廖佩君F5 Networks 臺灣暨香港區董事總經理殷玉萍開宗明義強調,資安不是靜態作業,因為駭客攻擊是持續不間斷地發生,所以企業不能只是想要保護現況,更要進一步做到預知未來,這樣才能真正發揮資安防禦的效果。
以網路銀行為例,F5 Networks 不久前針對台灣網路銀行進行內部測試,總共測試了約 20 幾家銀行的網銀登入頁面,結果發現將近 3 分之 2 的銀行,都能讓駭客成功地竊取帳號密碼。
殷玉萍進一步說明這項驚人的測試結果,只要利用網頁 JavaScript 語法的安全漏洞,就能在瀏覽器植入惡意軟體,當使用者輸入帳號密碼、準備登入的時候,惡意軟體就會開始執行鍵盤側錄、偷密碼… 等功能,由於惡意軟體只在前端瀏覽器上運作,不會影響到資料傳輸及後方的網頁伺服器,因此銀行和使用者都無從察覺。
「不只是金融業,也不只是台灣,任何透過網路提供服務的組織,像是電子商務、政府,其實都存在相同的問題,」殷玉萍的話,間接指出現今企業在進行網路安全防禦時的盲點,將大部份的資安預算放在看不見內容的網路安全設備上,卻忽略了 7 成的駭客攻擊都是針對應用程式而來。
以上述的攻擊手法為例,企業在網頁安全上的做法,大多是採用 SSL 傳輸加密機制,或是定期檢測程式碼,然而駭客將惡意程式放在前端瀏覽器,並沒有攻擊企業的行為,也不是程式碼有漏洞,程式碼檢測根本看不出異常,至於 SSL 傳輸加密,是在使用者輸完資料、按下「登入」鍵後才會加密,但駭客早在輸入帳密的同時就已經竊取資料。
資安防禦 3重點:AP、使用者、資料流
「所以,企業必須調整思維,從應用程式的角度去思考資安這件事,」F5 Networks 臺灣區總經理張紘綱強調,企業的應用程式數量越來越多,根據 F5 對亞太區企業所做的調查,2016 年 49% 企業擁有超過 201 隻應用程式,15% 企業的應用程式數量大於 1 千個,這些應用程式是內部作業的基礎、對外為客戶/消費者提供服務,同時也是駭客的攻擊管道。
過往,應用程式大多放在內部網路,員工要在辦公室才能存取,所以企業採用的是城堡型防禦思維,但是現今應用程式的發展趨勢與過往有很大差異,第一是強調遠端或行動存取,第二是放到企業外的資料中心、也就是雲端化,當 AP 的資料傳輸和存取行為都發生在辦公室以外的環境,而不是在內部網路時,企業根本不能沿用過往城堡式防禦思維,必須從 AP 角度去思考,如何確保應用程式、終端使用者與資料流的安全。
從這樣的角度去思考,資安解決方案必須具備 2 個特點,一是使用者不需要安裝任何的軟體或代理程式,二為企業 IT 人員不必重新改寫應用程式,而這也是 F5 的產品發展精神。
張紘綱以上述攻擊手法做說明,F5 解決方案 WebSafe 的做法有兩種,一是在使用者輸入資料的同時進行加密,當使用者按下登入/確認鍵、開始傳送資料時,再一次進行加密,並將兩份加密檔案傳送到後台伺服器做比對,確認使用者輸入的內容有沒有被駭客竄改。
另外,WebSafe 還會進行 AP 層加密,使用者只要開始輸入資料就自動加密,讓駭客拿到的資料都是亂碼,即便駭客去點選瀏覽器的開發者工具選項,Login Box 欄位也只會顯示加密後的亂數資料,而不是帳號密碼的明文資料,且每隔 1 秒跳動 1 次,讓駭客無法從此處取得獲取資料,如此一來,MIS 不必改寫網頁應用程式,或是要求使用者下載代理程式,同樣能達到使用者帳密安全把關的目的。
舉例來說,F5 在去 (2015) 年和 FireEye 簽訂合作協議,讓 F5 解決方案擔任 FireEye 的眼睛,由 F5 設備負責將流量分類,傳送 FireEye 設備需要分析、監控的流量,並去除那些 FireEye 不需要的流量,例如:Video 、 Streaming 。另外,F5 也和 IBM 安全資訊管理平台 QRadar SIEM 合作,讓 QRadar 可以從 F5 設備所提供的資訊中,清楚描繪出單一 Transaction 從 L4 到 L7 的足跡,而不必自行整合與定義來自不同設備的資料。
其實,F5 在設計解決方案時,一直堅持要站在應用程式伺服器前面,而不是在 AP 伺服器上裝 Agent 。對企業來說,這種做法有兩個好處,一是一台 F5 設備可以同時串接各種不同的應用程式伺服器,方便管理者在單一平台上集中管理,二是當 F5 設備在前端檢視完流量後,可以根據其他不同資安設備的需求,傳送其所需要的流量內容,因此 F5 也積極與不同類型資安解決方案合作,希望能加倍提升資安防禦效果。