2019創泓資安解決方案日:登入驗證、流量監控、存取控制、漏洞管理等一應俱全

「土耳其油管爆炸、烏克蘭大停電、舊金山地鐵大混亂、伊朗核電廠啟動延誤…」這些是公安事件嗎?是!是人為疏失嗎?是!但背後更深層的因素是上述關鍵基礎設施的工控自動化系統遭受駭客與病毒攻擊,新聞上看似單純公安事件,但其實是資安事件,資安威脅正在升級,並從辦公室、資訊機房向外延伸,到達廠房與公眾領域。

或許駭客熟讀與奉行孫子兵法中的「出其不意、攻其不備」,使其攻擊手法更為靈活刁鑽,例如從短暫隨機攻擊轉變成長期針對攻擊;從破壞竊取資料變成加密資料以勒索贖金;從破壞系統變成偷耗系統資源以利加密貨幣挖礦。

由上述可知資安防範貴在周全,單打獨鬥已不管用,必須打群架才有成功抵禦的可能。為此資安專業代理商創泓科技特於2019年8月29日舉辦「復仇者集結!全面防護惡意攻擊」研討會。會中邀集各方先進資安軟硬體業者與會,期讓企業實現全面防護,防範阻絕惡意攻擊。

Tenable:風險管理-找出最重要的攻擊點

企業的資安弱點正在增加,過往僅需要看管伺服器、個人電腦,而今愈來愈多系統使用AWS公有雲、愈來愈多人使用GMail收發信件,弱點不再侷限於企業內,另外新興的運用如容器、物聯網亦可能是弱點所在。

Tenable技術顧問李元勛

弱點確實持續增加亦有量化例證,2016年弱點不到1萬個,約僅9,837個,2017年便暴增至15,038個,2018年則到16,500個,更令人擔心的是已知的弱點只是浮出的冰山,冰山下的冰塊原比冰山更大。弱點除了暴增外另一個重點是弱點的風險評級方式也在改變,過去以CVSSv2評斷的弱點可能為中度威脅,至CVSSv3可能轉為高度。

如果企業不檢視弱點,則容易被刻板印象給誤導,Tenable技術顧問李元勛以大眾均會接觸的瀏覽器為例,一般認為IE會是最多弱點的瀏覽器,或是最多人使用的Chrome,然實際上卻是偏少使用者的Firefox,佔嚴重弱點的53%。其他常見的弱點也包含Microsoft Office、Oracle Java、Adobe Flash、Adobe PDF等。

實際上卻是偏少使用者的Firefox,佔嚴重弱點的53%

在察覺弱點後企業又當如何管理弱點?如果檢視過每季弱掃(弱點掃瞄)報告可以發現,超過60台主機的報告即有3,000多行、210頁以上的內容要檢視,資管人員已難以消化負荷,須有軟體輔助管理才行。

而透過軟體管理弱點主要有三個著眼,一是重大弱點管理、二是弱點修補預測,三是分權管理。在重大弱點處理上須經過四到流程處理,包含重大弱點公佈、找出符合資產、針對特定弱點檢測,以及弱點修補,以Tenable為例即提供企業資訊資產分析與管理,或在整體資訊環境中針對單一特定弱點進行快速搜尋檢測。

在弱點修補預測上,Tenable提供弱點分級(0-10分),企業可依據弱點分數決定修補優先順序,且Tenable的分級為預測性、動態性,以獨有的Predictive Prioritization分析模型方式建立。一旦採行預測性優先權機制企業將能以自動化方式管理弱點,提高作業效率。

一旦採行預測性優先權機制企業將能以自動化方式管理弱點,提高作業效率。

進一步的,弱點優先權評級(Vulnerability Priority Rating, VPR)再加上資產重要性評級(Asset Criticality Rating, ACR),企業可針對最重要的資產與最嚴重的弱點優先施行防護,把關鍵心力資源集中在最重要的3%威脅上。

最後為分權管理,Tenable SecurityCenter支援企業各種分權管理,由資安最高管理者執行全面弱掃機隔,而後授權給下轄系統管理員統管其所屬的系統資產,對其進行檢視與修補,並持續追蹤管理各弱點。歸結而言弱點管理為四階段循環流程,包含弱點發現、評估、分析,修正,落實弱點管理將可大幅降低企業的資安風險。

