編輯部本文目錄
勤業眾信:抛棄產品導向思維,建構全面性企業資安防禦策略才是上策
在企業面臨轉型挑戰,以及網路威脅日愈多樣化的今天,資安防線已從從自家門口向外延伸,從買產品救火到提升掌握情報、做好企業內部控制,早一步致敵機先。
勤業眾信 (Deloitte) 事務所執行副總經理林彥良首先指出,新興科技出現、消費者需求及監管壓力的增加,促使資訊服務快速進化。例如 GPU 業者轉型發展人工智慧 (AI),現在的金融資料分析龍頭最早來自雲端服務,而 Amazon 、 Apple 等 IT 業者開始向數位金融擴張,金融業者也為了轉型,逐步深化 IT 能力。
然後數位轉型的同時,企業面臨形形色色的網路威脅。例如車聯網遭駭入控制煞車或門鎖,駭客入侵連網醫療器材如斷層掃瞄、核磁共振、雷射等以勒索病患資料,比特幣交易商被駭損失近 7800 萬美元,俄羅斯銀行 ATM 遭無檔案惡意程式遙控吐鈔,此外還有內部員工洩密、網路罪犯、競爭對手及國家發動蠕蟲、勒索軟體、分散式阻斷服務 (DDoS) 、社交工程犯罪等攻擊,威脅成倍數增加。
另一方面,攻擊者已發展成更組織化、更專業分工的犯罪集團。例如 2016 年發生孟加拉中央銀行被植入惡意程式、試圖發動轉帳攻擊,差點轉走 10 億美元。經過研究,駭客對金融報表、 SWIFT 網路、轉帳流程等銀行內部作業掌握十分透徹。這顯示駭客不再只是炫耀技術的搗蛋鬼,而是產業、技術、活動流程都有人各司其職的專業犯罪集團。令人擔心的是,美國國安局、中情局的「攻擊軍火庫」遭外洩後,今年 5 月間國安局的攻擊程式就被駭客用以發動 WannaCry,從醫院、政府、到銀行等全球數十萬台 PC 被加密勒贖攻擊。
有研究機構分析,未來一家大型企業平均有 200 名資安人員的需求。然而在成本限制下,很難有企業補到充足人手。因此,在威脅地景的變遷中,資安做得夠完善的企業將能脫穎而出,而沒有做好資安的企業則可能遭淘汰。但是我們需要了解,被動防堵已難以應付現今的網路威脅。
在進階的安全防禦策略下,企業必須提升威脅情資分析能力,了解攻擊本質,包括對手是誰、具備何種能力、攻擊對象、帶來何種影響,並針對「Cyber Kill Chain」各個環節部署防護措施。完整的網路安全關鍵在建構四大核心功能。首先防護眼光應從原有的 IT 資產拉到企業 360 度數位風險的分析能力,根據企業本質、業務特性、地理區以及市場競爭環境,以及未來策略,評估可能風險,並且從管理機制及技術面建構良好控制。接著是合規遵循,利用科技,像機器學習、數據分析等,協助公司符合國家或供應鏈的安控規範,如原廠也開始要求台灣代工廠導入資料存取控制。並透過資訊聯防、跨業合作,掌握外部威脅情資、整合內部管理機制,最後則是參考國際實務設計提升企業對事件應變能力。像是 NIST SP800-61 、 83 或 86 標準,或是 ENISA(歐盟網路暨資訊安全署)標準,訂出緊急應變措施,並定期實施攻防演練。
今天,駭客和企業已然處在攻防的實力競賽中,而唯有以更全面的眼光,建立數位風險分析眼光、強化情資、導入內部控制提升應變能力,並在攻擊到前做好萬全準備。
ForcePoint:以人為本才是企業營業秘密防護的王道
客戶及營運資料外洩一直是所有企業的最大資安隱憂,而過去企業資安預算也大部份投入於防止駭客入侵或外部網路攻擊。事實上,企業內部,即員工引發的資料外洩,才是企業最難防範、傷害最大的資安威脅。
台灣高科技製造業經常面臨中國大陸業者挖角,藉由跳槽員工竊取重要製程或研發資料者的重大威脅,雖然我國有企業營業秘密保護法,然而自 2013 年以來,檢調單位偵辦了 57 件洩密案,僅 27 件起訴,僅 2 件判決成立,根本無法發揮嚇阻效果。這使得營業秘密保護已成企業刻不容緩的需求。
