新型態加密勒索病毒接連在全球肆虐,已成為犯罪組織有效的獲利模式,類似WannaCry或Petya的勒索事件只會持續增加,甚至已開始結合APT手法發動,在單點被滲透成功後先行潛伏,並且橫向感染擴大控制範圍,待時機成熟,攻擊者再驅動全數爆發,迫使企業如同韓國主機代管業者Nayana般不得不支付贖金。
現階段勒索病毒問題危險性已不容小覷,原本專為閘道端防禦所設計的NGFW,正逐漸轉向內網部署建置,藉此因應變種勒索病毒倍數增長量,控制可能遭感染的範圍。Fortinet台灣區技術顧問賴長生說明,傳統內網常見的作法是切分VLAN來隔離不同部門,但是VLAN彼此之間透過路由即可互通,屬於Layer 3技術,僅能針對IP層設定存取控制清單(ACL),無法抵擋像是WannaCry勒索蠕蟲的擴散活動。因此資安敏感性較高的中大型企業,例如金融業,內部皆已建立多層次防火牆,通常是依照營業單位的功能來部署;不同的伺服器區域,也會透過防火牆隔離保護。
內網隔離防火牆 攔截橫向擴散攻擊
目前資安界對NGFW的定義,主要是部署建置在核心網路層,提供應用程式管控、URL過濾、防毒、入侵防禦偵測等機制,抵禦外來的攻擊行為,因此更著重使用者存取的網路應用服務行為控管,無法掌握內部主機之間橫向感染的活動。問題是,如今已是行動化、雲端化應用時代,可被利用來發動攻擊入侵的管道較以往更多元,然而多數企業內部環境的防護力卻未隨之提升。
|
▲ Fortinet新一代FortiOS 5.6環境中設計提供聯防機制,讓FortiGate彼此之間得以直接溝通,接收與發送執行處置的指令。(資料來源:Fortinet) |
Fortinet所提出的內網防護概念,並非直接建置NGFW,畢竟內部連線不須辨識網路服務行為,再加上內網的流量主要為東西向,溝通模式可能發生在實體或虛擬環境,只要有一名使用者電腦遭受勒索軟體感染,再透過作業系統漏洞,極可能橫向感染到伺服器區域。
「因此應透過內網隔離的防火牆(ISFW)建立防禦體系,基於低延遲、高吞吐量的硬體設計,選擇性地啟用防禦功能。尤其是基於特徵碼資料庫分析比對的入侵偵測系統與防毒引擎,前者監看攻擊手法,後者則結合危害偵測系統(BDS)的沙箱技術,提供已知與未知型態的攻擊偵測。」賴長生說。
產品線齊全 從小到大規模皆可選用
|
▲Fortinet台灣區技術顧問賴長生指出,現今企業IT基礎架構較以往複雜,設備節點相當多,欲追蹤到最原始發送連線需求的終端,逐一查探釐清相當耗時費力,勢必需要工具協助提升排除問題的效率。 |
根據IDC針對台灣市場的調查統計顯示,Fortinet已連續多年皆交出漂亮的成績單。賴長生認為,Fortinet在台灣深耕已久,能快速回應市場的產品設計與技術發展,可說是關鍵因素。「Fortinet從2003開始進入台灣市場至今已超過十多年,除業務與技術支援部門外,還設立研發中心、亞太區物流中心、中文語系技術支援專線。若以產品面來看,從晶片、硬體架構、韌體系統、功能機制,全數為FortiGuard實驗室設計、自主開發,也就是軟硬體的整合設計,包括防毒、URL過濾、入侵偵測防禦等機制,都是Fortinet自家研發提供,並非外部OEM而來的技術,可確保整體運行效能足以因應各種不同IT環境。」
他進一步說明,Fortinet的設備架構,除了採用Intel處理器以外,亦搭載自主開發的FortiASIC專屬晶片,包含網路處理器(NP)與內容處理器(CP)。網路處理器已經發展到第六代,單顆晶片就可以提供40Gbps(上一代NP-4單顆晶片僅20Gbps)吞吐效能,同時可透過堆疊擴充,目前中高階以上D系列的機種,都是基於第六代網路處理器來運行,因此可提供較高的運行效能。至於內容處理器,主要應用於Layer 7檢測,包含SSL Inspection、防毒引擎與IPS特徵碼比對機制,目前最新晶片發展到第九代。
此外,Fortinet還有針對入門級機種設計單晶片(System-on-a-Chip,SoC),已發展到第三代,像是E系列皆是採用單晶片,結合網路處理器與內容處理器的功能,吞吐量不高但功能性完全整合於單晶片提供,一次取代Intel處理器、網路與內容處理器。
安全織網連動執行 就近攔阻威脅擴散
在安全防禦部署策略方面,賴長生建議,應屏除以往各自獨立運作模式,整合沙箱分析、NGFW、端點防護,架構成為安全鐵三角,以實踐互動聯防。以Fortinet而言,即為整合FortiSandbox、FortiGate、FortiClient,搭配FortiGuard Labs分析的情資輔助,讓不同環節得以建立判斷能力。至於防護政策的執行,則可交由FortiGate來實施,並搭配FortiAnalyzer,蒐集統整FortiClient取得的Log檔案,讓IT管理者得以從統計報表掌握IT環境風險資訊。
「FortiGuard Labs由數百名專職威脅研究人員所組成,最新外部情資會即時發布到各個防禦環節,提高偵測力。此外,當FortiClient發現未知型檔案嘗試在端點執行時,會自動先提交到FortiSandbox進行分析,若判定潛在攻擊性,FortiClient可立即自動執行隔離。」
當防禦戰線不斷往內部延伸到最接近終端用戶的位置,即可建立Security Fabric(安全織網)架構,打造整體面的防禦環境。因此Fortinet新一代FortiOS 5.6環境中設計提供聯防機制,首先是讓FortiGate彼此之間得以直接溝通,毋須再經由控管平台,只要在根節點防火牆設備的FortiView介面上,即可查看關聯的連線狀態與潛在威脅資訊;其次,搭配FortiClient 5.6,可協同FortiGate建立連動,讓終端用戶環境接受防火牆控管,相關資訊的Log,則匯集到中央控管平台;甚至當根節點防火牆設備發現異常流量行為時,可直接指定內部防火牆設備執行阻斷,就近攔截縮小擴散範圍,以便實施控制措施。