達友科技資安日:2017企業資安面臨威脅 如何搶先駭客一步保障企業資安

厭倦了在駭客的背後追逐嗎?一路收拾這些傢伙搞出來的殘局,卻永無止盡地擔心害怕是否還有未發現的地雷藏在企業網路中呢? 資安防禦形同作戰,兵法制勝唯重「料敵機先」與「攻敵必救」,從內到外,找出駭客們真正關心的戰略重點,才能搶先駭客一步,將其消滅!

勤業眾信:抛棄產品導向思維,建構全面性企業資安防禦策略才是上策

在企業面臨轉型挑戰,以及網路威脅日愈多樣化的今天,資安防線已從從自家門口向外延伸,從買產品救火到提升掌握情報、做好企業內部控制,早一步致敵機先。

勤業眾信(Deloitte)事務所執行副總經理林彥良首先指出,新興科技出現、消費者需求及監管壓力的增加,促使資訊服務快速進化。例如GPU業者轉型發展人工智慧(AI),現在的金融資料分析龍頭最早來自雲端服務,而Amazon、Apple等IT業者開始向數位金融擴張,金融業者也為了轉型,逐步深化IT能力。

勤業眾信(Deloitte)事務所執行副總經理林彥良

然後數位轉型的同時,企業面臨形形色色的網路威脅。例如車聯網遭駭入控制煞車或門鎖,駭客入侵連網醫療器材如斷層掃瞄、核磁共振、雷射等以勒索病患資料,比特幣交易商被駭損失近7800萬美元,俄羅斯銀行ATM 遭無檔案惡意程式遙控吐鈔,此外還有內部員工洩密、網路罪犯、競爭對手及國家發動蠕蟲、勒索軟體、分散式阻斷服務(DDoS)、社交工程犯罪等攻擊,威脅成倍數增加。

另一方面,攻擊者已發展成更組織化、更專業分工的犯罪集團。例如2016年發生孟加拉中央銀行被植入惡意程式、試圖發動轉帳攻擊,差點轉走10億美元。經過研究,駭客對金融報表、SWIFT網路、轉帳流程等銀行內部作業掌握十分透徹。這顯示駭客不再只是炫耀技術的搗蛋鬼,而是產業、技術、活動流程都有人各司其職的專業犯罪集團。令人擔心的是,美國國安局、中情局的「攻擊軍火庫」遭外洩後,今年5月間國安局的攻擊程式就被駭客用以發動WannaCry,從醫院、政府、到銀行等全球數十萬台PC被加密勒贖攻擊。

數位轉型面臨的安全風險

有研究機構分析,未來一家大型企業平均有200名資安人員的需求。然而在成本限制下,很難有企業補到充足人手。因此,在威脅地景的變遷中,資安做得夠完善的企業將能脫穎而出,而沒有做好資安的企業則可能遭淘汰。但是我們需要了解,被動防堵已難以應付現今的網路威脅。

在進階的安全防禦策略下,企業必須提升威脅情資分析能力,了解攻擊本質,包括對手是誰、具備何種能力、攻擊對象、帶來何種影響,並針對「Cyber Kill Chain」各個環節部署防護措施。完整的網路安全關鍵在建構四大核心功能。首先防護眼光應從原有的IT資產拉到企業360度數位風險的分析能力,根據企業本質、業務特性、地理區以及市場競爭環境,以及未來策略,評估可能風險,並且從管理機制及技術面建構良好控制。接著是合規遵循,利用科技,像機器學習、數據分析等,協助公司符合國家或供應鏈的安控規範,如原廠也開始要求台灣代工廠導入資料存取控制。並透過資訊聯防、跨業合作,掌握外部威脅情資、整合內部管理機制,最後則是參考國際實務設計提升企業對事件應變能力。像是NIST SP800-61、83或86標準,或是ENISA(歐盟網路暨資訊安全署)標準,訂出緊急應變措施,並定期實施攻防演練。