但是,這說來容易做來難的事。 Forcepoint 台灣分公司技術經理陳志遠指出,企業經常是資料外洩防禦 (DLP) 、防火牆、入侵偵測/入侵防禦 (IDS/IDP) 等各種安全產品都安裝了,然而後果反而事件紀錄太多。統計顯示,中大型企業平均使用 70 種以上的資安工具,有的大型企業每天收到來自 SIEM 或 DLP 等資安設備的告警,高達 50 到 100 萬則。此外,一般企業資安往往是由網管人員兼任,他們並沒有分析資安紀錄的專長。形成企業資安設備愈買愈多,然而資料防護愈來愈難,離職員工竊密的情況依然層出不窮。
陳志遠指出,企業資料外洩的環節在「人」。由人導致的資料外洩包括粗心大意的內部員工不遵守公司規定程序,讓外部合作夥伴輕易存取自己的網路共享硬碟;心生不滿準備離職或具犯罪意圖的員工心懷不軌,竊取公司客戶資料或破壞公司系統;又或者是 HR 或財務部門員工不慎開啟以「invoice」為標題的郵件附檔而遭植入木馬程式、甚至勒贖軟體等。
根據 Forrester 一份安全報告,企業過去 12 個月發生的「入侵」案,其實有 39% 是內部人事所為,其中 26% 是出於刻意濫用或惡意存取機密資訊,56% 來自企業內部使用者不慎誤用資料。因此,防止資料外洩關鍵在於透過系統化的分析技術,看穿看似勤奮的員工背後的真實意圖。例如一個平時經常出差,偶而將工作帶回家做的程式設計師,暗中從國外 IP 登入,從檔案伺服器下載大量客戶名單,或是將資料庫內容加以變造,或是平日遠端工作的工程師,突然異常提升系統權限,並經常在下班時間登入系統,進而形成惡意內部威脅。
因此,一個完整的機敏資料防護策略,必須包含資料外洩防禦 (DLP) 及使用者與網路行為分析 (UEBA),形成以人為本的全方位視野。以 DLP 的內容感知技術,辨識高風險的資料傳輸行為,掌握「誰」從「哪裏」,透過「什麼方式」取得「何種」資料。另一方面,Insider Threat 提供的使用者行為稽核分析,自動學習並建立使用者行為基準,辨識潛在的異常行為,以及基於使用者行為的風險分析,同時透過整合多種資料來源,包括使用者行為的詳細紀錄、完整情境、甚至錄影監控,找出高風險使用者。值得一提的是,ForcePoint Insider Threat 的影像處理技術,可以在控制影像儲存負載的前提下,提供事發前一小時錄影,使犯罪行為的蒐證更為完整。
藉由結合 DLP 及使用者及網路行為稽核,有助於企業早一步發現內部員工的異常行為或散漫的使用行為,建構資料防護策略或是阻止犯罪行為的發生,確保企業營業機密的永續安全。
Carbon Black:因應新型態惡意軟體 邁入次世代防毒時代
駭客技術日益演進,近年惡意程式已經進階為前所未有的無檔案 (fileless) 攻擊、勒贖軟體,傳統防毒防護破功,並促使整個產業邁入次世代防毒 (next generation anti-virus) 世代。
5 月初一個周末內讓全球超過 20 萬台 PC 淪陷的 WannaCry 讓人餘悸猶存,事實上,近兩年資安界最重要的事件莫過於勒贖軟體的興起。根據 FBI 報告,2015 年勒贖軟體造成 3.25 億美金的損失,而一年後,這個金額達到 10 億美金。去年,每天平均發生 4,000 起勒贖軟體的攻擊,較過去整整增加 3 倍,過去 12 個月內至少有一半的企業曾遭到這類惡意程式危害。
Carbon Black 亞太資深安全工程師 Bernie Png 並指出,近年網路威脅很重要的共同特徵之一是無檔案 (fileless) 攻擊。事實上,2015 年有 38% 的網路攻擊,是使用無害的 PowerShell 進行散佈。年初已經有多個無檔案惡意程式被發現滲透到全球 40 多家銀行、電信業者及政府機構。這類惡程式是長期潛伏在 RAM 內,進而竊取資料或下載其他惡意程式,由於它並非以檔案的形式存在,因而可躲過防毒軟體的偵測。但有趣的是,眾多防毒軟體在 AV-Test.org 的測試結果上,卻呈現接近 100% 的偵測率。
另有駭客在網釣郵件附上具有惡意巨集的 Word 文件檔,誘騙使用者開啟文件。文件開啟後啟動巨集,執行 PowerShell 代理程式,之後開啟後門,並與外部 C&C 伺服器建立通訊。這種手法也是前所未見的複雜、高明。
