全球最大企業,包括了不少IT和跨國企業,紛紛轉用了新一代防火牆,其中最為熱門產品之一,為去年上市的Palo Alto Networks。
Palo Alto技術受研究機構Gartner肯定,獲納入導領者行列。本港中信國際電訊CPC,宣佈與Palo Alto展開策略夥伴關係,成為北亞區,首家安全管理服務,利用Palo Alto防火牆,推出防火牆管理服務TrustCSI Managed Firewall Services(MFS),結合了實時監察的SIEM方案,加強企業防禦能力。
據中信國際電訊CPC信息科技及安全服務高級經理錢志傑表示:「傳統網絡世界,防火牆只集中檢查應用封包通過的埠位(Port)。以往,不同應用慣性使用不同埠位,埠位相等於應用;而IP位址則相等於用戶身份,各用戶採用不同IP,可以IP去限制不同權限。封包就相等應用內容,利用防毒和過濾郵件,來檢查封包內容是否安全,或者屬於敏感類別。」
傳統防火牆以監察網絡IP第三層為主,防火牆透過攔截部分埠位數據流過,以保護網絡不受干擾。上一代防火牆之所以失去效用,原因在只集中於防禦埠位和 IP位址。隨著Web應用流行,大部份通訊均透過Web形式交付,以TCP協定80和443埠位傳送,防火牆一般均容許上述埠位自由流過。數據通過Web介面流入,又難以分辨內容,基於埠口的保護機制,也完全失去了意義,數據是否敏感,或者帶攻擊性,均無從得悉,有時內容更潛在有惡意程式。
隨著流動用戶增加,VPN普遍採用,亦難以固定IP,監察控制不同用戶。透過 Web介面的滲透,惡意程式可植入網絡內部,再發動攻擊。駭客更不乏組織犯罪,甚至是政府機關或恐怖分子發動攻擊,惡意程式滲透攻擊更加普遍,病毒更難清除。
UTM性能備受質疑
雖然說,市場上有不少防火牆,可提供所謂UTM功能,可監察應用層,某程度上解決了傳統防火牆的缺點,性能卻受極大限制,不能細緻地追蹤每別用戶行為。UTM是統一威脅防禦(Unified Threat Management)的簡稱,原理是在同一硬件,集合不同保安功能,多個設備堆疊一起;包括了防火牆、IPS、防病毒、過濾垃圾郵件、網頁過濾,一旦開啟愈多功能,封包經多重處理,效率易因超出負荷而驟降。
錢志傑說:「UTM以大量不相干系統,整合同一個硬件上執行,優點為毋須分別購置多項設備,較適合中小型企業。以IPS去辨識應用,再逐一辨別用戶身份,再利用各種過濾手段確定內容安全;例如受反垃圾電郵和防毒軟件檢查,缺點是難以擴充,網絡一旦流量急增,防火牆效率迅速下跌。」
新一代防火牆則完全放棄IP位址作為控制,完全結合目錄系統,用戶以任何IP登入,均可同一時間追蹤行為和身份,是否有權採用某項應用,並偵察出風險威脅的程度。
Palo Alto利用了AppID和UserID技術,數據進入後,完全不檢查埠位,直接根據應用和用戶身份,直接聯繫起兩者關係,控制執行權限,並可準確追蹤每一用戶,精細程度,遠超任何UTM的方案。
SIEM實時偵察攻擊
Palo Alto大中華區技術總監梁耀康說,簡單而言,UTM利用IPS檢查封包,一個封包要進行多次濄濾,速度大打折扣,也不能準確聯繫起用戶、應用和內容的關係。新一代的防火牆以單一通過(Single Pass),透過App-ID馬上檢查應用,結合用戶身份和內容資料,決定數據處理方式,完全不影響性能。
錢志傑表示:「Palo Alto可比喻為企業網絡的智能門鎖,仍必配合保安服務,確保門鎖不被人騷擾破壞。中信國際電訊CPC的SIEM服務,就發揮類似巡查作用。」SIEM是指資訊安全性和事件管理,透過擷取和分析所有企業的日誌資料,蒐集分析如防火牆、伺服系統、防毒系統、路由器等訊息,即時偵察攻擊,反饋到安全控制中心(Security Operation Centers)內,即時加以堵截。
