角色的零壹科技,在全球網羅了第一、最好的網路的網路應用產品╱解決方案。他再度簡述 FireEye Security 這套資安防禦產品,從 NX 上網行為的防護與線上阻擋機制、 EX 電子郵件防護機制,FX 清查內部清查企業內部檔案伺服器的惡意程式、 HX:安裝於端點的代理程式,可即時接收閘道威脅資料並進行端點清點,結合 CM 進行中央控管及關聯分析,即時掌握威脅情資。
另一個是論壇主場的技術展示供應商 F5 。 F5 TMOS 的全代理資全架構 (Full Proxy security),當使用者要連接一個 Application 應用服務時,經過網路防火牆後的封包資訊,轉由 SSL 加密後,經過 ICMP flood 、 SYN flood 、 SSL renegotiation 等關卡,並藉由 WAF 網頁應用防火牆來抵禦 Slowloris 與個資外洩的風險;後端 HTTP 、 SSL 與 TCP 應用層節點則以 iRule 進行管控,以及抵禦 Slow POST 、 DDoS 的阻斷式攻擊,達到全方位應用為中心的防護架構。
另外,零壹科技代理的 Splunk,它是一個業界領先的機器資料平台,從組織內部、私有雲到公有雲,從伺服器、儲存裝置、桌上型電腦、筆記型電腦、平板電腦、智慧手機、線上購物車、資料庫、 RFID 、 GPS 定位、等任何地點、種類與數量的機器資料,都能做隨機搜尋監測與警示、回報與分析、定製儀表板與開放性平台開發,協助做機器資料的大數據分析、記錄與通報,並且與後端應用程式做平台介接。
資安防護架構如 FireEye NX 的使用情境,是放置位於 Client 與公有╱私有雲 Server 中間的網路層,用來抵禦惡意軟體、入侵威脅並避免召回 (Call Back),但不足以因應被 SSL 加密的資料封包的監控;此時可再導入 F5 的 BIG-IP 系列的產品,將經過 SSL 加密的 HTTPS 加密封包╱訊息,經 F5 BIG-IP 解密並協同 FireEye NX 網路應用防火牆做 APT 的偵測,補足 SSL 加密這一段網路路徑的防護。
更深層的應用情境,則是將 Splunk 機器平台也納入,要出去的 Internet C&C IP 位址,FireEye 會將通報資料送到 Splunk 做初步的分析與預警;而 Splunk 經過學習與分析後的 IP 與封包資訊,再進一步送到 F5 BIGIP 做串連聯防與大數據分析,一個三位一體的資安聯防體系,形朔出一個具備高可用性 (High Availability, HA) 、負載平衡 (Load Balance) 與彈性擴充的資安檢測系統。
結論
總結本次禦知未來論壇,在企業挾自建數據中心與混合雲架構趨勢,將面對更多應用為主的雲端業務之下,必須提供從用戶端到伺服器每一個協定╱關鍵節點的全視野防護。 F5 Networks,倡導以應用為主的防護模式,輔以 SSL 加解密、 APT 防護、 WAF 、 WebSafe 網頁編碼防護技術,從境外阻絕 DDoS 攻擊,對網路流量效能影響無虞;並與全球各網路資安夥伴如 IBM 、 FireEye 建立夥伴合作關係,是企業資料中心混合雲端化、應用防護上最有競爭力的資安解決方案。