Png 解釋,現今的惡意程式運用特殊的組譯器 (compiler),得以繞過特徵比對、反向工程、除錯或沙箱技術的過濾。在網路上流通的 1 億個惡意程式檔,縱使傳統防毒引擎偵測率高達 99%,卻仍然有 100 萬個零時差 (zero-day) 攻擊程式散布。此外,現在還有惡意程式即服務 (malware as a service),供駭客客製化想要的攻擊程式,同時惡意程式也愈來愈高明,能採取多種攻擊策略以適應不同目標環境,像是惡意 URL 、惡意文件附檔及 JavaScript 附檔等。然而傳統防毒軟體採用特徵比對及啟發式演算法 (heuristics) 的檢測方式,此類掃瞄技術特色是「一次判定後,永久放行 (decide once, forget forever)」,已經無法因應變化多端的新式威脅,這顯示傳統防毒軟體已無法有效防堵新式網路攻擊。
次世代防毒採用 TTP (Tactics, Techniques and Procedures) 的防禦策略。簡而言之,是透過檔案與程式行為的分析及關聯比對,辨識出特定惡意程式活動軌跡。 Carbon Black 的 NGAV TTP 分析結合信譽 (reputation) 、行為及攻擊向量三個面向,而且不同於傳統防毒一次性掃瞄,Carbon Black 次世代防毒方案會長時間監控特定程式活動,不論是多層次混淆手法、將惡意程式碼隱藏在可執行檔合法檔案內,或是無檔案惡意軟體利用 Powershell 掩蓋非法行為的攻擊,都能被辨識出來,並於第一時間加以阻擋。而 Carbon Black 雲端深度偵測技術提供行為分析、機器學習、攻擊模型、信譽評分、關係追蹤 (relationship tracking),減輕端點分析的負擔,有助提升端點防護效能及降低誤判率。
有了智慧化次世代防毒配合鑑識/事件處置 (Incident Response) 及應用程式控管/白名單產品線,Carbon Black 得以協助企業建構滴水不漏的端點防護策略。
BlackBerry:支援數位轉型 提供物聯網端到端企業安全防護
物聯網 (Internet of Things, IoT) 時代來臨,應用更多元,生活及商業流程更方便,卻也伴隨著不可避免的安全威脅,BerryBlack 試圖將企業行動安全防護推向物聯網。
BlackBerry 北亞區資深技術方案經理張英偉引用 Ericcson 研究數據指出,到 2020 年全球連網物件總量將由 2016 年的 64 億成長到 208 億,速度高於智慧型手機。他表示,行動裝置及物聯網的普及,推動企業的數位化轉型,然而也讓企業面臨轉型威脅。根據研究,相對於網路設備和伺服器,用戶和端點裝置遭受入侵的比例逐年增高,導致重要資料外洩或系統入侵,是企業安全防護上最薄弱的環節。然而全面斷網並非上策,也是不可能的事,因此如何能在確保企業資訊安全,又維持行動用戶的生產力及良好體驗,就成為企業 IT 人員最重要的課題。
BlackBerry 深受各國商務人士喜愛,除了好用的手機鍵盤之外,絕佳的安全性才是最重要因素。 BlackBerry 軟體平台提供端到端的行動防護,
Black Berry Unified Endpoint Manager 為端點、應用、檔案的統一管理控制台。透過整合 BlackBerry 各項安全產品,BlackBerry UEM 能提供 100% 的安全監控,包括管理行動裝置硬體及應用程式的 MDM 及 MAM,BlackBerry Dynamics 獨家容器技術確保應用安全性,BlackBerry Workspaces 提供數位版權管理 (digital right management, DRM),可完全掌控文控是由誰、何時、在哪、透過何種路徑存取,又傳給了誰,讓企業可安心共享與協同文件檔案,並藉由 BlackBerry Enterprise Identity 做好使用者的存取控管。
