建立資安聯防 內外兼顧低禦惡意威脅

依德科技資深網路資安技術顧問張偉翰。

環顧現今各項資安威脅，無庸置疑，「進階持續性滲透攻擊(APT)」的殺傷力與破壞性之強，稱得上首屈一指，因此不少企業亟欲佈建有效的防治方案，藉以抵禦APT攻擊的進犯。

然而依德科技資深網路資安技術顧問張偉翰強調，APT並非單一惡意軟體，而是多道攻擊步驟的集合體，企業若欲有效防範APT，所需要倚靠的並不是一套解決方案，而是多重的攻擊防禦機制。

阻檔已知攻擊外  更需防範未知威脅

論及APT攻擊步驟，依序是惡意垃圾郵件、惡意網站連結、入侵弱點漏洞、不當下載，最終透過殭屍指令暨密碼竊取達到奪取資料之目的，進而毀滅硬碟。針對這6道步驟，企業即需逐一建立Anti-Spam、Web Filtering、入侵防禦系統(IPS)、Antivirus，及IP Reputation/DLP/DNS Firewall等對應防護機制。

光是部署前述機制，恐怕還不夠，另需針對駭客慣常搭配APT攻勢交互運用的兩大惡意活動－DDoS、網站漏洞攻擊，展開Anti-DDoS或網頁應用防火牆(WAF)等對應防禦措施。

然而只要佈建好上述一干防護設施，便可讓企業遠離機敏資訊外洩風險？答案當然是否定的，此乃由於，一些讓企業相對熟悉且已普遍導入的防護系統，不管是次世代防火牆、電子郵件過濾、網站存取過濾、DDoS防禦乃至於WAF，都僅是用以偵測阻擋攻擊，意即是針對「已知」威脅的防禦，在守護企業資安的偌大構圖中，這不過是其中一塊，尚需佈建其他防護機制。

張偉翰認為唯有「內外兼顧」，才能牢牢守護企業，所以不僅要做到如同前述的偵測阻擋攻擊，也需建立另外三大機制。

一是「辨識新的威脅事件」，其重點在於偵測潛在威脅，而這些威脅屬於「未知」性質，並無特徵碼或指紋資料庫可供比對，因此需要藉助沙箱、網路行為分析(NBA)、Client Reputation等新興工具或技術；二是「減少被攻擊面」，重點在於存取控管，且不僅止於企業相對重視的無線網路存取控管，還應該擴及至有線網路存取控管，並需要建立集中式存取政策管理系統；三是「事件紀錄稽核」，重點在於持續的監控，相關輔助措施包括了資安事件報表，以及網路流量透明化。

除此之外，企業也必須有能力藉由網路拓樸、實體位置追蹤，據以迅速定位任何資安事故的發生來源，以發揮即時回應、即時阻檔之功效。

集中存取控制  強化區域網路管理

在此之中，如何因應未知攻擊，無疑是建立內外兼顧資安聯防機制的重要一環。對此張偉翰建議企業可採納Client Reputation技術，透過分析計算的積分統計法，經由「使用者身分＋設備種類」，輔以包括UTM安控政策、事件積分定義等各類統計行為，最終產生有關風險狀態的統計與分析結果，繼而善用此成果，預防零時差攻擊的發生。

說穿了，實施Client Reputation的目的，便是發現企業網路內部的異常行為，比方說，某位業務人員經常出現非法資源存取、或企圖連線到奇怪的網站，觸發的安全事件之多，在公司內部名列前茅，顯見其為信譽低落的用戶端，即便還未釀成大禍，企業IT管理者即可預先介入處理。

緊接著，企業需要佈建進階的Anti-Malware保護機制，而此類機制深具多重管理過濾能力，不僅內建諸如沙箱模擬、病毒行為預測與誘發、蠕蟲內容特徵剖析等強化的防毒掃描引擎，也一併支援雲端防毒、全球同步IP名譽資料庫。

再者需嚴加防範DDoS攻擊，但不宜僅倚靠IPS，只因傳統IPS往往在與DDoS正面對決後，若非系統本身當掉，即是意外阻檔了正常流量，仍然造成企業服務停擺，所以企業必須思索新的做法，便是藉助多層次網路及應用層行為模式分析，例如透過Syn Cookie判斷來者究竟是機器還是一般人，一旦發現異常，隨即動態產生特徵碼，自動加以攔阻；如此一來，即使企業遭遇UDP Flood大量攻擊，也能迅速遏阻，且同時允許正常流量如常進出，絕不干擾企業對外服務的運行。

針對存取控管議題，張偉翰建議企業可考慮建置一個以JPMS身分認證及網路存取控制系統為中心的機制，集中與後端AD、LDAP、RADIUS Proxy等帳號管理系統同步連動，而JPMS提供一套自註冊系統，讓使用者填寫必要資訊送出審核，使企業IT管理者輕易做到有？無線網路的MAC Address控管，據此節省人力，並發揮稽核控管、加速問題查找等雙重效益。

另一方面，張偉翰呼籲企業評選內部區域網路，不應再單純側重機器規格，而應該重視諸如設備控管、異常告警、服務不中斷等網管功能的健全與否。

以Alcatel-Lucent OmniVista網路管理系統為例，便有能力辨識異常流量，如同IP Scan或Port Scan等異常行為，抑或Broadcast等激增大量封包，從而展開對應處理措施，連帶發揮先期告警之功效，且透過集中畫面，清楚即時顯示異常VM所在主機、連接之Switch IP/Port，有助於企業IT管理者儘速掌握惡意攻擊之先兆，搶先阻斷駭客攻勢。