建立网安联防 内外兼顾低御恶意威胁

依德科技资深网络网安技术顾问张伟翰。

环顾现今各项网安威胁，无庸置疑，「进阶持续性渗透攻击(APT)」的杀伤力与破坏性之强，称得上首屈一指，因此不少企业亟欲布建有效的防治方案，藉以抵御APT攻击的进犯。

然而依德科技资深网络网安技术顾问张伟翰强调，APT并非单一恶意软件，而是多道攻击步骤的集合体，企业若欲有效防范APT，所需要倚靠的并不是一套解决方案，而是多重的攻击防御机制。

阻档已知攻击外  更需防范未知威胁

论及APT攻击步骤，依序是恶意垃圾邮件、恶意网站连结、入侵弱点漏洞、不当下载，最终透过殭屍指令暨口令窃取达到夺取数据之目的，进而毁灭硬盘。针对这6道步骤，企业即需逐一建立Anti-Spam、Web Filtering、入侵防御系统(IPS)、Antivirus，及IP Reputation/DLP/DNS Firewall等对应防护机制。

光是部署前述机制，恐怕还不够，另需针对黑客惯常搭配APT攻势交互运用的两大恶意活动－DDoS、网站漏洞攻击，展开Anti-DDoS或网页应用防火墙(WAF)等对应防御措施。

然而只要布建好上述一干防护设施，便可让企业远离机敏信息外泄风险？答案当然是否定的，此乃由于，一些让企业相对熟悉且已普遍导入的防护系统，不管是次时代防火墙、电子邮件过滤、网站存取过滤、DDoS防御乃至于WAF，都仅是用以侦测阻挡攻击，意即是针对「已知」威胁的防御，在守护企业网安的偌大构图中，这不过是其中一块，尚需布建其他防护机制。

张伟翰认为唯有「内外兼顾」，才能牢牢守护企业，所以不仅要做到如同前述的侦测阻挡攻击，也需建立另外三大机制。

一是「识别新的威胁事件」，其重点在于侦测潜在威胁，而这些威胁属于「未知」性质，并无特徵码或指纹数据库可供比对，因此需要藉助沙箱、网络行为分析(NBA)、Client Reputation等新兴工具或技术；二是「减少被攻击面」，重点在于存取控管，且不仅止于企业相对重视的无线网络存取控管，还应该扩及至有线网络存取控管，并需要建立集中式存取政策管理系统；三是「事件纪录稽核」，重点在于持续的监控，相关辅助措施包括了网安事件报表，以及网络流量透明化。

除此之外，企业也必须有能力藉由网络拓朴、实体位置追踪，据以迅速定位任何网安事故的发生来源，以发挥实时回应、实时阻档之功效。

集中存取控制  强化区域网络管理

在此之中，如何因应未知攻击，无疑是建立内外兼顾网安联防机制的重要一环。对此张伟翰建议企业可采纳Client Reputation技术，透过分析计算的积分统计法，经由「使用者身份＋设备种类」，辅以包括UTM安控政策、事件积分定义等各类统计行为，最终产生有关风险状态的统计与分析结果，继而善用此成果，预防零时差攻击的发生。

说穿了，实施Client Reputation的目的，便是发现企业网络内部的异常行为，比方说，某位业务人员经常出现非法资源存取、或企图连线到奇怪的网站，触发的安全事件之多，在公司内部名列前茅，显见其为信誉低落的用户端，即便还未酿成大祸，企业IT管理者即可预先介入处理。

紧接着，企业需要布建进阶的Anti-Malware保护机制，而此类机制深具多重管理过滤能力，不仅内建诸如沙箱模拟、病毒行为预测与诱发、蠕虫内容特徵剖析等强化的防毒扫描引擎，也一并支持云端防毒、全球同步IP名誉数据库。

再者需严加防范DDoS攻击，但不宜仅倚靠IPS，只因传统IPS往往在与DDoS正面对决后，若非系统本身当掉，即是意外阻档了正常流量，仍然造成企业服务停摆，所以企业必须思索新的做法，便是藉助多层次网络及应用层行为模式分析，例如透过Syn Cookie判断来者究竟是机器还是一般人，一旦发现异常，随即动态产生特徵码，自动加以拦阻；如此一来，即使企业遭遇UDP Flood大量攻击，也能迅速遏阻，且同时允许正常流量如常进出，绝不干扰企业对外服务的运行。

针对存取控管议题，张伟翰建议企业可考虑建置一个以JPMS身份认证及网络存取控制系统为中心的机制，集中与后端AD、LDAP、RADIUS Proxy等帐号管理系统同步连动，而JPMS提供一套自注册系统，让使用者填写必要信息送出审核，使企业IT管理者轻易做到有？无线网络的MAC Address控管，据此节省人力，并发挥稽核控管、加速问题查找等双重效益。

另一方面，张伟翰呼吁企业评选内部区域网络，不应再单纯侧重机器规格，而应该重视诸如设备控管、异常告警、服务不中断等网管功能的健全与否。

以Alcatel-Lucent OmniVista网络管理系统为例，便有能力识别异常流量，如同IP Scan或Port Scan等异常行为，抑或Broadcast等激增大量封包，从而展开对应处理措施，连带发挥先期告警之功效，且透过集中画面，清楚实时显示异常VM所在主机、连接之Switch IP/Port，有助于企业IT管理者尽速掌握恶意攻击之先万亿，抢先阻断黑客攻势。