隱藏關鍵目標 將資安防護推向新境界 智慧應用 影音
Microchip
ST Microsite

隱藏關鍵目標 將資安防護推向新境界

  • 魏淑芳

台灣優利系統(Unisys)網路與資安服務經理黃文琦。
台灣優利系統(Unisys)網路與資安服務經理黃文琦。

時至今日,全球化資安議題可謂多不勝數,其中最值得憂心之處,乃在於隨著多通道的接入終端、智慧型裝置與數位化資訊的交互發展,使新世代的活動平台產生顛覆性的變革,因而衍生新的公眾安全疑慮;此外,隨著社群平台與訊息發布?交換機制的快速發展,也讓個人隱私安全問題浮上檯面。

台灣優利系統(Unisys)網路與資安服務經理黃文琦指出,根據前述發展趨勢,使得網路攻擊已臻至隨時都在的可怕地步,也讓企業資訊資產的守護任務,面臨空前嚴厲考驗。

讓駭客看不到  便無機密失竊風險

「面對進階的威脅,企業需要進階的防護,」黃文琦強調,一旦採取「網路隱身術(Stealth Solution)」,即可望協助企業徹底解決資安疑慮;箇中道理其實很簡單,假使駭客無法透視企業網路環境,那麼其便無從探知機敏資訊的存放位置,既然看不到,自然不可加以偷竊;而這個令外人無法窺探的網路世界,唯獨被指定的群組使用者才看得到。

上述情境,並非憑空想像的願景,已經可以落地實現,答案就在於Unisys Stealth。該項解決方案,業已歷經最嚴格的安全認證與滲透攻擊檢驗,許多身懷高超技藝的好手,前仆後繼一心想破解Unisys Stealth,但至今仍無成功之例;而此項方案提供關鍵業務與資料傳輸的安全通道、網路隱藏、以角色為核心的存取控管等高階防護機制,同時也兼顧企業不中斷的服務要求,可一併阻檔外部攻擊與內部滲透,徹底解決各項資安管理困擾。

一言以蔽之,黃文琦認為Unisys Stealth的最大價值,便是將企業最高機密的智慧資產隱藏於無形,只要你不是群組成員,那麼不管你動用IP Scan或Port Scan等手段,都看不到由該群組所保護的敏感訊息或關鍵目標。

事實上,Unisys Stealth並非此刻才剛萌芽的新產物。早在2005年,美國國防部便邀請優利共同參與一項研發合作計畫,旨在發展關鍵目標隱藏與匿蹤傳輸技術;結果在一年後,優利便端出研發成果,產製出先進的資料掩蔽與加密方案;一直到了2010年,隨著美國政府放寬出口管制,才使此項技術得以商用市場。

以COI取代IP網段  全憑角色權限執行存取控管

深究Unisys Stealth的主要組成元件,可歸納為「Data in Motion」、「Endpoints」等兩大區塊,前者係以AES 256加密演算法、隨機進行資料切割等技術為主軸,至於後者,則以Communities of Interest (COI)為軸心,也就是一個採用安全群組化的管理機制,也堪稱是發揮網路隱身妙效的關鍵所在。

黃文琦進一步解釋,透過COI,確使只有在同一群組內的成員可以看到對方,並藉由特殊金收送彼此資料,而此一機制也與企業內部的用戶認證平台結合,讓使用者可被指定到一或多個群組運作,只要使用者登入系統,就會自動取得被指定的群組金鑰。

此項奠基於COI的架構,相較於一般取決於IP網段及防火牆的網路環境區隔思維,委實大相逕庭。

事實上,以傳統安全防護架構而論,隨著虛擬化、雲端化、軟體定義網路(SDN)等浪潮一波波湧現,已使得防火牆愈來愈難靠著IP網段切割方式,來營造網路環境的安全;反觀Unisys Stealth,無論企業網路環境走向虛擬化、雲端化或SDN,仍一本初衷以登入角色作為管控基礎,也就是憑藉COI來切割實體設備、而非取決於IP網段,任何人只要登入系統,就會被導引到他該去的環境,全然不受防火牆限制。

至於為何使用COI設計概念?黃文琦說,藉此可讓優利很安全、有邏輯地將網路用戶與資料做區分,而不需要改變複雜的實體網路設定;此外,COI是基於用戶身分,而不是工作地點,所以很容易搭配使用微軟AD來進行管理,縱使當用戶的身分改變,只有認證系統會同步變更,網路設定則不需調整。因此隨著COI到位,也一併開啟了簡化企業網路的契機。

「以下幾個場景,可充分道盡企業潛在危機,」黃文琦指出,場景一,一個即將離職的員工,卻在最後時刻頻頻利用職權登入敏感系統查看機密資料,但傳統安全機制缺乏測「合法卻可疑」使用者行為的能力;場景二,企業只顧著阻隔外部存取,卻無法隱藏「隱性卻易被攻擊」的內部目標,此乃因為傳統安全機制缺乏分層群組化管理概念,無力防範防火牆內的非法存取、傳輸、竊取等風險;場景三,經常需要透過Internet連接企業內部資源的用戶,很容易被當做非法入侵的跳板,或淪為惡意軟體散佈的溫床,只因傳統安全機制缺乏有效的用戶端安全防護與連線安全。

惟一旦藉助Unisys Stealth,除了可隱藏高機密的主機系統外,並透過類似Site-to-Site VPN概念,保護透過公眾網路傳輸的資料安全,同時搭配提供SSVT個人用USB裝置,發揮近似於SSL VPN或IPSec Client的用途,從而保障遠端接入的資料安全;此外一經善用COI群組化管理思維,亦可同步確保移動與智慧終端的資料安全,以及在多用戶的雲端環境上建立資料傳輸屏蔽,順勢將前述潛在危機化解殆盡。