金融服务大翻转 慎防网页防护出现破口
- DIGITIMES企划
-
一直以来,银行多仰赖柜台人员、理财专员、终端电脑或ATM,处理其与顾客之间的互动关系,所有界面都位于内网,在可被预期、可受控制的范围内,犹能轻松应付相关网安或负载事宜;反观今日伴随移动网际网络浪潮席卷,使金融服务出现大幅翻转,许多界面开始在外网出现,使得银行开始面临极为艰钜的网页防护挑战。
力丽科技产品经理孙英家表示,细究金融服务界面翻转下的网安与负载挑战,针对外网部份,银行首先需基于线路带宽整合暨备援考量,部署链路负载均衡设备,另因应不同的防护需求,导入次时代防火墙(NGFW)、网页防火墙(WAF)及阻断攻击防护设备等不同方案;到了内网,为提升数据中心效能与安全性,必须逐一布建应用交付控制器、APT沙箱分析系统、内部网络防火墙、认证管理系统、APT邮件防护系统、集中安全管理控制台,乃至集中式日志与报表系统,可想而知IT人员的工作负荷,必然急遽升高。
上述各个环节,与网页防护直接相关的一环即是WAF。不少使用者认为,凭藉NGFW、入侵防御系统或UTM,即可实现L7管控,继而确保网页安全,殊不知此处所指L7侦测、防御能力,主要是针对应用程序内容,意欲对HTTP Code、意即网站部份执行深度防范,仍需藉助WAF。
网页程序修复空窗期 唯有WAF可提供防御
以力丽科技代理销售的Fortinet FortiWeb网页防火墙而论,不仅提供WAF防护机制,亦兼具弱点检测(黑箱扫瞄)等完整功能,并模拟黑客攻击手法,测试执行中的应用程序有无漏洞,二方面则倚重WAF,针对程序修复前的状态提供防御措施,避免这段空窗期沦为黑客可乘之机。
论及网页防护面面观,WAF必须蕴含的必要功能项目,首要之务即是防止网页窜改,而FortiWeb亦内建对应功能,藉由Baseline设定方式,随时比对网页是否遭到换置,并于必要时提供告警发送及自动复原功能。此外,FortiWeb亦具备智能化自动学习机制,其有助于缩短专案导入时间,待上线后会重新检视网站架构与内容,藉由持续不断的学习过程来建立白名单,作为防御基底。
值得一提的,FortiWeb同时内建上传档案扫毒功能,据以防范未知恶意程序;内含弱点扫瞄能力,如前所述可对网站及网页进行弱点扫瞄,另支持6种知名第三方扫瞄软件汇入,立即发挥Virtual Patching防护功能;同步提供完整机型与VM等弹性配置选项。
