并用NPB与SaaS NDR 让OT网安威胁无所遁形

Gigamon台湾区技术总监林大钧。DIGITIMES摄

企业迎向数码转型，必须倚靠扎实的网安防御与高速的网络效能基底，因此如何实现实体虚拟网络的可视化，成为必要课题。

Gigamon台湾区技术总监林大钧表示，企业欲达到网络流量可视化，NPB(Network Packet Broker)无疑扮演重要角色，而Gigamon即是全球NPB市场的领导品牌，擅于收取实体、虚拟及云端等全网流量，经过筛选、复制后，将必要信息精准输送给各项在线工具设备，例如防火墙、IPS、WAF，甚至是旁接的侧录设备，或数据库稽核设备等。

假使缺少NPB的辅助，意谓个别工具设备必须自负流量收集任务，容易衍生一些问题，包括企业在每个厂区都部署大量工具设备，并且因应现今高达10Gbps、40Gbps网络速率，配置相应吞吐效能的设备规格，不仅布建数量多、规格高，也将大部份效能耗用于处理无关信息，以及重复的加解密运算，对企业绝非划算投资。

林大钧说，更大问题在于，碍于传统架构限制，几乎所有网安设备都在单一闸道口执行监控，也就是只看管南北向流量；殊不知许多服务器、特别是VM，彼此间经常在内网交换数据，代表网安设备因鞭长莫及、欠缺了对东西向流量的解读机会，故而无力及时防堵横向感染扩散，连带无法满足零信任安全原则。

反观企业一旦布建Gigamon NPB，即可统一收容所有厂区的流量，集中进行一次性加解密，尔后就依据不同应用流量做筛选，并对重覆流量进行De-dup去除重覆封包，再按个别分析设备的需求，分别导入需要被分析的流量，等于预先滤除不必要的流量，因而减少分析设备收取流量的负担，从而带来诸多好处。比如大幅降低分析设备的部署数量与规格，也减少对网络带宽的占用、避免影响各项应用效能；更重要的，NPB可协助将东西向流量、云端服务流量导向防火墙、WAF、IPS和沙箱等网安设备进行处理，不仅简化并扩大网络除错收容架构，也更易于消弭潜藏的网安死角。

而Gigamon除提供NPB外，也于近年推出ThreatInsight NDR服务，对亟欲解决SOC架构限制、又苦恼于工厂OT设备无法安装EDR的制造业，堪称是强化网安情资分析能力的理想解方。

ThreatInsightNDR Sensor为机架型卡板，经过简单插入及线上设定后，即可快速接收NPB所萃取的流量Metadata，并依据正常流量做成样板，有效区隔异常的南北或东西向流量。

一旦侦测到可疑流量，接着可借助Gigamon引导式服务，由TSMs(Technical SuccessManagers)与ATR(Applied Threat Research)等网安团队协助进行研究，万一无法透过单一事件看出端倪，就由Guided-SaaS MSP服务协助快速关联所有全球客户情资，并将调查结果呈现于HuntingDashboard情网安全事件调查狙击仪表板。换言之，藉由Gigamon NPB搭配ThreatInsight，企业就能全面掌握情资，加速回应任何可疑事件。