Identity Services Engine Fortinet FortiGate ShareTech NG-UTM Cisco Firepower Stealthwatch SecuReporter Zyxel USG NetFlow NGFW UTM IDC 合勤 眾至

威脅意識帶動資安預算 NGFW/UTM市場火熱

2017-08-02
全球各地近年來接二連三發生大規模網路攻擊事故,不僅是電影場景才會出現的關鍵資訊基礎建設(Critical Information Infrastructure,CII)被駭客入侵後切斷供應,還包含監控攝影機被滲透控制發出Tb級超高網路流量的癱瘓式攻擊,以及幾個月前在全球擴散的WannaCry勒索軟體等,每起事故皆創下新記錄,也使得現代企業IT規模無論大或小,皆不得不正視資安威脅議題。

從市場面來看,根據IDC最新公布的資安設備追蹤季報統計,今年(2017)第一季的台灣資訊安全設備整體市場規模為1,620萬美元(約台幣5.5億元),較去年同期成長5.5%。IDC台灣資深市場分析師連顥尹觀察,從2016年第一季到2017年,台灣整個資安市場呈現明顯且持續的平穩成長。也就是,自2015年企業或組織感受到攻擊量增加後,開始著手編列預算添購或替換更先進的防禦機制,在2016年開始發酵,並且持續至今。

「其實就整體IT市場的營收數字來看,硬體設備大約只有3%左右的成長,資安能夠增長達5.5%,事實上已是優於其他領域;此外,IT專案的推動大多是下半年才會啟動,然而今年才第一季就比去年同期有5.5%的成長率,由此可發現企業對於資安投入的程度,正隨著攻擊威脅增長而明顯提高。」連顥尹說。

如今企業或組織在擬定IT預算時,資安已不再只是可有可無的項目,畢竟國內外資安攻擊事件頻傳,企業主或組織單位也唯恐遭受波及。即使未必會立即增添更多先進型態的資安設備,但對於網路閘道安全架構中最基礎的次世代防火牆(NGFW)/統一威脅管理(UTM),也勢必不會忽略。連以往較欠缺資安意識的中小企業,經過勒索軟體襲擊後,投資建置保護措施的意願都隨之提升,首要關注的焦點即是NGFW/UTM設備。

網路安全邊界模糊防禦體系備受挑戰

▲IDC台灣資深市場分析師連顥尹觀察,IT預算與專業人力皆欠缺的中小企業,主要由電信業者提供資安服務;大型企業採購能力較強,可取得較多技術供應商的支援,協助掌握資安事件全貌,杜絕問題重複發生。
翻開網路安全防禦的演進史,Fortinet台灣區技術顧問賴長生觀察,初期發展的資安防禦以防火牆為基礎,主要是在IP層的保護措施。自2005年出現IDS/IPS機制後,內容辨識與保護受到企業認同,解決方案技術也開始全面從Layer 4進化到Layer 7,但當時的入侵偵測系統(IPS)、URL過濾等機制,皆為獨立建置的產品。直到2009年,軟體與硬體開發能力較為成熟後,原本各自為政的功能,開始被整合到單一設備,並且更偏重於應用層管控,自此被重新定義為NGFW或UTM。

當時業者對於NGFW與UTM的市場分野,大多以設備吞吐量來區分,因此以往有「NGFW適用於大規模IT環境、中小企業則主要採用UTM」的說法。如今在處理器運算效能、防禦技術功能逐年發展下,實際上,兩者的效益差距已相去不遠。

隨著近年來資安威脅型態開始轉變為勒索,Fortinet在2016年底曾預估,2017年勒索軟體將會進入規模經濟,變成犯罪組織主要獲利管道。果不其然,今年五月首次出現WannaCry,利用蠕蟲特性在全球150個國家散布,資安專家透過追蹤攻擊者提供支付比特幣贖金的位址(錢包)統計,大約有十多萬美元的進帳;緊接著六月份,韓國的Nayana主機代管業者遭勒索軟體Erebus襲擊,多達400台的主機遭到加密,為了解密其中153台關鍵系統而支付了大約100萬美元的贖金(約3,400萬台幣)。相較於無差別攻擊的WannaCry,運用APT(進階持續性威脅)手法發動的勒索攻擊獲利更豐厚,恐將成為主流的威脅。

賴長生認為,其實WannaCry出現後已顛覆大眾對於勒索軟體的認知,以往認為電腦的檔案會被加密勒索,主因是使用者個人行為不當、欠缺資安意識所導致,然而現今的勒索軟體已轉變,只要滲透內網中一台電腦,即可自動化的方式進行橫向擴散、大規模感染。

面對攻擊手法的轉變,現代資安防禦措施勢必須持續跟進,加強對內網擴散感染的防護能力。此外,隨著雲端服務、行動化應用盛行,使得網路邊界逐漸模糊,攻擊入侵管道變得較以往更多元,過去主要部署建置於核心網路層的資安機制,正逐漸擴展推向匯聚層與存取層,以便偵測已知與未知型攻擊。

整合資訊分析異常觸發政策指令處置

整體網路安全發展的方向,已開始隨著威脅型態轉變而進化,並整合不同領域的技術,不僅只是強化偵測力,同時亦藉由Log蒐集與分析的能力,提升存取行為的可視性,以便在事故發生當下,立即觸發政策執行處置,以降低可能造成的災害。


▲ 根據IDC最新公布的資安設備追蹤季報統計,2017年第一季的台灣資訊安全設備整體市場規模為16.2百萬美金,較去年同期成長5.5%,其中占比最高的仍是整合式威脅管理(UTM)。(資料來源:IDC 2017Q1 WW Quarterly Security Appliance Tracker)

以Cisco Firepower為例,可搭配Stealthwatch搜集NetFlow資料,運行網路行為模式分析與偵測,並且讓交換器與Firepower協同工作,以避免外部攻擊滲透入侵或內部惡意竊取資料的行為,防範各種未知型威脅。思科台灣技術長馮志良說明,畢竟現今滲透入侵手法相當多,勢必會設法繞過資安偵測機制,讓NGFW無法立即判定究竟是善意或惡意。如此情況下,搭配網路行為模式分析,透過搜集取得NetFlow資料,傳送到大數據分析平台解析行為模式,只要風險值超過基準線,立即觸發告警。同時透過ISE(Identity Services Engine)作為政策管理中心,主動通知交換器、Firepower或思科應用中心基礎架構(ACI),執行處置的命令。

資安防禦運用大數據分析,搭配機器學習技術來強化威脅偵測、蒐集、分析、回應,已是主流發展方向。合勤科技台灣暨香港營運總部資深經理薄榮鋼即指出,預計第三季將推出的SecuReporter解決方案,不僅蒐集網路上Flow、Syslog、SNMP的資料,亦可透過合勤自主開發的端點代理程式取得Log檔案,建立端到端的行為資訊,發現異常行為時,可利用網路節點設備執行入侵鎖定,或透過端點的Policy Maker阻斷執行程序或封鎖電腦,即時回應資安事件,有效降低損害。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!