經過近幾年的資安攻防戰,如今駭客愈來愈不容易利用網路或平台的弱點入侵企業系統或竊取資料,相較之下,形形色色的網站應用程式便成為當前駭客攻擊的首要目標,由於開發應用程式時的安全考量可能未盡周全,防不勝防的應用程式漏洞總是讓資安人員提心吊膽。
由於時間、技術人力與預算的限制,多數企業即使知道網站應用程式有安全弱點,也很難即時徹底查找修復,更別說往後還必須持續檢測問題,以因應不斷推陳出新的攻擊手法。除了各種產業法規如PCI DSS、HIPAA、Basel II及SOX等,台灣近期通過的新版個人資料保護法,更促使企業組織必須正視網站應用程式與資料的保護議題,近年來興起的網頁應用程式防火牆(Web Application Firewall,WAF)不啻為網站資安人員的救星。
F5 Networks台灣暨香港區技術總監莊龍源指出,F5 BIG-IP Application Security Manager(ASM)便是領先業界的網站應用程式安全弱點管理方案,結合獨特的先進精確掃描技術和專家分析,讓企業能夠辨識、優先化、管理和修復網站安全弱點,無論針對應用層而來的入侵式或癱瘓式攻擊皆能有效防禦,有效降低資料、智慧財產與Web應用系統的損失風險。
他表示,BIG-IP ASM提供端到端的網路應用程式保護,可以阻擋各種應用層DoS攻擊與對後端資料庫造成巨大壓力的暴力攻擊法(brute force attack)等,也可以解析有問題的FTP與SMTP指令避免攻擊,並且進一步監控檢測HTTP流量,管控包含在標頭內的資料、URL參數和Web內容與集中報表,並遵循各種重要的法規要求。
BIG-IP ASM提供特定應用系統XML過濾與驗證功能,確保網頁應用程式輸入的XML文件格式正確,可有效弱化一般攻擊、抵禦XML parser阻斷服務攻擊、並且提供欄位(schema)驗證。
Data Guard引擎則運用遮罩(masking)功能,可對於應用程式回應送出的信用卡號碼、身份證字號等敏感性資訊,自動加上部份掩蓋以避免機密資料外洩。除此之外,BIG-IP ASM還可隱藏錯誤訊息頁以及應用程式錯誤等資訊,避免駭客發現底層架構並藉以發動目標式攻擊。
「BIG-IP ASM不僅提供強悍且易用的全面性網路與應用層保護,在導入設定方面也極為簡單,在極短的時間內即可快速發揮防禦能力。」他強調,安裝部署也相當有彈性,可以獨立的硬體設備方式部署,亦可以軟體模組型態安裝於BIG-IP Application Delivery Networking系統中。
莊龍源指出,面對目前高智慧型的犯罪者,BIG-IP ASM次世代的安全方案是以整體網站安全性的考量,建立一個強固的最低安全基線,掌握高時效且精確的安全弱點情資,高可靠的採行阻斷模式部署,協助企業組織正確且有信心的解決所有網站安全弱點問題。