最近更新文章
2017/12/15
2017 紅帽論壇:開源創新 始於個人
2017/12/15
遠傳攜手愛立信全台首演5G 下載飆速27Gbps
2017/12/15
TIBCO 聯手資拓宏宇開發"BankWiz 企業服務整合平台"
2017/12/15
【網管人特刊】2018版企業IT市場年鑑
2017/12/15
日立Vantara新品牌策略 以數據驅動IoT未來
2017/12/15
依應用設定硬體組態 重新定位IT角色
2017/12/14
富士全錄全新六色量產型數位印刷機
2017/12/14
合勤推出全新三頻全覆蓋無線延伸系統
2017/12/14
Fortinet 2018預測報告:將出現高度毀滅性且能自我學習的群集網路攻擊
2017/12/14
凌羣雲端機器人-Ayuda智慧平台 獲頒2017雲端物聯網創新獎冠軍
2017/12/14
APT攻擊災損超乎想像
2017/12/14
遠交近攻助企業跨越門檻 混合雲應用不必再雙主修
2017/12/13
Forcepoint2018預測報告:安全威脅「隱私之戰」即將開打
2017/12/13
Aruba 創下Gartner六項企業存取網路使用案例評比皆冠
2017/12/13
用混合雲翻新應用架構 設備與服務齊頭並進
2017/12/12
威聯通發表「虛擬機工作站」技術白皮書
2017/12/12
由維運者賦予開發者體驗 實踐DevOps有捷徑
2017/12/12
實戰L3 IP Routing VPN 提升跨網段服務品質
2017/12/12
Wi-Fi體驗決定住房意願 飯店力拼網路基礎設施
2017/12/11
多雲資安上路 影子IT有解
2017/12/11
軟體定義儲存也要嚴選 東森得易購導入微軟S2D
2017/12/10
台灣 HITCON CTF 國際資安競賽 韓國隊Cykorkinesis拿下三連霸
將此篇文章跟 Facebook 上的朋友分享將此篇文章跟 Plurk 上的朋友分享將此篇文章跟 Twitter 上的朋友分享列印轉寄
2017/12/5

整合網路連線、用戶行為資訊 建立多雲應用環境安全性

以機器學習為中心 即時保護雲端帳號機密

洪羿漣
持續以併購方式擴展雲端安全能量的思科,主要是以協助企業建構多雲(Multi-cloud)環境為方向,因此安全機制涵蓋範圍除了雲端應用服務以外,亦包含底層的基礎架構服務,皆可監看與控管。
現階段提供三種類型保護方案,連網安全閘道器Umbrella用以保護雲端存取行為;雲端應用服務方面,CASB(雲端存取安全代理)技術來自2016年併購Cloudlock,整合既有CES(Cloud Email Security)服務共同提供;至於公有雲應用環境的網路異常分析平台Stealthwatch,近期再整併了Observable,則可監控公有雲平台Flow資訊進行分析。

思科大中華區資訊安全資深技術顧問林傳凱觀察,在雲端服務剛開始萌芽時期,企業大多傾向建置私有雲,保有自主可控的特性。近年來雲端應用服務開始被廣泛接受之後,自建私有雲的聲浪也因此降低,企業逐漸接受外部公有雲服務,甚至是直接採用雲端應用服務(SaaS),例如Salesforce幾乎可說是全球國際級IT公司的業務管理系統,因此造就企業端環境開始出現多雲應用環境。

API整合防護 杜絕釣魚郵件欺騙

對於雲端應用服務興起後衍生出的影子IT問題,林傳凱認為,這代表IT部門欠缺資安控管最基礎須具備的可視化能力,無從得知員工的操作行為,以至於無法實施偵測與管控。畢竟現階段雲端應用服務供應商的產品設計思維,重點在於功能、操作邏輯與使用者體驗,至於安全性相關問題則須由用戶自行處理。


▲思科Cloudlock服務具備UEBA、DLP引擎、App防火牆,協助控管雲端應用服務資安風險。(資料來源:思科)


問題是,多數用戶通常無法理解雲端應用服務潛在的風險。例如開放授權的OAuth身分驗證標準,允許讓第三方應用存取用戶在網站上存放的私人資源,主流的Office 365、Google G Suite等服務皆已提供。終端用戶可能以公司配發的郵件位址註冊登入常用的雲端應用服務,萬一警覺心不足,點選開啟了釣魚郵件,攻擊者即可取得存取權限,甚互擁有刪除、變更等高權限的能力。