中信國際電訊高級副總裁鄺偉基說,Palo Alto功能強大,可整合至Windows的Active Directory或者LDAP目錄系統,加上事故報告,帶來前所未見的透視性。可是新一代防火牆裝組複雜,而產生大量有用數據,再精細結合SIEM強大功能,可推測是否受攻擊,或出現異常或違紀行為,配合SIEM實時檢查,完全發揮新一代防火牆效益。
Palo Alto Networks 香港及澳門區區域經理潘耀康說,新一代防火牆則是從根本設計,針對更高層次保安要求,分析每種應用協用,尤其適合金融業法規遵從要求。
SSL加密亦無所循形
梁耀康指,現代企業最大威脅,來自電郵和 Web應用,類似社交應用,近年為保障用戶私隱,紛紛採用SSL加密,令掃除隱藏的惡意程式更難;例如說從網上下載檔案;不少受SSL加密。此外,惡意程式變種頻密,上一代憑「簽署式樣」(Signature),逐一辨認過濾病毒,已完全不能發揮效用,部分惡意程式的源碼檔,甚至有數段,只為改變Signature內容而設,只要略加改動,再重新編碼,就變成全新惡意程式品種,避開測檢。
梁耀康說,傳統上利用Signature檔,單靠程式而產生的獨特Hash數值,作辨認阻擋一大弊端,就是一旦遇上零日攻擊( Zero day attacks),就無從抵禦。Palo Alto利用了Wildfire技術,下載前利用雲端技術,先行測試檔案安裝後的行為,判斷檔案是否屬惡意程式。
鄺偉基說,無線網絡和BYOD出現後,網絡保安更加複雜。以往固定網絡可依靠目錄系統,嚴格控制用戶的行為,但流動平台制式五花八門,如何控制不同用戶,進入網絡後權限行為,監控個人化及多元化設備,連接企業網絡後存取資訊的情況;涉及網絡監控範疇,新一代防火牆的作用,就更加明顯。
Palo Alto技術受研究機構Gartner肯定,獲納入導領者行列。本港中信國際電訊CPC,宣佈與Palo Alto展開策略夥伴關係,成為北亞區,首家安全管理服務,利用Palo Alto防火牆,推出防火牆管理服務TrustCSI Managed Firewall Services(MFS),結合了實時監察的SIEM方案,加強企業防禦能力。
據中信國際電訊CPC信息科技及安全服務高級經理錢志傑表示:「傳統網絡世界,防火牆只集中檢查應用封包通過的埠位(Port)。以往,不同應用慣性使用不同埠位,埠位相等於應用;而IP位址則相等於用戶身份,各用戶採用不同IP,可以IP去限制不同權限。封包就相等應用內容,利用防毒和過濾郵件,來檢查封包內容是否安全,或者屬於敏感類別。」
傳統防火牆以監察網絡IP第三層為主,防火牆透過攔截部分埠位數據流過,以保護網絡不受干擾。上一代防火牆之所以失去效用,原因在只集中於防禦埠位和 IP位址。隨著Web應用流行,大部份通訊均透過Web形式交付,以TCP協定80和443埠位傳送,防火牆一般均容許上述埠位自由流過。數據通過Web介面流入,又難以分辨內容,基於埠口的保護機制,也完全失去了意義,數據是否敏感,或者帶攻擊性,均無從得悉,有時內容更潛在有惡意程式。
隨著流動用戶增加,VPN普遍採用,亦難以固定IP,監察控制不同用戶。透過 Web介面的滲透,惡意程式可植入網絡內部,再發動攻擊。駭客更不乏組織犯罪,甚至是政府機關或恐怖分子發動攻擊,惡意程式滲透攻擊更加普遍,病毒更難清除。
UTM性能備受質疑