以Verodin主動檢測安全漏洞與鞏固聯防部署

企業買了防毒、防火牆並且都安裝起來後,當如何知道自己的資安防護力是否增強了?是否周全了?一般而言是透過BAS(Breach and Attack Simulation)進行檢測,然而2013年成立的Verodin所提供的方案是超越BAS的,Verodin的防護儀器平台(Security Instrumentation Platform)不僅滿足BAS本有的偵測、監督測試功能,還能與SIEM雙向整合,並對資安沙盤推演的成功與否進行評量。

FireEye技術顧問洪文輝

Verodin也整合企業資安基礎建設中的多種工具,使平台不僅能提供防範能力的評估,也能測試資安偵測、回應的能力,FireEye技術顧問洪文輝說明。Verodin的卓越表現使其被Gartner評選為2019年4家最酷業者之一,也因此FireEye於2019年5月購併Verodin。

為何要評量防護?因為各種資安產品的防護能力均立基於某些假設,如果沒有人確認這些假設或認定不一致,如此即便花了錢購買、花了心力佈建依然得不到應有的防護效果。

Verodin Director可透過應用程式介面(API)與企業已佈署的各類型資安產品(如DLP、EDR、NGFW等)進行連動

洪文輝進一步解釋Verodin的元件,Verodin Director可透過應用程式介面(API)與企業已佈署的各類型資安產品(如DLP、EDR、NGFW等)進行連動,於統一平台上觀看數據;Verodin Actor則在模擬攻擊,透過攻擊素材檢視防護是否生效?是否有缺漏點;Protected Theater(PT)則是在一個隔離的網路環境中放置一個企業的黃金映像檔(Gold Image),映像檔已安裝好端點防護功能,而後PT對其施展網侵與惡意程式感染,以此觀察與評量防護是否起作用;Email Theater則在測試信件相關防護是否可靠?

有了初步防護檢定後再以AEDA(Advanced Environmental Drift Analysis)進行持續監督,另外也必須推動持續性的防護強化流程,首先是檢視資安相關動作與事件,而後微調Verodin中的防護技術定義,進而解決資安疊層中的問題,以此程序循環運作。另外有些資安防護並非沒有防護力而是未妥善設定,透過Verodin也能加以掌握並進行改善。

Verodin也支援MITRE ATT&CK威脅模型

更重要的是,Verodin也支援MITRE ATT&CK威脅模型,企業購買的資安防護方案在模型中的哪些區塊起效用、哪些不起效用均可檢視出。

最後資安整體防護必須回應企業主的期望,高層經常詢問資安長:我們是否已優先保護最重要的數位資產,是否有妥善配置資安預算?其他公司發生的資安事件會否發生在我們身上?這些唯有導入Verodin才容易給出具體明確的回應。

A10突破資安盲點,掌握加密流量完整可視性

根據Google的統計目前全球已有61%的網路流量採SSL加密,且不幸的是網路上有將近一半(45%)也是以SSL加密方式施展攻擊。也就是說,加密雖然加強了我們的隱密性,卻同時隱密了駭客的攻擊,若不能查驗加密的內容,我們就無法防止資安危害。A10 Networks技術經理陳玉軍道出今日資安防護的一大挑戰。

A10 Networks技術經理陳玉軍

如果無法知道進出企業的加密內容,那麼企業購置的資安設備,如防火牆、入侵偵測防護等,其效用將大打折扣,只能解析剩餘未採行SSL加密的39%流量。

若不能查驗加密的內容,我們就無法防止資安危害。

雖然有業者標榜其資安設備能支援解密檢測,但付出的代價是折損原有的防護執行效能,以NSS Labs的研究為例,不同類型的資安設備在啟用解密功能後,其原有的防護執行效能必然減弱,輕則10%內的折損,重則超過60%,設備防護執行的效能只剩30%左右,同時有傳輸延遲的問題。

SSL Insight方案可以彈性地佈署,不需要變動企業原有網路架設,另也支援ICAP旁通傳遞、VRRP-A的高可用性連接

或許單一部設備的折損不多,但企業內有多種資安設備,每個設備均啟動解密功能,串連起來的結果是效能折扣再折扣,其效能折損度便很明顯。因此,建議企業購置一台專責於SSL解密的設備,由其解密後再將明碼內容交給各防護設備解析內容安全性,最後再重新加密回來,如此不僅增強防護同時也將效能折損降至最低。

另外加密內容中真的帶有惡意威脅嗎?答案是肯定的,加密內容可能藏有接收到惡意信件、不明來源下載的惡意檔案、惡意的遠端操控指令等,這些均需要解密解析以確保安全。此即需要A10的SSL Insight系列解決方案,亦即Thunder系列設備。

