2012年7月9日 星期一

唯有多層次防護 才能讓惡意攻擊止步

唯有多層次防護 才能讓惡意攻擊止步

日前有一則讓人驚悚的訊息,美國聯邦調查局通報,一家名為Rove Digital的網路犯罪集團,運用DNS Changer惡意軟體在全球綁架400多萬台電腦,不幸的,台灣也有3,000餘筆IP,赫然在受駭範圍之列。

美方在偵破此案後,暫時以正常伺服器取代犯罪集團伺服器,讓遭受感染的電腦仍可正常運作,但這個救濟措施預計在9月9日終止,也就是說,屆時台灣3,000多台受駭電腦若未成功排毒,將面臨無法上網之悲劇。

事實上,Rove Digital事件只是冰山一角。根據Check Point近期所做的一份調查顯示,超過三分之一受訪企業都曾遭遇進階持續性威脅(APT)殭屍網路(Botnet)DoS攻擊;而在台灣,又以Botnet最為猖狂,在Check Point為企業用戶所做的3D資安健檢當中,發現遭受Botnet荼毒的比例高達100%,可說無一倖免!

Check Point台灣區總經理馬勝彰。

或許有人猜測,這些慘遭殭屍網路侵害的企業,肯定全無資安防護措施,但令人遺憾的,無論說到防毒牆、防火牆、入侵防禦系統(IPS),他們能做的全都做了,但還是在劫難逃,為何?因為包括APT、殭屍網路等新型態惡意攻擊,其手法不僅變化多端,又非以侵入破壞為目的,導致傳統單點式防禦系統無從偵測其蹤跡,自然難以有效抵禦,企業即便受到感染、甚或導致機密資料遭竊,可能都渾然不覺。

面對如此駭人威脅,企業應如何因應?繼續追加購置其他單點式解決方案?非也!單一產品部署得再多,恐怕都無法攔阻惡意攻擊,唯今之計,必須轉換思維,建立多層次資安防護策略,才能轉危為安。

所謂多層次資安防護,究竟應該包含哪些關鍵元素?說穿了,其精髓不外就是「協同運作」!舉凡防毒、防火牆、入侵防禦系統,乃至於近期愈趨火熱的傀儡程式防護(Anti-Bot),不同資安設備之間,必須能透過一套協同運作機制,達到縱深聯防效果。比方說,當防火牆偵測到同一時間Session數量激增,疑似遭受DDoS攻擊,IPS就能在第一時間接收訊息、隨即介入處理,將異常IP予以阻斷;同理,企業一旦遭受殭屍網路感染,其內部的傀儡電腦,必然會與外部C&C伺服器互通訊息,此時Anti-Bot即可與IPS通力合作,聯手斷絕異常連線。

基於縱深聯防目的,企業必須有所體認,此時此刻,一路沿用多時的「Multi Vendor」部署型態,理應步入改弦更張的轉捩點,朝向整合之路邁進;而近幾年來能見度持續攀升的「新世代防火牆」,便是很理想的切入點。

以Check Point為例,其防火牆客戶當中,亦有採用其他廠牌的IPS或網頁過濾系統者,如想在不增加太多成本負擔的前提下建立聯防機制,即可沿用現有Check Point次世代防火牆平台,藉由彈性部署的方式,增購IPS及Web Control服務,如此一來,便可快速建立多層次資安防護策略。

也許有人會問,倘若藉由單一平台收容多重防護功能,就可稱之為「聯防」的話,那麼UTM或許是不錯選擇;姑且先撇開運作效能、彈性部署等議題不談,其實不論是UTM或其他資安閘道器,要判斷其能否肩負多層次資安防護重任,另需檢驗兩件事,其一是資安資訊資料庫,其次則是管理機制,這兩個環節如果不到位,就很難發揮縱深聯防效果。

在資安資訊資料庫部分,必須完整集結包含IPS、防毒、防殭屍網路等威脅技術與資訊,隨時為企業提供最即時的安全比對清單。以往眾廠慣常採用的做法,皆是透過單向提供資訊模式,向用戶告知「已知」威脅,但時值惡意程式不斷變種進化,這般做法恐有掛萬漏一之虞。比較好的做法是,資料庫能夠反向蒐集用戶端資安事件,動態饋入一些「未知」威脅資料來源;在此情況下,供應商是否擁有大規模全球客戶基礎便顯得格外重要,因為這將對資料庫完整性產生重大影響。

至於管理機制,一個能夠綜覽不同資安功能的圖形式管理介面,其實已算是基本要件,如今更重要的,必須還能快速整合不同資安事件,接著進行關聯性分析,即時協助用戶判斷潛在威脅,並作為適時調整安全政策的依據;唯有如此,才能避免惡意程式悄悄進門而不自知。(本文由Check Point台灣區總經理馬勝彰撰寫,賴姿侑整理)

轉載自《DIGITIMES中文網》

沒有留言:

張貼留言