Next-Generation Intrusion Prevention System Advanced Malware Protection Palo Alto Networks WF-500 Next-Generation Firewall Cisco AMP Threat Grid FortiSandbox Barracuda Palo Alto FortiGate Fortinet Sandbox NGIPS Cisco Cisc NGFW 新儲域 DPI AMP

結合先進機能與情資 加速辨識阻斷新威脅

2015-12-03
在IT基礎架構中不可或缺的防火牆,隨著企業應用環境發展持續演進,早在2009年即已被國際研究調查機構Gartner更新定義為「次世代防火牆(Next-Generation Firewall,NGFW)」,除了既有的Packet filter、NAT、VPN、QoS等基本防火牆功能,更透過深度封包檢測(DPI)技術,執行使用者與應用程式控管,範圍甚至涵蓋入侵防禦偵測(IPS)、SSL/SSH檢測、網站過濾等機制。
如今企業IT已進入虛擬化、雲端化時代,終端存取的裝置亦逐漸從桌上型電腦過渡至行動裝置,以往仰賴NGFW嚴守的邊界網路已日漸模糊。再加上外部威脅攻擊轉變以未知型惡意程式為主流,過去的病毒回報、採樣、產出特徵碼的防毒運作模式已無法及時偵測執行抵禦。為了因應企業內部應用環境與外部威脅的變化,近年來NGFW亦開始增添運用沙箱(Sandbox)技術,模擬終端用戶執行環境,誘使未知型惡意程式現形。只是礙於啟用沙箱往往需耗用大量運算資源,恐加重NGFW效能負擔,目前主流的設計是採以外接專屬設備或雲端分析服務方式提供,在模擬環境中執行分析後若發現問題,再交由NGFW執行阻斷。

以資安無虞為前提 邁向數位化轉型

就企業端應用需求來看,近年來對於資訊安全關注的程度日漸增高,除了全球知名跨國型企業接連發生重大駭客攻擊造成大量資料外洩事件,顯示來自外部威脅的轉變,台灣思科副總經理鍾昭德從客戶端亦發現,另一驅動力是全球企業或政府組織單位皆進行了不同程度的數位化(Digitalization)轉型,期能藉此創新或變革推動財務成長,同時協助降低日常營運複雜度。

然而在高度數位化後,企業營運享受到數位化帶來的便利性,卻也同時必須面臨前所未有的資安威脅。鍾昭德以近來金融與證券業正在轉型至線上開戶為例,未來勢必以電子交易為主,一旦過程中網路頻寬壅塞、回應速度過慢,甚至遭受攻擊,皆可能影響正常營運作業。因此當企業組織將營運重心轉型至數位化以創新商機的同時,對資安的迫切程度亦相對提高。

位居網路安全第一道防線的NGFW,重要性與日俱增,並隨著外部威脅持續發展。鍾昭德認為,現今的次世代防火牆基本必須具備的能力,首先是內容感知,必須掌握現行攻擊行徑,包含最初滲透進入的設備、利用的漏洞、攻擊型態,而非只是控管政策抵擋了事;其次是情境感知能力,可取得主機系統、網路配置模式等資訊,才得以掌握整個系統架構;最後是要能夠動態調整防禦措施,也就是在發現遭受攻擊時,不僅發出告警,還會立即產生建議執行的動作,協助IT人員增添阻斷規則等防禦措施。

NGFW搭配沙箱技術 辨識未知型攻擊

現代攻擊威脅大多利用零時差漏洞發動進階持續性攻擊(APT),根本無法以熟知的特徵碼或樣式比對(Pattern Matching)機制進行辨識與攔阻,Fortinet台灣區技術顧問賴長生引述自家內部調查報告指出,有九成以上的惡意程式,出現時間相當短暫,大約低於一個星期,甚至有超過七成的病毒軟體,是針對特定攻擊標的所研發。


▲ 緊盯網路攻擊生命週期,只要任一階段的執行行為得以被偵測、阻斷,即可讓攻擊失效,避免機敏資料被竊取成功。(資料來源:Palo Alto Networks)

因為APT攻擊者往往是先行研究標的企業的軟體、防火牆等IT架構,撰寫專屬滲透破解的病毒程式,在其他公司的IT環境中未必會發生作用,於是以往基於病毒大量爆發後取得樣本做出特徵碼,再更新至各個資安設備的防護模式已不適用,無法及時發現現代駭客的攻擊行為,NGFW才會引進沙箱機制協助辨識。新儲域科技技術暨行銷服務部技術經理陳文宏不諱言,儘管執行分析會犧牲部分效能與時間,但畢竟目前為止仍無更有效率的防堵未知型攻擊技術,為了確實維護內部網路安全,運用沙箱技術可說是目前主流作法。

賴長生亦指出,NGFW增添沙箱機制,不論是內建或搭配專屬設備提供,目的都在於針對異常行為的監控。就FortiGate而言,全系列均有內建簡易版的沙箱分析,同時FortiGate在開啟註冊授權後,即得以自動連結至雲端沙箱分析平台,建立混合式的防禦。

至於受到法規等限制,無法將檔案傳送到外部雲端分析的企業,NGFW廠商亦有設計具備沙箱功能的專屬設備,例如FortiSandbox、Palo Alto Networks WF-500、Cisco AMP Threat Grid等提供協助。

強化邊界分析 發展內網防火牆

「但實際上,現在攻擊模式變化快速,惡意程式也會再進化,發作前先行掃描系統環境,若發現是沙箱所模擬,隨即終止執行程序。」鍾昭德指出。因此針對APT攻擊,在思科的「無所不在的安全」發展策略中,是以進階惡意程式防護(AMP)技術為核心執行快速分析,再搭配NGFW、NGIPS、端點防護(Cisco AMP for Endpoint)等機制執行命令。

他進一步說明,AMP主要包含Spero與Ethos分析模型。前者可找到變形或變種程式,後者則是以軟體工程方式分析程式本身是否為惡意。之所以如此設計,是為了避免惡意程式反偵測發現運行的環境為沙箱,以及惡意程式會自動下載更新版本,傳統沙箱分析在第一線偵測時有可能失效的問題。

畢竟任何資安偵測機制均無法達到百分之百,在思科的AMP技術中亦具備檔案回溯(Retrospective)機制,搭配安全情報研究團隊Talos Group的即時更新情資,就算看似正常的檔案在通過NGFW之後才開始變種,或者在情資更新後才得知為惡意程式,亦可在擴散前,通知相關資安機制予以攔阻。

對於防不勝防的資安威脅,Fortinet開始推廣的是內網防火牆(Internal Segmentation Firewall,ISFW)架構,主要著眼點即在於攻擊行為的發生主要是來自於內部網路。

「NGFW拜硬體效能提升所賜,除了傳統防火牆功能,亦內建內容感知、應用程式控管等機制,但資安事件仍舊持續不斷地發生,主要即是NGFW位處於閘道端只能降低一半威脅,也就是來自外部的攻擊,另一半則來自內部,而內網防火牆即是針對內部應用需求做到區隔控管。」賴長生強調。NGFW不僅往內部網路移動,且同樣需要內容感知、應用程式管控、IPS等機制,才能夠了解內網的流量中是否存在威脅。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!