在端點設備方面,UEM 支援 iOS 、 Android 、 macOS 、 Windows 或 Blackberry 等作業系統,不論是企業端點設備,不論企業採用何種裝置所有權模式,是自帶設備 (BYOD, Bring Your Own Device) 、公司所有,個人使用 (COPE, Corporate Owned Personally Enabled),還是公司所有,公務使用 (COBO, Corporate Owned, Business Only) 的裝置,都能涵括於 BlackBerry UEM 的安全管理之下。 BlackBerry Secure 則為支援各種物聯網裝置的雲端安全平台,從筆電、智慧型手機到智慧眼鏡、連網汽車、智慧零售到智慧醫療產品,都能獲得防護。
透過 BlackBerry UEM 控制台,IT 部門可輕鬆進行設備、應用及文件管理,包括將應用分配給特定帳號、配置公司設備、管理 BlackBerry Dynamics 容器應用,以及針對文件套用 DRM 政策。它也支援 Microsoft Office 365,因而能針對 Word 、 Excel 、 PowerPoint 套用企業安全規則。 UEM 援引 BlackBerry 在全球網路及資料中心管理的經驗,適合要求嚴苛的環境,具備簡單、集中化、具成本效益等優點,Active-Active 高可用性模型減少硬體需求,實現最大正常運行時間,也提供 SLA 達 99.9% 水準的雲服務。此外也提供 API 允許在 UBM 架構下介接第三方應用,支援未來業務需求。最重要的是,它豐富的策略控制可確保施行 IT 政策,並以儀表格和報表讓 IT 一目瞭然掌握各種端點及應用的安全狀況,協助 IT 監控及符合法規要求。
隨著物聯網時代來臨,憑藉著 BlackBerry 過去在行動企業領域累積的經驗,現今 BlackBerry 提供端到端的行動裝置管理方案,並延伸到物聯網裝置上,讓企業即使在惡意程式及資料竊取威脅層出不窮的今天,也能穩健向數位化轉型。
Sophos:網路與端點聯動的整合性防護策略
網路威脅愈來愈兇險而多樣化,防毒業者要如何與時俱進?Sophos 提出了網路與端點防護同步化的次世代端點防護策略。
Sophos 台灣分公司資深技術經理詹鴻基開宗明義提到企業資安趨勢:威脅攻擊數量及複雜性皆大幅增加。一來,隨著資訊設備從以前單純只有 PC 和 Client/Server,到現在涵括桌機、筆電、手機、平板、實體伺服器、儲存設備、虛擬伺服器、雲端,威脅攻擊面數量指數級增加;二者,從以前的病毒,到現在後門程式、木馬、蠕蟲、零時差攻擊、多型及變型病毒、記憶體駐留病毒,再到網路與端點整合攻擊等,攻擊比防禦更為複雜。
此外,過去以金錢為目的病毒多半鎖定金融、電信、高科技製造等大型企業。然而以去年興起的勒贖軟體來看,無差別化的網路攻擊已變成常態。中小企業面臨安全威脅的機會和大型企業相同,資安也將成為所有企業的優先任務。更可怕的是,現在暗網上還出現一種勒贖軟體即服務 (ransomware as a software),它藉由分潤方式提供代管服務,甚至提供支援 12 種語言的使用者管理介面,用來檢視攻擊與贖金給付狀況,還可以針對不同攻擊對象設定資料贖金金額。任何人,包括不懂電腦的「小屁孩」也可以訂製勒贖軟體,使這種惡意程式為害層面更加擴大。
防範網路威脅,必須從攻擊生命週期加以著手。它會經過偵察潛伏、程式籌載中加入後門程式及攻擊程式、透過電子郵件或網頁掛馬擴散、開採系統軟體漏洞以執行程式碼、以安裝在受害系統中。最後在受害系統上蒐集、變更資料或對檔案加密,再和外部 C&C 主機連線以回傳訊息或更新攻擊指令。