企業必須培養網路安全數位四大核心能力

今天,駭客和企業已然處在攻防的實力競賽中,而唯有以更全面的眼光,建立數位風險分析眼光、強化情資、導入內部控制提升應變能力,並在攻擊到前做好萬全準備。

 

ForcePoint:以人為本才是企業營業秘密防護的王道

客戶及營運資料外洩一直是所有企業的最大資安隱憂,而過去企業資安預算也大部份投入於防止駭客入侵或外部網路攻擊。事實上,企業內部,即員工引發的資料外洩,才是企業最難防範、傷害最大的資安威脅。

台灣高科技製造業經常面臨中國大陸業者挖角,藉由跳槽員工竊取重要製程或研發資料者的重大威脅,雖然我國有企業營業秘密保護法,然而自2013年以來,檢調單位偵辦了57件洩密案,僅27件起訴,僅2件判決成立,根本無法發揮嚇阻效果。這使得營業秘密保護已成企業刻不容緩的需求。

Forcepoint台灣分公司技術經理陳志遠

但是,這說來容易做來難的事。Forcepoint台灣分公司技術經理陳志遠指出,企業經常是資料外洩防禦(DLP)、防火牆、入侵偵測/入侵防禦(IDS/IDP)等各種安全產品都安裝了,然而後果反而事件紀錄太多。統計顯示,中大型企業平均使用70種以上的資安工具,有的大型企業每天收到來自SIEM或DLP等資安設備的告警,高達50到100萬則。此外,一般企業資安往往是由網管人員兼任,他們並沒有分析資安紀錄的專長。形成企業資安設備愈買愈多,然而資料防護愈來愈難,離職員工竊密的情況依然層出不窮。

陳志遠指出,企業資料外洩的環節在「人」。由人導致的資料外洩包括粗心大意的內部員工不遵守公司規定程序,讓外部合作夥伴輕易存取自己的網路共享硬碟;心生不滿準備離職或具犯罪意圖的員工心懷不軌,竊取公司客戶資料或破壞公司系統;又或者是HR或財務部門員工不慎開啟以「invoice」為標題的郵件附檔而遭植入木馬程式、甚至勒贖軟體等。

根據Forrester一份安全報告,企業過去12個月發生的「入侵」案,其實有39% 是內部人事所為,其中26%是出於刻意濫用或惡意存取機密資訊,56%來自企業內部使用者不慎誤用資料。因此,防止資料外洩關鍵在於透過系統化的分析技術,看穿看似勤奮的員工背後的真實意圖。例如一個平時經常出差,偶而將工作帶回家做的程式設計師,暗中從國外IP登入,從檔案伺服器下載大量客戶名單,或是將資料庫內容加以變造,或是平日遠端工作的工程師,突然異常提升系統權限,並經常在下班時間登入系統,進而形成惡意內部威脅。

透過系統化分析技術,協助發現使用者真正意圖

 

因此,一個完整的機敏資料防護策略,必須包含資料外洩防禦(DLP)及使用者與網路行為分析(UEBA),形成以人為本的全方位視野。以DLP的內容感知技術,辨識高風險的資料傳輸行為,掌握「誰」從「哪裏」,透過「什麼方式」取得「何種」資料。另一方面,Insider Threat提供的使用者行為稽核分析,自動學習並建立使用者行為基準,辨識潛在的異常行為,以及基於使用者行為的風險分析,同時透過整合多種資料來源,包括使用者行為的詳細紀錄、完整情境、甚至錄影監控,找出高風險使用者。值得一提的是,ForcePoint Insider Threat的影像處理技術,可以在控制影像儲存負載的前提下,提供事發前一小時錄影,使犯罪行為的蒐證更為完整。

結合DLP及UEBA才是完整的機敏資料防護策略

藉由結合DLP及使用者及網路行為稽核,有助於企業早一步發現內部員工的異常行為或散漫的使用行為,建構資料防護策略或是阻止犯罪行為的發生,確保企業營業機密的永續安全。

