Identity Services Engine Fortinet FortiGate ShareTech NG-UTM Cisco Firepower Stealthwatch SecuReporter SecuManager Zyxel USG Cloud CNM NetFlow NGFW UTM IDC 合勤 眾至

基於大數據分析威脅 觸發執行攔阻指令

2017-08-01
資訊科技正在改變企業營運形態,同時也帶來不同層次的資安威脅。近年來重大資安事件接連發生,合勤科技台灣暨香港營運總部資深經理薄榮鋼以去年台灣發生轟動全球的銀行盜領案舉例,駭客組織利用進階持續性攻擊(APT)手法,先透過釣魚網站散佈病毒,讓使用者連線下載進行滲透,藉此搜集弱點、通信、帳密等資料,並且深入分析研究,針對性地設計攻擊手法,有效牟取非法利益。

所幸案發後警方立即組成專案小組追查Log資料,雖然犯罪者已刪除活動軌跡,仍舊從中找到線索,還原整起攻擊活動。

「另外是新變種勒索軟體接連出現,最新的Petya改良版,剛開始出現時以獲利為目的,沒想到最新研究發布,其實是為了破壞,摧毀終端的硬碟檔案,例如烏克蘭車諾比核災遺址的監控系統就遭摧毀,只好改由人力來執行。」薄榮鋼說。

這幾年攻擊行為持續演變,進階持續攻擊手法已是主流模式,大致可包含攻擊、控制、擴散三個主要階段。前述提及的第一銀行、烏克蘭車諾比資安事故,攻擊者需要長期潛伏,探索應用服務邏輯、內部網路架構等資訊,才足以釀成如此重大的威脅事件。

區域聯防策略限縮攻擊活動範圍

如今的資安防禦趨勢發展已開始隨著威脅型態轉變而進化。薄榮鋼觀察,傳統網路的「核心、匯聚、接取」三層式架構,資安防禦的重點主要建立在核心層閘道端,問題是,接取層的應用在行動化、連網裝置普及後,惡意程式可能不須經過閘道端,任何接取網路的設備皆可成為突破口,迅速地發生擴散感染,防火牆技術能力再強也無從發揮。


▲合勤科技網路安全防護系列旗下提供管理與報告的產品為Cloud CNM,目前已有SecuManager,九月份會再推出SecuReporter,具備大數據分析能力,執行完成後的結果會傳送到端點Policy Maker,或是觸發端點代理程式、防火牆的執行指令,達到連動效果。

因此本土擁有自主研發能力的合勤科技,開始基於SPI防火牆,不斷強化政策控管設定、防禦功能,成為UTM(整合式威脅管理)平台,提供防毒、防垃圾郵件、網頁內容與URL過濾、入侵偵測防禦等機制,甚至預計明年推出整合式進接威脅防禦(ATP)解決方案,以中小企業負擔得起的沙箱技術,協助對抗進階持續攻擊。同時還可搭配網路環境中的防火牆、交換器、無線網路控制器等設備來執行攔阻,共同抵禦惡意程式的襲擊。

他舉例,UTM功能除了建立在邊界防禦,也可整合核心交換器,讓內部不同的VLAN藉此過濾與偵測;亦可利用無線基地台上提供的Layer 2隔離機制。如此設計的主要用意,即在於建立區域聯防,利用網路中各個節點設備來執行把關,阻斷攻擊事件,把資安問題限縮於最小範圍之內。

中小企業適用的ATP解決方案

▲合勤科技台灣暨香港營運總部資深經理薄榮鋼認為,大數據分析可說是統計的延伸,更進階則是結合人工智慧與機器學習演算法,從龐大資料量中找到有價值或異常之處,正適合協助簡化網管繁瑣的工作,藉此制定精準的處理機制。
「正在研發中的ATP系列,則會同時具備UTM與沙箱技術。經UTM檢查過濾後認為有問題的檔案,可直接交由沙箱運行模擬分析,並且對該檔案先予以放行,同時會記錄檔案遞送的路徑,而非UTM無法判定後就把責任全權交給終端把關。」薄榮鋼說。

但是如前述提及,存取行為不見得都會經過閘道端的UTM,因此,合勤科技除了研發ATP系列,同時也將於第三季推出SecuReporter大數據分析平台,設計搭配端點代理程式,當檔案被放行後遞送到終端電腦,會主動偵測該檔案是否出現異常行為,一旦發現,立刻通報SecuReporter執行分析,並透過Policy Maker設定觸發執行指令,阻斷執行程序或封鎖電腦,即時回應資安事件。

薄榮鋼強調,在資安領域中,ATP解決方案幾乎已是廠商必備的產品線之一,合勤科技如今積極跟進,所設計的解決方案,勢必會具備更先進的防禦力,例如結合端點代理程式與Policy Maker,成為完整的解決方案。當Policy Maker檢查到端點作業系統未更新至最新版本的修補程式,會主動導向強迫更新的網頁,除非符合政策要求,否則無法正常連線存取。

「當然,端點安全廠商已陸續補強閘道端的能力,但據我所知,大多著重於高階市場,中小企業可能無力負擔。而合勤科技的ATP解決方案,可說專為中小企業設計,讓沙箱技術輔助更多不同應用環境提高偵測。」

善用網路標準功能攔阻病毒擴散感染

合勤科技整合自家防火牆、交換器、無線網路技術,以One Network為核心,讓設備之間得以彼此辨識與查找,同時內部網路可透過單一控管平台ZON Utility,以降低大量部署的設定程序,協助維運釐清問題根源。IT管理者只要點選拓樸圖上的圖示,甚至可連線登入查看無線基地台設備資訊與狀態。 除了內網環境的統一控管以外,針對分散式的網路架構,則可藉由內網建置雲端網路代理(CNA)設備介接,讓IT管理者登入公有雲平台上的CNC(Cloud Network Center)操作介面,亦可統一管理各個據點的重要設備。

在交換器方面,合勤自主開發的ZyNOS平台,可建立第一層把關,提高入侵障礙。基於標準的802.1X進行接入認證,若非為公司允許的裝置,即可逕行攔阻,並且讓允許接入的裝置,依據權限設定存取內部資源。甚至可透過入侵鎖定機制,也就是MAC與IP對應表,綁定連接埠,防止惡意修改IP與MAC的存取行為。至於無線基地台,則是透過Layer 2隔離與Intra-BSS來執行,運用網管既有的功能,縮小惡意程式感染的影響範圍。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!