積極的安全防護必須要能有效攔截漏洞,除了 1/10 的已知公開漏洞外,還要儘速修補其他 9/10 的未知漏洞。這些漏洞遍及各種軟體,從早期知名的 Windows 外,近年 Adobe Flash 及 Java 也是程式碼執行攻擊的熱門目標。因此下世代防毒解決方案不再只有特徵比對能力,而是具備攻擊預測、多向式高效防禦、整合防護、中央控管及同步安全能力。
Sophos 的次世代端點防護結合特徵比對、機器學習、信譽稽核及裝置與應用程式控管進行事前防禦,並以記憶體掃瞄、行為偵測、流量偵測達到事中與事後的防禦。此外更加入了網路防護;藉由網頁、電子郵件防護、沙盒、 IPS 、加密流量監測、進階威脅防護及使用者身份驗證等網路週界防護技術,和端點防護方案同時運作。
在 Sophos 保護的環境下,網路與端點間有 Security Heartbeats 技術保持連動,駭客在哪一個環節發動何種攻擊,Sophos 都能察覺、並以 Intercept X 加以攔截與封鎖;任何單一端點遭受勒贖軟體或蠕蟲感染,獨家的端點石牆圍堵 (stonewalling) 技術能立即偵測並加以隔離,防止惡意程式在內部網路散佈、蔓延到其他端點上,也能切斷無線網路感染途徑,無法經由 AP 散佈到行動裝置,同時藉由 Sophos 網路防護,確保核心伺服器及 Web 安全。
透過完整的網路防護與端點安全的整合聯動,才能協助大、中、小企業在勒贖軟體、進階精準攻擊不斷演進的複雜網路攻擊下確保企業長治久安。
Infoblox:萬物皆聯網,危機四處藏 -如何因應新世代的網路快速連接與 DNS 安全
傳統上,防火牆、防毒是企業資安預算的重點,然而近年駭客已經將攻擊目標轉向新領域:域名伺服器 (domain name server, DNS),使受害範圍更擴大。
2016 年 10 月知名 DNS 服務商 Dyn 遭遇了大規模 DDoS 攻擊。駭客利用殭屍網路透過上千 IP 位址發動 DDoS 攻擊,致使大批代管服務包括 Github 、美國有線電視 (CNN) 及信用卡支付公司 VISA 網站無法使用或連線速度大減。 2013 年台灣發生漁船廣大興號遭菲律賓海巡隊槍擊事件,引發兩國網民大戰,相互攻擊對方 DNS 及政府網站。這些事件都說明,DNS 是新一代網路攻擊目標。
Infobox 台灣、香港及澳門區總經理鄭清平說明 DNS 何以成為駭客的新目標。過去 10 台中有 8 台 DNS 使用的是微軟 Windows Server 或 BIND 等免費軟體,然而免費 DNS 設定相當繁瑣,每次部署至少都需要三道程序,包括伺服器、 DNS 及 IPAM 管理介面,70% 沒有自動化 IP 管理機制。如果發現有問題的 DNS 查詢時,還得需要從微軟 Active Directory 及 DHCP 抓取成 Excel 檔案靠人工查詢,相當費時。
雪上加霜的是,網路上 DNS 攻擊工具俯拾皆是,這也讓 DNS 成為駭客攻擊理想目標。
鄭清平並舉例指出使用免費 DNS 可能的安全風險。例如微軟 DNS 為單機平台,無法確保每台都符合資安政策,因為防火牆無法彌補人為的 DNS 設定疏忽,致使駭客得以針對 DNS 主機進行區域轉送 (Zone Transfer) 查詢,取得組織整個網域及伺服器部署資訊,藉此發動攻擊。此外,駭客可能藉由發送經過變造、置入有害程式碼的 IP 位址,造成 DNS 快取污染或中毒,綁架連向該 DNS 的流量到駭客設立的惡意主機上,或是設立假冒 DNS 主機進行中間人攻擊。另一方面可防範 DNS 攻擊的 DNSSEC(DNS Security Extensions) 設立相當複雜,且增加 DNS 伺服器本身的處理負載,也降低企業及服務供應商的意願。根據台灣網路資訊中心 (TWNIC) 的統計,截止 2016 年 6 月,台灣申請 DNSSEC 的數量也只有 166 件,顯示普及度不高。