 

Carbon Black:因應新型態惡意軟體 邁入次世代防毒時代

駭客技術日益演進,近年惡意程式已經進階為前所未有的無檔案(fileless)攻擊、勒贖軟體,傳統防毒防護破功,並促使整個產業邁入次世代防毒(next generation anti-virus)世代。

Carbon Black亞太資深安全工程師Bernie Png

5月初一個周末內讓全球超過20萬台PC淪陷的WannaCry讓人餘悸猶存,事實上,近兩年資安界最重要的事件莫過於勒贖軟體的興起。根據FBI報告,2015年勒贖軟體造成3.25億美金的損失,而一年後,這個金額達到10億美金。去年,每天平均發生4,000起勒贖軟體的攻擊,較過去整整增加3倍,過去12個月內至少有一半的企業曾遭到這類惡意程式危害。

Carbon Black亞太資深安全工程師Bernie Png並指出,近年網路威脅很重要的共同特徵之一是無檔案(fileless)攻擊。事實上,2015年有38%的網路攻擊,是使用無害的PowerShell進行散佈。年初已經有多個無檔案惡意程式被發現滲透到全球40多家銀行、電信業者及政府機構。這類惡程式是長期潛伏在RAM內,進而竊取資料或下載其他惡意程式,由於它並非以檔案的形式存在,因而可躲過防毒軟體的偵測。但有趣的是,眾多防毒軟體在AV-Test.org的測試結果上,卻呈現接近100%的偵測率。

另有駭客在網釣郵件附上具有惡意巨集的Word文件檔,誘騙使用者開啟文件。文件開啟後啟動巨集,執行PowerShell代理程式,之後開啟後門,並與外部C&C伺服器建立通訊。這種手法也是前所未見的複雜、高明。

Png解釋,現今的惡意程式運用特殊的組譯器(compiler),得以繞過特徵比對、反向工程、除錯或沙箱技術的過濾。在網路上流通的1億個惡意程式檔,縱使傳統防毒引擎偵測率高達99%,卻仍然有100萬個零時差(zero-day)攻擊程式散布。此外,現在還有惡意程式即服務(malware as a service),供駭客客製化想要的攻擊程式,同時惡意程式也愈來愈高明,能採取多種攻擊策略以適應不同目標環境,像是惡意URL、惡意文件附檔及JavaScript附檔等。然而傳統防毒軟體採用特徵比對及啟發式演算法(heuristics)的檢測方式,此類掃瞄技術特色是「一次判定後,永久放行(decide once, forget forever)」,已經無法因應變化多端的新式威脅,這顯示傳統防毒軟體已無法有效防堵新式網路攻擊。

NGAV TTP分析結合信譽評等、行為及攻擊向量的分析,有助於攔截多種未知的惡意程式

次世代防毒採用TTP (Tactics, Techniques and Procedures)的防禦策略。簡而言之,是透過檔案與程式行為的分析及關聯比對,辨識出特定惡意程式活動軌跡。Carbon Black 的NGAV TTP分析結合信譽(reputation)、行為及攻擊向量三個面向,而且不同於傳統防毒一次性掃瞄,Carbon Black次世代防毒方案會長時間監控特定程式活動,不論是多層次混淆手法、將惡意程式碼隱藏在可執行檔合法檔案內,或是無檔案惡意軟體利用Powershell掩蓋非法行為的攻擊,都能被辨識出來,並於第一時間加以阻擋。而Carbon Black雲端深度偵測技術提供行為分析、機器學習、攻擊模型、信譽評分、關係追蹤(relationship tracking),減輕端點分析的負擔,有助提升端點防護效能及降低誤判率。

