金融服務大翻轉 慎防網頁防護出現破口
- DIGITIMES企劃
-
一直以來,銀行多仰賴櫃檯人員、理財專員、終端電腦或ATM,處理其與顧客之間的互動關係,所有介面都位於內網,在可被預期、可受控制的範圍內,猶能輕鬆應付相關資安或負載事宜;反觀今日伴隨行動網際網路浪潮席捲,使金融服務出現大幅翻轉,許多介面開始在外網出現,使得銀行開始面臨極為艱鉅的網頁防護挑戰。
力麗科技產品經理孫英家表示,細究金融服務介面翻轉下的資安與負載挑戰,針對外網部份,銀行首先需基於線路頻寬整合暨備援考量,部署鏈路負載均衡設備,另因應不同的防護需求,導入次世代防火牆(NGFW)、網頁防火牆(WAF)及阻斷攻擊防護設備等不同方案;到了內網,為提升資料中心效能與安全性,必須逐一佈建應用交付控制器、APT沙箱分析系統、內部網路防火牆、認證管理系統、APT郵件防護系統、集中安全管理控制台,乃至集中式日誌與報表系統,可想而知IT人員的工作負荷,必然急遽升高。
上述各個環節,與網頁防護直接相關的一環即是WAF。不少使用者認為,憑藉NGFW、入侵防禦系統或UTM,即可實現L7管控,繼而確保網頁安全,殊不知此處所指L7偵測、防禦能力,主要是針對應用程式內容,意欲對HTTP Code、意即網站部份執行深度防範,仍需藉助WAF。
網頁程式修復空窗期 唯有WAF可提供防禦
以力麗科技代理銷售的Fortinet FortiWeb網頁防火牆而論,不僅提供WAF防護機制,亦兼具弱點檢測(黑箱掃瞄)等完整功能,並模擬駭客攻擊手法,測試執行中的應用程式有無漏洞,二方面則倚重WAF,針對程式修復前的狀態提供防禦措施,避免這段空窗期淪為駭客可乘之機。
論及網頁防護面面觀,WAF必須蘊含的必要功能項目,首要之務即是防止網頁竄改,而FortiWeb亦內建對應功能,藉由Baseline設定方式,隨時比對網頁是否遭到換置,並於必要時提供告警發送及自動復原功能。此外,FortiWeb亦具備智能化自動學習機制,其有助於縮短專案導入時間,待上線後會重新檢視網站架構與內容,藉由持續不斷的學習過程來建立白名單,作為防禦基底。
值得一提的,FortiWeb同時內建上傳檔案掃毒功能,據以防範未知惡意程式;內含弱點掃瞄能力,如前所述可對網站及網頁進行弱點掃瞄,另支援6種知名第三方掃瞄軟體匯入,立即發揮Virtual Patching防護功能;同步提供完整機型與VM等彈性配置選項。