有瞭解密設備後,也不表示所有加密流量均要進行解密,例如個人連線至網路銀行即不希望被解密,或者是上網報稅等,這時可以在設備中進行設備,建立Bypass清單,即可讓信任的流量自由通行。

此外SSL Insight方案可以彈性地佈署,不需要變動企業原有網路架設,另也支援ICAP旁通傳遞、VRRP-A的高可用性連接等,而最高階的方案亦整合HSM,將提供企業更高層次的防護。

Check Point的先進AI防護讓惡意程式無所遁形

過去的企業只要防護好個人電腦與伺服器即可,但今日防護邊界正在模糊中,雲端必須防護、手機必須防護,邊界還存在嗎?還是已經無邊界可言了呢?Check Point資安顧問楊松倫描述今日資安管理的挑戰。

Check Point資安顧問楊松倫

資安管理的另一難題是攻擊不斷翻新,Check Point Research研究團隊觀察,1990年代的電腦病毒是第一代資安威脅,2000年Internet普及後開始產生第二代威脅,之後2010年應用程式層面屬於第三代威脅,2015年木馬為第四代,2017年的巨量攻擊可稱為第五代。威脅不斷升高,但多數企業的安全防禦約在第二代與第三代間,或稱為2.8代,難以因應新型態的攻擊。

多數企業的安全防禦約在第二代與第三代間,或稱為2.8代,難以因應新型態的攻擊。

更令人擔心的是,企業在資安管理上也面臨三大難題,包含缺人(55%)、缺產業與技術經驗(52%)、多家資安供應商的整合困難(45%)等。且想見的未來企業要防護的範疇與裝置只會愈來愈多,不會減少。基於此Check Point提出Infinity Total Protection方案,在行動裝置、混合雲、端點設備、邊際網路等位置佈署代理程式,而後以單一安全架構、統合的資安政策施行管理。Infinity Total Protection方案以人年訂閱制方式提供,並已在MITRE ATT&CK框架中達90%的防護覆蓋。

企業資安的另一個頭痛點是愈來愈多設備上網,網路流量甚至是每三年翻倍,隨流量的增加惡意攻擊也增加,防護也日益困難,對此Check Point提出劃世代網路安全架構Maestro,架構具備安全超延展性、符合業務成長與未來需求,以及雲端資料中心級的擴充彈性。Maestro以Hyperscale Orchestrator交換器連接6500/6800/16000/26000系列安全閘道器,為企業帶來高效能的安全防護與備援。

Check Point提出Infinity Total Protection方案,在行動裝置、混合雲、端點設備、邊際網路等位置佈署代理程式,而後以單一安全架構、統合的資安政策施行管理。

楊松倫以國內金融客戶為例做說明,該客戶採行Active/Active配置安全閘道器,並隨業務增長持續加入更多台閘道器設備,只需要數分鐘即可加入原有叢級併合乎整合管理需求。

歸結而言,Maestro提供領先業界的Hyperscale網路安全解決方案與創新架構,架構包含四大特點:快速佈署、易於維運、雲端層級的敏捷性,以及高度效益,期望企業均能自此安全無虞。

YESEE智能分流暨聯合防禦

近年來傳統企業網路架構的問題正逐漸浮現,包含重要服務設備異常導致斷線、不必要的流量導入資安設備造成效能浪費、資安設備串連延遲時間高、舊設備汰換後無法沿用、負載平衡與資安設備無法整合、無全網可視化及聯合防禦行為。

越世實業資深技術顧問暨專案經理廖品昱

面對此企業當對未來網路趨勢有所認知,Internet的全球滲透率持續提高,至2018年已達51%,而在2009年約僅24%,隨流量增加、資安設備增加,企業需要的可視化管理機制。

未來趨勢的發展,等同於為現行傳統架構帶來更多挑戰,如前述的更高可視化需求、更複雜的網路使用、更高的網路可用性、更快的網路異常修復機制、更高的網路設備投報比,以及更彈性的網路架構。

基於上述挑戰YESEE提出了智能分流解決方案,以新一代的網路架構面對今日與未來挑戰,新一代架構揚棄過往資安設備層層串傳接的作法,而是集中接網YESEE的控制器設備。