雲端化深度偵測及分析,減輕端點分析的負擔,具高效能及低誤判率的優點。

有了智慧化次世代防毒配合鑑識/事件處置(Incident Response)及應用程式控管/白名單產品線,Carbon Black得以協助企業建構滴水不漏的端點防護策略。

 

BlackBerry:支援數位轉型 提供物聯網端到端企業安全防護

物聯網(Internet of Things, IoT)時代來臨,應用更多元,生活及商業流程更方便,卻也伴隨著不可避免的安全威脅,BerryBlack試圖將企業行動安全防護推向物聯網。

BlackBerry北亞區資深技術方案經理張英偉

BlackBerry北亞區資深技術方案經理張英偉引用Ericcson研究數據指出,到2020年全球連網物件總量將由2016年的64億成長到208億,速度高於智慧型手機。他表示,行動裝置及物聯網的普及,推動企業的數位化轉型,然而也讓企業面臨轉型威脅。根據研究,相對於網路設備和伺服器,用戶和端點裝置遭受入侵的比例逐年增高,導致重要資料外洩或系統入侵,是企業安全防護上最薄弱的環節。然而全面斷網並非上策,也是不可能的事,因此如何能在確保企業資訊安全,又維持行動用戶的生產力及良好體驗,就成為企業IT人員最重要的課題。

用戶和端點裝置遭受惡意程式入侵的比例逐年增高,是企業安全防護上最薄弱的環節。

BlackBerry深受各國商務人士喜愛,除了好用的手機鍵盤之外,絕佳的安全性才是最重要因素。BlackBerry軟體平台提供端到端的行動防護,

Black Berry Unified Endpoint Manager為端點、應用、檔案的統一管理控制台。透過整合BlackBerry各項安全產品,BlackBerry UEM能提供100%的安全監控,包括管理行動裝置硬體及應用程式的MDM及MAM,BlackBerry Dynamics獨家容器技術確保應用安全性,BlackBerry Workspaces提供數位版權管理(digital right management, DRM),可完全掌控文控是由誰、何時、在哪、透過何種路徑存取,又傳給了誰,讓企業可安心共享與協同文件檔案,並藉由BlackBerry Enterprise Identity做好使用者的存取控管。

在端點設備方面,UEM 支援iOS、Android、macOS、Windows或Blackberry等作業系統,不論是企業端點設備,不論企業採用何種裝置所有權模式,是自帶設備(BYOD, Bring Your Own Device)、公司所有,個人使用(COPE, Corporate Owned Personally Enabled),還是公司所有,公務使用(COBO, Corporate Owned, Business Only)的裝置,都能涵括於BlackBerry UEM的安全管理之下。BlackBerry Secure則為支援各種物聯網裝置的雲端安全平台,從筆電、智慧型手機到智慧眼鏡、連網汽車、智慧零售到智慧醫療產品,都能獲得防護。

BlackBerry軟體平台提供行動端到端保護,支援幾乎主要行動作業系統、容器應用、Microsoft 365文件及多種企業設備與所有權模式。

透過BlackBerry UEM控制台,IT部門可輕鬆進行設備、應用及文件管理,包括將應用分配給特定帳號、配置公司設備、管理BlackBerry Dynamics容器應用,以及針對文件套用DRM政策。它也支援Microsoft Office 365,因而能針對Word、Excel、PowerPoint套用企業安全規則。UEM援引BlackBerry在全球網路及資料中心管理的經驗,適合要求嚴苛的環境,具備簡單、集中化、具成本效益等優點,Active-Active高可用性模型減少硬體需求,實現最大正常運行時間,也提供SLA達99.9%水準的雲服務。此外也提供API允許在UBM架構下介接第三方應用,支援未來業務需求。最重要的是,它豐富的策略控制可確保施行IT政策,並以儀表格和報表讓IT一目瞭然掌握各種端點及應用的安全狀況,協助IT監控及符合法規要求。