既然多數威脅仍舊是源自於郵件,雲端應用服務的保護當然也必須涵蓋郵件。「以Cloudlock來看,若終端用戶點選了釣魚郵件,被導向到詐騙網頁,此時即可被Umbrella服務發現,觸發Cloudlock執行阻斷,可說是思科基於API建構整合式雲端安全防護的優勢之一。」林傳凱說。

Umbrella主要目的是建立安全的網路存取環境,偏重在保護連線的範疇,比如說,使用者直接開啟瀏覽器連線上網,需要透過DNS解析服務,可透過Umbrella資料庫去偵測連線網址是否有問題。在DNS檢查方面,Umbrella主要具備三種功能,首先是防止終端用戶存取已被植入惡意程式的網站;其次是防止釣魚郵件,假設信件中附加的連結被導向到惡意網站,經由Umbrella比對已蒐集連線DNS服務解析網域所產生的資料,即可發現為惡意;第三種功能是防止中繼站連線,現階段駭客組織經常採用動態網域產生演算法(DGA)來迴避偵測,其實該演算法產生的網址可被逆向解析,Umbrella服務本身即可實作此技術。

UEBA偵測異常 防止資料遭竊取

▲思科大中華區資訊安全資深技術顧問林傳凱指出,運用雲端彼此之間本就具備的API整合運行,可協助威脅防禦達到即時攔阻,並且以控管政策來檢查機敏資料,避免雲端應用環境發生資料外洩。
針對CASB常見的三種部署模式:反向代理、正向代理、API整合,林傳凱說明,「代理服務架構在雲平台,透過API介接眾多的雲端應用服務,讓使用者在存取前須先通過監控與檢查,此即為反向代理;正向代理通常是建置在企業內部,存取連線皆必須回到內部,會是主要的障礙。」

Cloudlock則採取基於API整合的架構,終端用戶不論在任何地點皆可直接存取雲端應用服務。例如訂閱Office 365服務時,會配發一組管理者帳密,在Cloudlock平台上註冊後,即可運用取得該雲端應用服務的所有資訊,建立可視化能力,以分析用戶端操作行為,並設計以圖表方式呈現,讓IT管理者得以有效率地查看。

其中較關鍵的技術,即是內建UEBA(User and Entity Behavior Analytics)機制,採用的是進階機器學習(Advanced Machine Learning)技術來偵測異常。萬一管理者帳密不小心被駭客組織竊取,出現例如同一天在多個不同國家出現活動行為,即可直接判別為異常事件,立即執行處置。

林傳凱進一步說明,通常雲端應用服務需要被保護的重點,主要在於用戶帳密與檔案。檔案的考量點是避免機敏內容外流,因此Cloudlock亦有搭配DLP引擎,可先行依據使用者平均的操作模式建立準則,比如說在相同的群組中,每天存取平均為100MB,突然出現特定使用者大量下載資料,即可判斷有異常;甚至在下載的檔案中包含個人隱私相關資訊,例如身分證、信用卡號等,此類型檔案從雲端下載的動作若未通過申請允許執行,Cloudlock發現時可立即阻斷。

單一平台建立內網與雲平台可視化能力

雲端應用服務風險控管,首要建立可視化能力。過去資安領域只要提及可視化需求時,會直覺聯想到SIEM平台,如今進入到雲端時代,以往的觀念未必可行,因此思科設計以NetFlow方式來實作,只要啟用網路交換器設備已內建的功能即可,並且搭配Stealthwatch雲服務執行網路異常行為分析。

「以往思科多數的解決方案都在處理南北向問題,東西方向的流量較少著墨,早期監看東西向網路行為的做法主要是透過SOC,蒐集所有的日誌予以關聯分析來查看。以APT攻擊模式來看,狙殺鏈活動平均是一百多天的潛伏期,若真實的世界能確實蒐集到所有終端產生的日誌,也不至於潛伏這麼長的時間卻未被發現。」林傳凱說。

對此,思科基於擅長的網路技術設計不同的解決方法,即使攻擊者在終端用戶中植入惡意程式,啟動發作後通常會先執行內網掃描,並嘗試橫向感染,可借助NetFlow記錄所有網路連線傳輸,遞送到Stealthwatch雲服務執行分析,便可及時察覺。除了內網,公有雲服務環境的Flow也可傳送到Stealthwatch雲服務,基於最新收購的Observable技術,以機器學習建立公有雲環境的運行基準,藉此判別異常狀況。

這篇文章讓你覺得滿意不滿意
送出
相關文章
多雲資安上路 影子IT有解
發揮領先規模優勢 企業級思維治理雲服務
DLP貫穿雲端與地端 一致化把關機敏資料
CASB消弭影子IT問題 助企業安心擴展雲應用
資安不能兩套標準 納入雲端實踐全面管控
留言
顯示暱稱:
留言內容:
送出