有鑒於 DNS 為目標的攻擊愈來愈頻繁,政府也開始在安全法規中納入 DNS 檢驗。例如金管會在近日通過的《金融機構辦理電腦系統資訊安全評估辦法》中,即要求檢視網路封包是否有異常的 DNS 查詢,比對是否為惡意 IP 、中繼站或有惡意行為特徵。行政院資通安全管理處也從 2014 年開始針對 DNS 做資安情境演練。
將免費 DNS 升級 Infoblox,具備可視性、簡單操作等好處。首先它可整合微軟 Active Directory,可提供 DNS 完整查詢記錄,包含 IP 、 AD 使用者名稱,防呆機制減少輸入錯誤。而 Infoblox Grid(網格技術) 可以將各種分散部署的伺服器整合到統一的網格中,以網格管理器 (Grid Master) 進行集中管理,簡化管理負擔,連小學老師也能輕易操作。 Grid 備援技術也確保 DNS 服務不中斷。
和手動管理化相較,使用 Infoblox 讓用戶建立新 instance 時減少 3 倍時間,VM 的配置比手動管理減少 72% 及的工夫,而 VM 追蹤更是縮小為的 1/24 。此外,透過即時更新惡意網域名單,更能有效防範用戶端連向駭客網站,並降低 DNS 攻擊及 DDoS 攻擊的風險,給了企業由 Windows DNS/DHCP 或免費 DNS 升級的最好理由。
Radware:DDoS 攻擊的了解及防禦策略建構
分散式阻斷服務 (DDoS) 攻擊是企業長期以來面臨的頭痛問題,然而為了對資安人員而言,必須更進一步了解攻擊者背後動機及攻擊手法的轉變,才能更有效建構防禦策略。
Radware 台灣區技術顧問黃柏森詳細剖析了 DDoS 網路攻擊目的及手法的演變。首先,過去攻擊主要只是網路「小屁孩」們炫技的結果,現在的目的逐漸變成國家及商業競爭下的入侵行動,目的在竊取對方機密及造成損失,也有駭客想藉此宣傳其 DDoS 即服務 (DDoS as a Service) 的威力。但是,排名第一的動機卻是錢;網路勒索為目的 DDoS 在歐洲及亞洲尤其嚴重,例如今年初台灣多家證券商收到勒索信件,威脅支付 7 至 10 元不等的比特幣,否則就會發動 DDoS 攻擊,而且也確有 10 多家券商遭到 800 Mbps 至 2 Gbps 不等的 DDoS 攻擊癱瘓下單網站。
其他趨勢包括 DNS 躍居攻擊 DDoS 的新興目標,物聯網裝置被用於 DDoS 攻擊,以及針對重要服務的應用層攻擊。去年 10 月美國 DNS 服務商 Dyn 遭到大規模 DDoS 攻擊,今年 2 月底美國一所大學也遭到來自包含路燈、自動販賣機、網路監視器及攝影機等 DDoS 攻擊,兩者都是 Mirai 殭屍網路入侵物聯網裝置發出的巨大流量攻擊的受害者。前者的 DNS 伺服器在史上最大 DDoS 攻擊流量中被癱患,後者則呈現新式 DDoS 攻擊轉變為小流量應用層、以及每次攻擊短暫,但長時間的攻擊趨勢。它的攻擊流量為每秒 3 萬次呼叫,一共持續了 54 小時。
從這些例子可以看到,現在 DDoS 影響範圍廣泛,可能造成網路頻寬阻塞、或是防火牆等網路設備,以及重要伺服器的癱患,造成名譽及財務上的損失,沒有企業能自外於風險。
Radware 提供了多層次的防禦陣容,包括作為第一道防線的的 DefensePro 攻擊緩解設備、第 2 層的雲端清洗服務可過濾 2TB 流量、能進行 SSL 流量加解密的應用傳遞控制器 (ADC) 設備、及 Web 應用防火牆 (WAF),此外還提供管理報表及緊急回應服務。 DefensePro 設備一台即能擋下 400GB DDoS 流量,搭載專用 CPU 能進行複雜運算提供行為分析。
黃柏森表示,和只以流量為過濾閥值的競爭產品不同,DefensePro 除了能偵測並緩解流量衝擊外,還會分析流量的 TCP Flag 分佈判斷其合法性,專利技術使其 18 秒之內即可產生攻擊特徵碼,了解是否為惡意攻擊者、來源何處、採用何種攻擊手法。複合式參數特徵碼的智慧資料攔截技術可避免一般攔截 IP 位址作法誤判、擋掉合法流量的機會。它還具備彈性的入侵防禦 (IPS) 功能,可部署於小從 200MB 大到 160GB 的環境,適合不同等級的企業客戶。透過多層次防護的建構,Radware 可協助企業免於為了 DDoS 防禦而必須投資大型設備。