隨著物聯網時代來臨,憑藉著BlackBerry過去在行動企業領域累積的經驗,現今BlackBerry提供端到端的行動裝置管理方案,並延伸到物聯網裝置上,讓企業即使在惡意程式及資料竊取威脅層出不窮的今天,也能穩健向數位化轉型。

 

Sophos:網路與端點聯動的整合性防護策略

網路威脅愈來愈兇險而多樣化,防毒業者要如何與時俱進?Sophos提出了網路與端點防護同步化的次世代端點防護策略。

Sophos台灣分公司資深技術經理詹鴻基

Sophos台灣分公司資深技術經理詹鴻基開宗明義提到企業資安趨勢:威脅攻擊數量及複雜性皆大幅增加。一來,隨著資訊設備從以前單純只有PC和Client/Server,到現在涵括桌機、筆電、手機、平板、實體伺服器、儲存設備、虛擬伺服器、雲端,威脅攻擊面數量指數級增加;二者,從以前的病毒,到現在後門程式、木馬、蠕蟲、零時差攻擊、多型及變型病毒、記憶體駐留病毒,再到網路與端點整合攻擊等,攻擊比防禦更為複雜。

在無差別攻擊橫行的今天,大小企業面臨相同的安全威脅。

此外,過去以金錢為目的病毒多半鎖定金融、電信、高科技製造等大型企業。然而以去年興起的勒贖軟體來看,無差別化的網路攻擊已變成常態。中小企業面臨安全威脅的機會和大型企業相同,資安也將成為所有企業的優先任務。更可怕的是,現在暗網上還出現一種勒贖軟體即服務(ransomware as a software),它藉由分潤方式提供代管服務,甚至提供支援12種語言的使用者管理介面,用來檢視攻擊與贖金給付狀況,還可以針對不同攻擊對象設定資料贖金金額。任何人,包括不懂電腦的「小屁孩」也可以訂製勒贖軟體,使這種惡意程式為害層面更加擴大。

防範網路威脅,必須從攻擊生命週期加以著手。它會經過偵察潛伏、程式籌載中加入後門程式及攻擊程式、透過電子郵件或網頁掛馬擴散、開採系統軟體漏洞以執行程式碼、以安裝在受害系統中。最後在受害系統上蒐集、變更資料或對檔案加密,再和外部C&C主機連線以回傳訊息或更新攻擊指令。

積極的安全防護必須要能有效攔截漏洞,除了1/10的已知公開漏洞外,還要儘速修補其他9/10的未知漏洞。這些漏洞遍及各種軟體,從早期知名的Windows外,近年Adobe Flash及Java也是程式碼執行攻擊的熱門目標。因此下世代防毒解決方案不再只有特徵比對能力,而是具備攻擊預測、多向式高效防禦、整合防護、中央控管及同步安全能力。

Sophos強調以次世代端點防護結合網路安全產品實現同步安全防護。

Sophos的次世代端點防護結合特徵比對、機器學習、信譽稽核及裝置與應用程式控管進行事前防禦,並以記憶體掃瞄、行為偵測、流量偵測達到事中與事後的防禦。此外更加入了網路防護;藉由網頁、電子郵件防護、沙盒、IPS、加密流量監測、進階威脅防護及使用者身份驗證等網路週界防護技術,和端點防護方案同時運作。

在Sophos保護的環境下,網路與端點間有Security Heartbeats技術保持連動,駭客在哪一個環節發動何種攻擊,Sophos都能察覺、並以Intercept X加以攔截與封鎖;任何單一端點遭受勒贖軟體或蠕蟲感染,獨家的端點石牆圍堵(stonewalling)技術能立即偵測並加以隔離,防止惡意程式在內部網路散佈、蔓延到其他端點上,也能切斷無線網路感染途徑,無法經由AP散佈到行動裝置,同時藉由Sophos網路防護,確保核心伺服器及Web安全。

