智能应用 影音

Check Point第五代防护 全面阻止未知威胁入侵

2018/07/10 - 张丹凤

随着近年网安事件层出不穷,让多数企业戒慎恐惧,纷纷强化网安投资;而涵盖防火墙、入侵防御、应用程序管控、Anti-Bot等多重机能的次时代防火墙(NGFW),便是企业布局的重心。以Check Point观点来看,NGFW可定义为第三代防护,仍奠基于特徵码分析,擅长防御已知攻击,但若遭遇APT、勒索病毒等未知威胁,恐力有未逮;因此企业的防护思维亟需向前推进。

Check Point台湾区总经理刘基章指出,为了因应未知攻击,网安业界早已推出沙箱技术,不再倚赖特徵码过滤、而取决于Payload分析,此可归类为第四代防护,目前导入该技术的企业比重约有一成;尽管第四代防护仍待推广,但Check Point认为,肇因云端、移动化、物联网(IoT)、人工智能(AI)等数码浪潮席卷,不论员工或装置的联网行为皆大幅变化,企业单靠大型闸道、搭配沙箱技术进行防守,显然并不足够,所以该公司揭櫫第五代防护新概念,标榜凭藉Infinity全新架构,统一执行闸道、端点、移动、云端的安全控管。

以统一安全管理,实现第五代防护

刘基章进一步说,伴随IoT发酵,衍生诸如工业4.0等智能应用,导致原处于封闭环境的系统或设备,例如工业控制系统(ICS)、信息采集与监控系统(SCADA)等,都陆续连上网际网络,连带让黑客开始觊觑操作科技(OT)系统,无奈IT、OT网安防护内容有所歧异,以致无法透过既有IT防护系统来集中管制;然而Check Point的Infinity,则是唯一能兼管IT与OT的安全架构,譬如藉助其中NGFW达到实体网络隔离,藉以切开应用系统、使SCADA、Database、ERP、MES...等等重要系统都有各自疆界,纵使各别系统遇骇,也可将灾难限缩至最小,另可运用SandBlast先进沙箱技术,抵御APT等未知威胁。

具体来说,综观今后数码应用环境,不管是闸道、移动网络、终端装置或云端服务,皆可能成为黑客的入侵点,通通都是防御破口,若企业选择引进多套厂牌系统,针对这四大破口建立防线,容易产生诸多盲点,首先不同防护系统之间约有20%功能重叠,因而出现叠床架屋,其次每套系统皆有不同的原厂、SI与保固期限,意谓网安管理者必须学习多种技术,执行繁复的维运管理,这些复杂因子,都可能沦为风险。

透过第五代防护管理系统Infinity,企业可藉助常见的软硬件配置方式,或是有助于将CAPEX转为OPEX的服务订阅模式,快速建立来自Check Point单一厂牌的防火墙、入侵防御、NGFW、沙箱、云端安全、移动安全等完整机能,且经由CloudGuard SaaS遏止黑客劫持云端工作负载帐户,从而化繁为简,经由集中化机制统一管控众多功能,摆脱叠床架屋疑虑。

藉助Compliance Blade,从容克服法遵挑战

「网安是0与1概念,只要被攻破,所有努力皆白费。」刘基章强调,企业欲守护数码资产,就必须摒弃「差不多」的习性,切忌便宜行事引进防护功能不到位的产品。为了帮助企业战胜黑客,Check Point提供许多独特防护系统,如前面提到的SandBlast,是罕见内建「档案内容清理与重建」(CDR)技术底蕴的沙箱,可透过威胁萃取技术,将第一封等待过滤邮件的巨集加以去除,以无害化纯文字型式传递给使用者,达到最佳预防功效。

不可讳言,网安攻防是一场无休止的矛与盾战争,黑客总是设法磨利他的矛,意图刺穿你的盾;换言之,随着黑客技术精进,当然可能成功规避沙箱。有监于此,CheckPoint贴心提供多道防御利器,让黑客就算辛苦闯过沙箱这一关,也难展开后续攻击活动;例如可装载于各端点的Anti-Ransomware代理程序,一旦侦测到针对大量档案加密的异状,便可提前根据将被加密的档案,进行快照与储存,又或者像是硬盘加密方案,蕴含CPU层级的侦测技术,当有人企图以夹带毒害的USB插入ICS等关键系统,都可在第一时间予以剔除。

另值得一提,随着针对移动设备而设计的恶意App、恶意SMS短连结日益增多,加上恶意Wi-Fi AP威胁挥之不去,企业愈来愈难确认员工手机是否安全无虞,此时便可利用SandBlast Mobile防治这些移动威胁,避免恶意程序被带入内网。此外因应GDPR、ISO27001等日趋迫切的法遵需求,企业可援引Check Point的ComplianceBlade,协助持续计算合规达成率,不断执行最佳实务演练,将违规风险降至最低。


图说:Check Point台湾区总经理刘基章认为,无论藉助2010年崛起的次时代防火墙,或2017年兴起的沙箱技术,都难以全面兼顾闸道、端点、云端、移动等所有管道的未知威胁入侵,促使该公司推出第五代防护的安全模型Check Point Infinity。


图说:Check Point定义网安防护时代,次时代防火墙(NGFW)为Gen III,沙箱技术取于Payload分析防护为Gen IV。而迎接物联网的时代,Gen V更企图以中央统一执行闸道、端点、移动、云端的完全控管。