監控內部滲透、抵禦外部攻擊 Sourcefire新一代IPS捍衛網路安全 智慧應用 影音
新思
ST Microsite

監控內部滲透、抵禦外部攻擊 Sourcefire新一代IPS捍衛網路安全

  • 黃愷橙

由瑞奇數碼所代理的Sourcefire產品,在入侵偵測系統的功能方面,認為不應該單只有偵測,還要搶先一步阻擋、防禦,才算是真正做到網路安全。Sourcefire以公司總部設在吉隆坡的優質人壽保險商Malaysian Assurance Alliance Berhad(MAA)為例,指出企業對於導入入侵偵測系統的考量重點為何,Sourcefire又是如何獲得青睞。

MAA部屬了一套分層防禦系統,透過防火牆、路由器、控制器(Controller)與網路安全設備,用於網路流量的監控。任何新增的安全方案都不能影響其網路效能。MAA原先使用了IDS來作為網路的監控與防範措施,然而這樣的解決方案僅僅針對可能的威脅執行告警通知,卻不能夠自發性的做封鎖或防禦。因此,MAA決定要尋找一套解決方案,不只是發出警告,更要能在攻擊可能發生前就即時進行封鎖。同時,MAA也關注於內部的潛在威脅,若繼續使用舊有的解決方案,恐怕無法防範來自內部的攻擊事件。

MAA需要一個對使用者來說是透明的且對現行資安系統具有輔助能力,對網路架構來說,只做最小調整,並且又能維持網路原有效能的IPS解決方案。經過審慎評估與測試後,MAA決定採用Sourcefire 3D System。

由於Sourcefire針對網路環境的威脅具有以下幾項特點,例如Sourcefire的IPS能自動識別並將相關聯事件進行優先排序。此解決方案還能自動調整IPS規則,阻止可疑行為、運行報告,並執行備份到外部設備。當一個事件被IDS偵測到時,影響等級也會馬上被分類出來,MAA就可以使用inline模式將此規則開啟,此時就能馬上阻擋有問題的流量,確保正常流量能繼續運作。而其RNA能儲存即時網路流量並監控網路行為,以幫助識別潛在的漏洞和可能的資料外洩。

Sourcefire的設備支援頻寬需求和延遲調整,提供全面的安全及無中斷服務。MAA部署Sourcefire的3D3500 Sensor,處理1Gbps的流量,其延遲僅小於1毫秒。另外Sourcefire非常易於安裝,無須更改MAA現有的網路架構。初始安裝只用了幾個小時,並微調後2個星期的觀察和評估。

以前MAA必須採取人工手動篩選每天數以百計的事件。更換Sourcefire後,Sourcefire的自動化偵測,排除無效的攻擊事件,篩選真正高風險高影響的事件。以前花了一整天來完成,現在只需要1個小時,不僅省時間,又減少了人為錯誤。

議題精選-企業資安管理政策調查專輯