透過完整的網路防護與端點安全的整合聯動,才能協助大、中、小企業在勒贖軟體、進階精準攻擊不斷演進的複雜網路攻擊下確保企業長治久安。

 

Infoblox:萬物皆聯網,危機四處藏 -如何因應新世代的網路快速連接與DNS安全

傳統上,防火牆、防毒是企業資安預算的重點,然而近年駭客已經將攻擊目標轉向新領域:域名伺服器(domain name server, DNS),使受害範圍更擴大。

2016年10月知名DNS服務商Dyn遭遇了大規模DDoS攻擊。駭客利用殭屍網路透過上千IP位址發動DDoS攻擊,致使大批代管服務包括Github、美國有線電視(CNN)及信用卡支付公司VISA網站無法使用或連線速度大減。2013年台灣發生漁船廣大興號遭菲律賓海巡隊槍擊事件,引發兩國網民大戰,相互攻擊對方DNS及政府網站。這些事件都說明,DNS是新一代網路攻擊目標。

研究顯示,DNS已成DDoS第一大攻擊目標

Infobox台灣、香港及澳門區總經理鄭清平說明DNS何以成為駭客的新目標。過去10台中有8台DNS使用的是微軟Windows Server或BIND等免費軟體,然而免費DNS設定相當繁瑣,每次部署至少都需要三道程序,包括伺服器、DNS及IPAM管理介面,70%沒有自動化IP管理機制。如果發現有問題的DNS查詢時,還得需要從微軟Active Directory及DHCP抓取成Excel檔案靠人工查詢,相當費時。

Infobox台灣、香港及澳門區總經理鄭清平

雪上加霜的是,網路上DNS攻擊工具俯拾皆是,這也讓DNS成為駭客攻擊理想目標。

鄭清平並舉例指出使用免費DNS可能的安全風險。例如微軟DNS為單機平台,無法確保每台都符合資安政策,因為防火牆無法彌補人為的DNS設定疏忽,致使駭客得以針對DNS主機進行區域轉送(Zone Transfer)查詢,取得組織整個網域及伺服器部署資訊,藉此發動攻擊。此外,駭客可能藉由發送經過變造、置入有害程式碼的IP位址,造成DNS快取污染或中毒,綁架連向該DNS的流量到駭客設立的惡意主機上,或是設立假冒DNS主機進行中間人攻擊。另一方面可防範DNS攻擊的DNSSEC(DNS Security Extensions)設立相當複雜,且增加DNS伺服器本身的處理負載,也降低企業及服務供應商的意願。根據台灣網路資訊中心(TWNIC)的統計,截止2016年6月,台灣申請DNSSEC的數量也只有166件,顯示普及度不高。

有鑒於DNS為目標的攻擊愈來愈頻繁,政府也開始在安全法規中納入DNS檢驗。例如金管會在近日通過的《金融機構辦理電腦系統資訊安全評估辦法》中,即要求檢視網路封包是否有異常的DNS查詢,比對是否為惡意IP、中繼站或有惡意行為特徵。行政院資通安全管理處也從2014年開始針對DNS做資安情境演練。

將免費DNS升級Infoblox,具備可視性、簡單操作等好處。首先它可整合微軟 Active Directory,可提供 DNS 完整查詢記錄,包含IP、AD 使用者名稱,防呆機制減少輸入錯誤。而Infoblox Grid(網格技術)可以將各種分散部署的伺服器整合到統一的網格中,以網格管理器(Grid Master)進行集中管理,簡化管理負擔,連小學老師也能輕易操作。Grid備援技術也確保DNS服務不中斷。

完整IPAM功能讓管理員不用再以Excel人工檢視IP軌跡

和手動管理化相較,使用Infoblox讓用戶建立新instance 時減少3倍時間,VM的配置比手動管理減少72%及的工夫,而VM追蹤更是縮小為的1/24。此外,透過即時更新惡意網域名單,更能有效防範用戶端連向駭客網站,並降低DNS攻擊及DDoS攻擊的風險,給了企業由Windows DNS/DHCP或免費DNS升級的最好理由。