DDoS 已是資安人員無法迴避的網路威脅型態,了解駭客攻擊手法、部署資安防禦設備,並配合平日的防護演練,企業才能在 DDoS 攻擊當道的時代全身而退。
達友:盤點 2017 年到 18 年資安人員最大痛點
今年內資安面臨各種挑戰,從後門程式、勒贖軟體、 DDoS 、進階精準威脅再到無檔案攻擊,再再足以讓網站服務掛點或是客戶資料外洩,而且往往波及數國及數百萬台 PC,資安人員無不繃緊神經。達友科技副總經理林皇興盤點了 2017 年到 18 年資安人員最大痛點,並勾勒出達友科技提供的防護解決方案地圖。
達友科技認為,今、明兩年進階精準攻擊 (APT) 、資料外洩、勒贖軟體、電子郵件安全、分散式阻斷攻擊 (DDoS) 及法規遵循是企業不得不面對的 6 大挑戰。為了協助客戶有效因應這些挑戰,達友科技也分別引進業界最強大的安全解決方案,以適合各種規模企業的需求。
APT 攻擊面甚廣,駭客可能冒充使用者的親友或同事,從 WeChat 、 Line 傳送惡意連結,害使用者連到惡意網站,以致被掛馬攻擊或下載不明軟體,或是以電子郵件傳送、並誘使使用者開啟假冒的發票文件,因而遭植入後門程式使 PC 安全門戶大開,小則竄改本機設定,大則與外部 C&C 伺服器建立連結,令駭客以 PC 為跳板入侵內部網路、取得關鍵系統存取權或竊取系統上的重要資料。為了建構 APT 縱深防禦,達友科技引進 ForcePoint 的次世代防火牆確保網路閘道,以其電子郵件閘道方案確保郵件安全。而惡意程式快速演進,像是無檔案攻擊及勒贖軟體,令傳統防毒產品相形失效,因此在端點安全上,則主打 Carbon Black 的次世代防毒方案,運用其智慧鑑識技術進行檔案行為分析,抓到光是傳統防毒產品特徵比對無法偵測到的惡意程式並加以攔截、封鎖。
內部員工已被證明是導致企業資料外洩的重要環節。內部員工可能是基於有意或無心過失,致使公司客戶資料或商業機密外流。機敏資料要竊取成功,需三個條件滿足:攻擊者/使用者、可解出的資料、以及將資料外傳攜出的行動;只要任何一個要素防禦成功,資料竊取就無法完成。為防止資料被解密,可運用 BlackBerry Workspace 及 Sophps SafeGuard 提供的版權管理 (DRM) 、文件加密及全硬碟加密。為不讓資料被攜出公司系統,可利用 ForcePoint DLP 實施內容偵測、存取控管、加密及軌跡紀錄,也可藉由 ForcePoint CASB 及 Sophos XG Firewall 限制使用上網或不必要的 app,像是不許使用 IM 、 Dropbox 、 Web Mail 或 VPN 軟體及串流等。要更快速糾出犯罪的內部使用者,則可部署 ForcePoint 的 UEBA 及 DLP 產品,辨識出高風險員工,並以特權身份管理 (Privileged Access Management) 避免不當存取重要系統。
外部駭客則會以勒贖軟體或是打掛 DNS 服務達到獲利的目的。因應勒贖軟體加密重要檔案要求支付比特幣的事件愈來愈頻繁,達友引進 Carbon Black 的端點安全產品,包括智慧化次世代防毒、鑑識/事件處置及威脅獵捕,以及應用程式控管/白名單產品線,降低勒贖軟體在員工電腦或手機內作怪的可能性。
近年來假冒 DNS 主機、 DNS 快取污染及綁架流量等手法層出不窮,免費 DNS 的效益已經蕩然無存,Infoblox 可協助企業防範新型態的 DNS 攻擊。最後,當兩國駭客發動網路大戰,或是駭客炫耀能力時,往往會發動 DDoS 攻擊,癱患政府、電廠或銀行伺服器系統,Radware 的多層次的防禦陣容,為企業擋下巨大流量衝擊,並能快速完成攻擊分析,協助企業快速掌握敵情採取對策。
透過這些頂尖解決方案的引入,達友科技將可協助企業能在快速多變的資安挑戰下長治久安。