YESEE提出了智能分流解決方案,以新一代的網路架構面對今日與未來挑戰

透過YESEE的智能分流網路架構,其分流系統亦是一套完整的軟體定義網路控制器(SDN Controller),使企望網路可以獲得更多效益,包含開放、彈性、標準、更容易的功能擴充等。智慧分流架構除了健全企業內網路外,透過外部合作則可實現聯合防禦方案。

智慧分流架構除了健全企業內網路外,透過外部合作則可實現聯合防禦方案。

優異的智慧分流架構於我國亦已有成功案例,在公部門方面已有區網中心、縣市網中心導入採用,且以高可用性(HA)方式重新建構網路,透過兩台智慧分流設備連接入侵偵測、入侵防禦、新一代防火牆等資安設備。企業方面則在半導體業、製造業,以及金融業採用,其中製造業以此實現生產機台間的隔離防護,或是機台與伺服器、辦公室環境間的隔離防護。最後期許企業均能評估與導入新一代的智慧分流架構,讓資安防護事半功倍、高枕無憂。

SecureKi:新世代防駭再進化,零信任多因素防護架構

透過帳號密碼登入驗證,以及定期更新密碼的作法,不僅不夠方便快速,也不夠安全。SecureKi台灣區總監梁格睿表示,無密碼登入已成為新趨勢。近年來盛行的FIDO身份辨識標準不再是傳遞帳號密碼到遠端伺服器上進行驗證,而是透過手機或筆電的指紋辨識、臉部辨識,一旦辨識正確即向遠端伺服器傳遞通過訊息,而不是在伺服器上存一份指紋,在伺服器上比對指紋。

SecureKi台灣區總監梁格睿

SecureKi因應新登入認證時代的來臨提出「零信任多因數防護架構」,以此架構實現四個面向的認證防護,包含用戶端裝置、應用程式、伺服器,以及網路設備等。在用戶端裝置上SecureKi WinBio for Windows可以一次性動態密碼辨識(OTP)、生物辨識,一次性密碼也可離線方式產生換替。SecureKi也支援掌紋靜脈辨識、手指靜脈辨識,目前掌紋靜脈應是最高規的生物辨識,其重複率最低,而靜脈辨識是要檢視血管的,所以砍掌、砍手指試圖通關是不可能的。

SecureKi因應新登入認證時代的來臨提出「零信任多因數防護架構」

在應用程式方面過去多年來已有單簽登入(SSO),但多半必須是新的應用程式以及需要整合AD(Active Domain)才能實現,而SecureKi的方案為智慧型安全ESSO,透過ESSO即便如Windows Server 2003 R2、SQL Server 2000等老舊程式也能實現SSO,且不需修改程式碼或設定就能實現。

在伺服器方面SecureKi提供更強大的控管能力,此稱之為「微細權限管控」,例如即便是不同使用者都用root帳號登入也能加以區別,並在登入後全程追蹤記錄其動作,甚可用遠端桌面即時監控。進一步的SecureKi也做到IP與帳號綁定,或透過6層審議才能通過建立新帳號,或運用黑名單、白名單方式決定登入者可使用、不可使用哪些指令,SecureKi的大客戶如Samsung、LG即有導入。

SecureKi也能防護網路設備,SecureKi的ORISS設備以RADIS認證協定與企業內各種網路、資安設備聯繫

另外SecureKi的方案通過CC EAL2認證,至今僅少數業者能通過;另也支援高可用性架構。最後SecureKi也能防護網路設備,SecureKi的ORISS設備以RADIS認證協定與企業內各種網路、資安設備聯繫,同樣提供多因素防護功效。企業唯有儘快落實多因數防護驗證機制,方能守護助企業資訊系統與服務的大門。

除前述六大主講外,創泓科技亦代理Infoblox、UGuard(崴遠科技)以及SolarWinds。Infoblox主要為控制、管理、最佳化DHCP、DNS等網路服務,面對DDoS威脅轉趨向攻擊DNS伺服器,Infoblox Advanced DNS Protection方案即可發揮因應抵禦作用;UGuard則專長於應用流量管控,其UAC系列設備具備深層封包檢測(Deep Packet Inspection, DPI)技術,並內建應用特徵識別智庫,可強化阻擋、過濾零時差威脅;SolarWinds則提供高效率的資訊技術管理與監控工具,並具備多種資安管理機能,包含日誌與事件、存取權限、組態配置、修補程式等。

無論工具如何強力,最終資安防護仍要回歸到完備、縱深的大原則,期許企業均能通盤考量評估,從而建置與導入周全的資安整體解決方案。

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416