併用NPB與SaaS NDR 讓OT資安威脅無所遁形

Gigamon台灣區技術總監林大鈞。DIGITIMES攝

企業迎向數位轉型，必須倚靠扎實的資安防禦與高速的網路效能基底，因此如何實現實體虛擬網路的可視化，成為必要課題。

Gigamon台灣區技術總監林大鈞表示，企業欲達到網路流量可視化，NPB(Network Packet Broker)無疑扮演重要角色，而Gigamon即是全球NPB市場的領導品牌，擅於收取實體、虛擬及雲端等全網流量，經過篩選、複製後，將必要資訊精準輸送給各項線上工具設備，例如防火牆、IPS、WAF，甚至是旁接的側錄設備，或資料庫稽核設備等。

假使缺少NPB的輔助，意謂個別工具設備必須自負流量收集任務，容易衍生一些問題，包括企業在每個廠區都部署大量工具設備，並且因應現今高達10Gbps、40Gbps網路速率，配置相應吞吐效能的設備規格，不僅佈建數量多、規格高，也將大部份效能耗用於處理無關資訊，以及重複的加解密運算，對企業絕非划算投資。

林大鈞說，更大問題在於，礙於傳統架構限制，幾乎所有資安設備都在單一閘道口執行監控，也就是只看管南北向流量；殊不知許多伺服器、特別是VM，彼此間經常在內網交換資料，代表資安設備因鞭長莫及、欠缺了對東西向流量的解讀機會，故而無力及時防堵橫向感染擴散，連帶無法滿足零信任安全原則。

反觀企業一旦佈建Gigamon NPB，即可統一收容所有廠區的流量，集中進行一次性加解密，爾後就依據不同應用流量做篩選，並對重覆流量進行De-dup去除重覆封包，再按個別分析設備的需求，分別導入需要被分析的流量，等於預先濾除不必要的流量，因而減少分析設備收取流量的負擔，從而帶來諸多好處。比如大幅降低分析設備的部署數量與規格，也減少對網路頻寬的佔用、避免影響各項應用效能；更重要的，NPB可協助將東西向流量、雲端服務流量導向防火牆、WAF、IPS和沙箱等資安設備進行處理，不僅簡化並擴大網路除錯收容架構，也更易於消弭潛藏的資安死角。

而Gigamon除提供NPB外，也於近年推出ThreatInsight NDR服務，對亟欲解決SOC架構限制、又苦惱於工廠OT設備無法安裝EDR的製造業，堪稱是強化資安情資分析能力的理想解方。

ThreatInsightNDR Sensor為機架型卡板，經過簡單插入及遠端設定後，即可快速接收NPB所萃取的流量Metadata，並依據正常流量做成樣板，有效區隔異常的南北或東西向流量。

一旦偵測到可疑流量，接著可借助Gigamon引導式服務，由TSMs(Technical SuccessManagers)與ATR(Applied Threat Research)等資安團隊協助進行研究，萬一無法透過單一事件看出端倪，就由Guided-SaaS MSP服務協助快速關聯所有全球客戶情資，並將調查結果呈現於HuntingDashboard情資安全事件調查狙擊儀表板。換言之，藉由Gigamon NPB搭配ThreatInsight，企業就能全面掌握情資，加速回應任何可疑事件。