 

Radware:DDoS攻擊的了解及防禦策略建構

分散式阻斷服務(DDoS)攻擊是企業長期以來面臨的頭痛問題,然而為了對資安人員而言,必須更進一步了解攻擊者背後動機及攻擊手法的轉變,才能更有效建構防禦策略。

Radware台灣區技術顧問黃柏森

Radware台灣區技術顧問黃柏森詳細剖析了DDoS網路攻擊目的及手法的演變。首先,過去攻擊主要只是網路「小屁孩」們炫技的結果,現在的目的逐漸變成國家及商業競爭下的入侵行動,目的在竊取對方機密及造成損失,也有駭客想藉此宣傳其DDoS即服務(DDoS as a Service)的威力。但是,排名第一的動機卻是錢;網路勒索為目的DDoS在歐洲及亞洲尤其嚴重,例如今年初台灣多家證券商收到勒索信件,威脅支付7至10元不等的比特幣,否則就會發動DDoS攻擊,而且也確有10多家券商遭到800 Mbps至2 Gbps不等的DDoS攻擊癱瘓下單網站。

現今DDoS包括網際網路線路阻塞、網路設備及伺服器癱瘓,以及重要應用服務的攻擊。

其他趨勢包括DNS躍居攻擊DDoS的新興目標,物聯網裝置被用於DDoS攻擊,以及針對重要服務的應用層攻擊。去年10月美國DNS服務商Dyn遭到大規模DDoS攻擊,今年2月底美國一所大學也遭到來自包含路燈、自動販賣機、網路監視器及攝影機等DDoS攻擊,兩者都是Mirai殭屍網路入侵物聯網裝置發出的巨大流量攻擊的受害者。前者的DNS伺服器在史上最大DDoS攻擊流量中被癱患,後者則呈現新式DDoS攻擊轉變為小流量應用層、以及每次攻擊短暫,但長時間的攻擊趨勢。它的攻擊流量為每秒3萬次呼叫,一共持續了54小時。

從這些例子可以看到,現在DDoS影響範圍廣泛,可能造成網路頻寬阻塞、或是防火牆等網路設備,以及重要伺服器的癱患,造成名譽及財務上的損失,沒有企業能自外於風險。

Radware提供了多層次的防禦陣容,包括作為第一道防線的的DefensePro攻擊緩解設備、第2層的雲端清洗服務可過濾2TB流量、能進行SSL流量加解密的應用傳遞控制器(ADC)設備、及Web應用防火牆(WAF),此外還提供管理報表及緊急回應服務。DefensePro設備一台即能擋下400GB DDoS流量,搭載專用CPU能進行複雜運算提供行為分析。

Radware安全解決方案元件

黃柏森表示,和只以流量為過濾閥值的競爭產品不同,DefensePro除了能偵測並緩解流量衝擊外,還會分析流量的TCP Flag分佈判斷其合法性,專利技術使其18秒之內即可產生攻擊特徵碼,了解是否為惡意攻擊者、來源何處、採用何種攻擊手法。複合式參數特徵碼的智慧資料攔截技術可避免一般攔截IP位址作法誤判、擋掉合法流量的機會。它還具備彈性的入侵防禦(IPS)功能,可部署於小從200MB大到160GB的環境,適合不同等級的企業客戶。透過多層次防護的建構,Radware可協助企業免於為了DDoS防禦而必須投資大型設備。

DDoS已是資安人員無法迴避的網路威脅型態,了解駭客攻擊手法、部署資安防禦設備,並配合平日的防護演練,企業才能在DDoS攻擊當道的時代全身而退。

 

