在IT基礎架構中,端點保護與閘道端防禦始終是最關鍵的資安建置,藉此建立縱深防禦,提高攻擊入侵的門檻。近年來隨著駭客攻擊以金錢為主要目的,利之所趨因而大量蜂起,所運用的惡意程式不僅變種頻繁也更刁鑽,可順利繞過偵測措施以免在橫向活動階段觸發警鈴,都讓現有資安保護機制備受挑戰。
欲及早辨識與阻止惡意程式的活動行為,「基於情資分享平台建構聯合防禦體系」已是資安業界一致發展方向。原本各司其職的端點與閘道端解決方案供應商,陸續透過併購方式拓展產品線,提供由端點、閘道、雲端所組成的整合式平台,藉此降低資安風險。
發展預防性資安基礎設施
現代企業面對全球化市場競爭,數位轉型已是大勢所趨。Palo Alto Networks亞太暨日本區行銷總監KP Unnikrishnan指出,不管是企業、政府,甚至是個人,都有機會運用新興科技來增加生產力,但駭客攻擊同樣也在轉型,利用逐年倍增的連網裝置建立自動化攻擊;根據Palo Alto Networks內部統計,2017年相較於2016年,網路攻擊增長量高達40%,導致12億筆資料外洩,也造就了網路犯罪產業已達到數兆美元規模,甚至比毒品交易更加有利可圖,短期已難遏止,正在發展新商業模式的企業勢必得有所因應。
許多企業的資安或IT決策者遭遇資安問題時,通常是導入新產品技術來解決,KP Unnikrishnan認為,實際上並非有效的方法,畢竟現在行動工作者居多,存取的IT環境除了資料中心,同時也有G Suite、Office 365等各式雲端服務,必須要建立整合性的平台,全面地掌握組織內所有工作環節的資訊,藉此達到可視化,進而在聯合防禦體系中建立自動化措施,來預防遭受攻擊。
過去十多年來的資安意識,大多只關注網路或網站遭受攻擊,因此直覺就以建置新世代防火牆來防制,但如今從國際間發生的重大資安事件可發現,傳統資安思維已不足以對抗新型態威脅,應用程式或行動App可能存在漏洞遭受攻擊,網頁內容也可能被植入惡意程式碼,已非由單一解決方案得以涵蓋的範疇,因此國際資安廠商也在進化,在事後修復的過程中同時快速解析出特徵,將未知攻擊轉換成可明確阻擋的已知攻擊,藉此建立「預防性」的防禦基礎設施。
同時,接下來的趨勢是要以整合性的架構,來對抗新型態攻擊,無法僅仰賴單一技術供應商來防制。因此解決方案供應商除了提供相關技術與工具,另一方面也正在逐步開放API,讓第三方的廠商介接,或客戶自行開發App時得以內建防禦機制,才得以透過團結的力量共同預防攻擊。
擴展資安防線 單一廠商方案整合度較高
針對台灣資安環境現況,長期身為代理商的達友科技副總經理林皇興觀察,本土企業具備了在實際應用環境建立縱深防禦的觀念後,近年來多數客戶期待進一步借助雲端、終端、閘道端彼此之間的整合能力,以降低新型態資安威脅風險。現階段則更多需求在於IT環境的可視化能力,希望藉由蒐集不同環節產出的資料,從中分析威脅資訊,輔助聯合防線的建構。
|
▲企業現階段面臨的新興資安威脅,傳統單點式防禦機制已無法發揮原有效益,同時人工處理的環節過多,也讓入侵者有進行攻擊活動的可趁之機。(資料來源:McAfee) |
「其實聯防本就是資安市場發展方向之一,只是以往大都是基於單一廠商提供的方案才得以建構,而且偏重於閘道端資安設備彼此之間的整合,較少連結到端點。自從雲端運算興起後,不同領域的資安廠商開始陸續透過雲端執行進階偵測,例如運用沙箱模擬分析產生出惡意指標。發展至近年,也開始擴展成為端點與閘道端的聯合防線。」林皇興說。
就賽門鐵克而言,賽門鐵克首席技術顧問張士龍說明,主要是基於情資中心,藉此分享提供所有防護設備,讓不同管道的措施皆可發揮作用。他進一步提到,閘道端、郵件、網站等防禦管道所產生的情資,必須建立分享機制,過去常見透過API介接整合,卻往往會遇到各家廠商開放程度不一致,使得情資資料不夠完整,因此實務上通常採用單一廠商提供的方案。例如賽門鐵克在情資分享方面,APT方案中有區分不同模組,包含端點、閘道、網路偵測機制,所產生的情資會相互分享,只要在其中一個管道取得攻擊樣本建立特徵碼,即可透過聯防防堵。
開放API、專屬協定 以情資為基礎建立聯防
情資分享可說是聯合防禦的重要基礎,許多國際級資安廠商原本設立於內部的研究實驗部門,在新型態威脅推波助瀾下反而成為關注的焦點,甚至轉型開始向外提供服務。從技術的角度來看,林皇興認為,廠商們設計的偵測技術不同,產生的結果與研究分析成果也不一樣,即便透過開放API建立接口,欲直接整合或交換情資確實有難度。
對此,近年來國際資安業界已發展出共通的格式,如今的情資平台可基於STIX、TAXII標準XML來描述,以實現跨技術平台資訊的整合與交換,甚至有些廠商已經把API開放原始碼放到GitHub社群,將有助於推動實作整合應用,提升惡意攻擊行為的辨識率。
強調以情資交換為基礎,而非僅以自家產品彼此整合建構聯合防禦陣線的McAfee,早在三年前即已不再採API介接,改為透過DXL(Data Exchange Layer)通訊協定來進行入侵指標(Indicators of Compromise,IOC)的交換。McAfee台灣區總經理沈志明說明,當沙箱模擬分析取得IOC之後,可直接餵入內部自建威脅情資平台TIE(Threat Intelligence Exchange),除了介接雲端GTI(Global Threat Intelligence)信譽與分類服務,同時可藉由DXL與第三方廠商技術平台建立協同合作,彼此交換最新種子(Feed),再發布通知到各個資安設備,即可藉此快速地建立新型態惡意程式的辨識能力,並且執行自調適政策阻斷執行。
「DXL通訊協定本身就是為了情資的交換而設計,解決異質技術平台溝通的效率。這是我們近年來落實的部分,並非是未來應用場景,而是實務上已經在運行的架構。」沈志明強調。