長期以來逐步建置的資安控管措施,使得企業IT環境中存在多種異質技術方案,往往須仰仗系統平台統整內部所有日誌資料,進而運行分析輔助IT管理者執行問題排除,甚至從中判別潛在風險行為。
隨著現代攻擊模式進入機器人自動化執行的時代,若有能力把潛藏的漏洞攻擊皆予以過濾,便可讓企業有更多時間因應處置新型態威脅。零壹科技資深技術經理吳經國指出,欲達到資安控管的目標,首要在於縮小攻擊面,也就是先行過濾潛藏的威脅,搭配分析系統才得以發揮效益。
|
▲零壹科技資深技術經理吳經國指出,現代資安管理的思維,必須以零信任(Zero Trust)為核心觀念發展,在假設所有連線封包皆可能潛藏資安風險的前提下建立控管措施,藉此防範各種手法的入侵威脅。 |
零壹科技引進的Ixia ThreatARMOR防護,便是基於全球佈建誘捕系統蒐集攻擊活動,彙整到雲端情資中心後,再餵入ThreatARMOR來建立過濾攔阻。「相較於目前多數企業皆有採用的NGFW解決方案,ThreatARMOR不需要再DPI深度解析封包取出內容,直接針對有問題的來源進行過濾,即使是大規模流量環境亦可確保過濾機制執行效率。」吳經國說。
就部署方式來看,ThreatARMOR主要是在防禦前方再建立一道可過濾殭屍電腦、釣魚網站、惡意IP位址等已知的攻擊手法,來提升既有資安建置處理效率。萬一使用者不慎瀏覽存取惡意網站,遭後門程式植入並且透過443連接埠回報中繼站,此過程若資安偵測設備不具備憑證中介能力恐無從得知,ThreatARMOR基於豐富情資的作法,則可主動發現內部連線到已知殭屍電腦的行為,並執行阻斷。
吳經國說明,Ixia應用與威脅情報(ATI)研究中心掌握的情資來源相當廣,分析不同攻擊來源以及惡意程式與裝置的特徵,統合資訊後提供延伸應用。藉由多重引擎執行分析,包含防毒、沙箱、釣魚網站等機制,則足以確保情資的可靠度。
現代企業關注的焦點除了威脅情資以外,亦包含大數據分析平台,藉此關聯端到端的連線行為,及早發現潛在風險。以往IT人員欲分析基礎架構所產出的日誌檔案,大多是透過TAP或SPAN複製交換器連接埠封包,再利用Wireshark等網路封包工具執行分析,但隨著基礎架構須蒐集的資料量增多,傳統工具已無法因應。
Ixia設計的NPB設備可擷取封包提供彙整、過濾、負載平衡等機制,同時依據資料流執行萃取,不同控管功能的設備無須各自解析封包內容,統一交由NPB來派發即可。透過ixFlow亦可擴增既有NetFlow,進一步取得例如瀏覽器、App、作業系統版本等應用層的相關資訊。