達友:盤點2017年到18年資安人員最大痛點

今年內資安面臨各種挑戰,從後門程式、勒贖軟體、DDoS、進階精準威脅再到無檔案攻擊,再再足以讓網站服務掛點或是客戶資料外洩,而且往往波及數國及數百萬台PC,資安人員無不繃緊神經。達友科技副總經理林皇興盤點了2017年到18年資安人員最大痛點,並勾勒出達友科技提供的防護解決方案地圖。

達友科技副總經理林皇興

達友科技認為,今、明兩年進階精準攻擊(APT)、資料外洩、勒贖軟體、電子郵件安全、分散式阻斷攻擊(DDoS)及法規遵循是企業不得不面對的6大挑戰。為了協助客戶有效因應這些挑戰,達友科技也分別引進業界最強大的安全解決方案,以適合各種規模企業的需求。

APT攻擊面甚廣,駭客可能冒充使用者的親友或同事,從WeChat、Line傳送惡意連結,害使用者連到惡意網站,以致被掛馬攻擊或下載不明軟體,或是以電子郵件傳送、並誘使使用者開啟假冒的發票文件,因而遭植入後門程式使PC安全門戶大開,小則竄改本機設定,大則與外部C&C伺服器建立連結,令駭客以PC為跳板入侵內部網路、取得關鍵系統存取權或竊取系統上的重要資料。為了建構APT縱深防禦,達友科技引進ForcePoint的次世代防火牆確保網路閘道,以其電子郵件閘道方案確保郵件安全。而惡意程式快速演進,像是無檔案攻擊及勒贖軟體,令傳統防毒產品相形失效,因此在端點安全上,則主打Carbon Black的次世代防毒方案,運用其智慧鑑識技術進行檔案行為分析,抓到光是傳統防毒產品特徵比對無法偵測到的惡意程式並加以攔截、封鎖。

從上網閘道、電子郵件及端點三方面著手,建構APT的縱深防禦策略

內部員工已被證明是導致企業資料外洩的重要環節。內部員工可能是基於有意或無心過失,致使公司客戶資料或商業機密外流。機敏資料要竊取成功,需三個條件滿足:攻擊者/使用者、可解出的資料、以及將資料外傳攜出的行動;只要任何一個要素防禦成功,資料竊取就無法完成。為防止資料被解密,可運用BlackBerry Workspace及Sophps SafeGuard提供的版權管理(DRM)、文件加密及全硬碟加密。為不讓資料被攜出公司系統,可利用ForcePoint DLP實施內容偵測、存取控管、加密及軌跡紀錄,也可藉由ForcePoint CASB及Sophos XG Firewall限制使用上網或不必要的app,像是不許使用IM、Dropbox、Web Mail或VPN軟體及串流等。要更快速糾出犯罪的內部使用者,則可部署ForcePoint的UEBA及DLP產品,辨識出高風險員工,並以特權身份管理(Privileged Access Management)避免不當存取重要系統。

資料竊取三要素,任何一個要求防禦成功,資料竊取就無法完成。

外部駭客則會以勒贖軟體或是打掛DNS服務達到獲利的目的。因應勒贖軟體加密重要檔案要求支付比特幣的事件愈來愈頻繁,達友引進Carbon Black的端點安全產品,包括智慧化次世代防毒、鑑識/事件處置及威脅獵捕,以及應用程式控管/白名單產品線,降低勒贖軟體在員工電腦或手機內作怪的可能性。

近年來假冒DNS主機、DNS快取污染及綁架流量等手法層出不窮,免費DNS的效益已經蕩然無存,Infoblox可協助企業防範新型態的DNS 攻擊。最後,當兩國駭客發動網路大戰,或是駭客炫耀能力時,往往會發動DDoS攻擊,癱患政府、電廠或銀行伺服器系統,Radware的多層次的防禦陣容,為企業擋下巨大流量衝擊,並能快速完成攻擊分析,協助企業快速掌握敵情採取對策。

透過這些頂尖解決方案的引入,達友科技將可協助企業能在快速多變的資安挑戰下長治久安。

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416