雖然說,市場上有不少防火牆,可提供所謂UTM功能,可監察應用層,某程度上解決了傳統防火牆的缺點,性能卻受極大限制,不能細緻地追蹤每別用戶行為。UTM是統一威脅防禦(Unified Threat Management)的簡稱,原理是在同一硬件,集合不同保安功能,多個設備堆疊一起;包括了防火牆、IPS、防病毒、過濾垃圾郵件、網頁過濾,一旦開啟愈多功能,封包經多重處理,效率易因超出負荷而驟降。
錢志傑說:「UTM以大量不相干系統,整合同一個硬件上執行,優點為毋須分別購置多項設備,較適合中小型企業。以IPS去辨識應用,再逐一辨別用戶身份,再利用各種過濾手段確定內容安全;例如受反垃圾電郵和防毒軟件檢查,缺點是難以擴充,網絡一旦流量急增,防火牆效率迅速下跌。」
新一代防火牆則完全放棄IP位址作為控制,完全結合目錄系統,用戶以任何IP登入,均可同一時間追蹤行為和身份,是否有權採用某項應用,並偵察出風險威脅的程度。
Palo Alto利用了AppID和UserID技術,數據進入後,完全不檢查埠位,直接根據應用和用戶身份,直接聯繫起兩者關係,控制執行權限,並可準確追蹤每一用戶,精細程度,遠超任何UTM的方案。
SIEM實時偵察攻擊
Palo Alto大中華區技術總監梁耀康說,簡單而言,UTM利用IPS檢查封包,一個封包要進行多次濄濾,速度大打折扣,也不能準確聯繫起用戶、應用和內容的關係。新一代的防火牆以單一通過(Single Pass),透過App-ID馬上檢查應用,結合用戶身份和內容資料,決定數據處理方式,完全不影響性能。
錢志傑表示:「Palo Alto可比喻為企業網絡的智能門鎖,仍必配合保安服務,確保門鎖不被人騷擾破壞。中信國際電訊CPC的SIEM服務,就發揮類似巡查作用。」SIEM是指資訊安全性和事件管理,透過擷取和分析所有企業的日誌資料,蒐集分析如防火牆、伺服系統、防毒系統、路由器等訊息,即時偵察攻擊,反饋到安全控制中心(Security Operation Centers)內,即時加以堵截。
中信國際電訊高級副總裁鄺偉基說,Palo Alto功能強大,可整合至Windows的Active Directory或者LDAP目錄系統,加上事故報告,帶來前所未見的透視性。可是新一代防火牆裝組複雜,而產生大量有用數據,再精細結合SIEM強大功能,可推測是否受攻擊,或出現異常或違紀行為,配合SIEM實時檢查,完全發揮新一代防火牆效益。
Palo Alto Networks 香港及澳門區區域經理潘耀康說,新一代防火牆則是從根本設計,針對更高層次保安要求,分析每種應用協用,尤其適合金融業法規遵從要求。
SSL加密亦無所循形
梁耀康指,現代企業最大威脅,來自電郵和 Web應用,類似社交應用,近年為保障用戶私隱,紛紛採用SSL加密,令掃除隱藏的惡意程式更難;例如說從網上下載檔案;不少受SSL加密。此外,惡意程式變種頻密,上一代憑「簽署式樣」(Signature),逐一辨認過濾病毒,已完全不能發揮效用,部分惡意程式的源碼檔,甚至有數段,只為改變Signature內容而設,只要略加改動,再重新編碼,就變成全新惡意程式品種,避開測檢。
梁耀康說,傳統上利用Signature檔,單靠程式而產生的獨特Hash數值,作辨認阻擋一大弊端,就是一旦遇上零日攻擊( Zero day attacks),就無從抵禦。Palo Alto利用了Wildfire技術,下載前利用雲端技術,先行測試檔案安裝後的行為,判斷檔案是否屬惡意程式。
鄺偉基說,無線網絡和BYOD出現後,網絡保安更加複雜。以往固定網絡可依靠目錄系統,嚴格控制用戶的行為,但流動平台制式五花八門,如何控制不同用戶,進入網絡後權限行為,監控個人化及多元化設備,連接企業網絡後存取資訊的情況;涉及網絡監控範疇,新一代防火牆的作用,就更加明顯。
沒有留言:
發佈留言