一旦連接互聯網,機構大都會裝置網絡防火牆(Network firewall),以抵禦網上的攻擊入侵。但是,很多人卻不知道,網絡防火牆其實並不能保護企業資料和網站安全。更糟的是,內部權限一旦設定錯誤,暴露了重要數據予授權以外人士,結果也可導致資料外泄。
網絡防火牆並不能保護針對應用層攻擊,而只是針對保護協定,例如禁止通過Internet某些協定,或作為VPN連接。可是,現代應用廣泛採用HTTP協定,也就所謂「Web 2.0」應用,網絡防火牆幾乎一定容許HTTP協定通過,不少攻擊正針對Web應用弱點,從網絡防火牆看似正常訪問,其實可能是黑客攻擊。
網上盗竊可通過Web應用,甚至進入檔案系統,甚至登入數據庫,然後抄走資料。諸如此類的保安漏洞鄉,多不勝數,為了保護客戶數據,各國金融監管紛紛設立法規,要求企業處理客戶的敏感資料,尤其是金融機構,必須遵守的嚴謹程序和保障。其中最著名是發卡機構所訂立的PCI-DSS標準;任何機構儲存、處理、使用和傳送金融卡用戶資料,都必須遵守以上標準,否則受嚴厲處分和罰款。
但每年不少商業網站,仍成功遭黑客從應用層入侵,或者遭受內部盗竊,招致金錢損失或客戶資料被盗,甚至知識版權和商業機密流失。
網上攻擊防不勝防
事實上,過去數年,大規模數據外洩,幾乎層出不窮,導致大量用戶個人資料被盗,轟動一時的入侵案;包括了新力集團的Xbox網站和社交平台LinkedIn等,均遭從應用層入侵網站。年初,新力集團就因上年的資料外泄,被英國當局重罰了二十五萬英磅。上月,美國芝加哥金融研究機構MorningStar亦被入侵,也損失大量客戶資料。
黑客通過出售資料圖利,入侵誘因大增。故此,保護數據庫和檔案系統的專用防火牆和保安產品,大量湧現。例如Varonis以保護檔案系統、AD和SharePoint作主打、而IBM的InfoSphere Guardium,則專門保護數據庫,而Tivoli產品則保護AD,IBM的ISS也能攔截 Web攻擊。
不過,以應用層的保護,最全面的方案仍要數Imperva。
Imperva亞太暨日本區副總裁Stree Naidu表示,Imperva乃由全球首部網絡防火牆,CheckPoint創辦人之一,以色列專家Shlomo Kramer於2002年所創辦。Kramer很早就洞悉,單靠網絡防火牆,築起外圍防禦工事,不足以保護企業數據,必須有一種專門保護數據的機制,故創立了Imperva,開發專門保護數據的應用防火牆,簡稱WAF(Web Application Firewall)。
Naidu指出,Imperva不能取代網絡防火牆;例如Palo Alto、Juniper、CheckPoint,WAF只檢查應用層活動,也不能設置大量的規則,監察不同協定和IP。反之,網絡防火牆也不能告訴管理人員,究竟誰在存取數據庫?是否有人正大量抄走資料?是否有人企圖越權存取?那些訪問屬於可疑活動?AD是否被不尋常地改動?這一切,均要靠WAF才能做到。
WAF清楚探測網上訪問,那些屬於正常的要求,那些要求可能是黑客刺探和攻擊。一般而言,WAF能辨認出多種的攻擊形態,並即時拒絕。不少網站開發時,採用的工具有不少漏洞,針對網站弱點(Vulnerability)攻擊,例如以PHP語言開發的網站,就經常受Remote File Inclusion (RFI)攻擊,其中包括了Cross site attack,甚至通過Java漏洞發動攻擊,能讓黑客直接登入遠端的檔案系統。
應用防火牆花多眼亂
近年流行,專針對數據庫應用SQL Injection,甚至毋須用戶名稱和密碼,只利用SQL語法的漏洞,就可直接進入資料庫予取予攜。
針對數據庫有不少方案,包括了IBM的Guardium,主要針對結構性數據。而部分「應用交付控制器」ADC廠商;例如F5和Riverbed的Stingray,甚至雲端的CDN廠商Akamai,紛紛加入了WAF功能,能夠辨認部分的攻擊。
Naidu指出,部分的方案,幾乎只是純粹為應付法規要求,聊備一格。部分卻只針對結構或非結構性數據,部分則針對內部目錄系統,或者檔案系統設定。迄今為止,Imperva的SecureSphere仍是最全面的保護方案。
WAF必須通過滲透測試(Penetration Test),Imperva在不同測試中所獲的評分最高。「Imperva不單通過所有滲透測試,也從來未被黑客攻破。」
Imperva同時針對結構和非結構性數據,從內而外,提供全方位的保護;包括類似Guardium的數據庫活動監察(Database Activity monitoring,DAM)工具,防止內部違規行為。
Imperva保護數據庫、Web應用、檔案、目錄系統、甚至是SharePoint的檔案。Naidu指出,Imperva指對不同數據庫,甚至免費PostgreSQL和IBM主機上的IMS,作出針對性保護,Imperva也能確保不同檔案系統,例如NFS等,免於受到入侵。
2011年,Imperva在紐約證券交易所上市,目前有二千二百多名客戶。除了SecureSphere,也設有Incapsula雲端應用防火牆方案,保護供較小型的企業的應用。
網絡防火牆並不能保護針對應用層攻擊,而只是針對保護協定,例如禁止通過Internet某些協定,或作為VPN連接。可是,現代應用廣泛採用HTTP協定,也就所謂「Web 2.0」應用,網絡防火牆幾乎一定容許HTTP協定通過,不少攻擊正針對Web應用弱點,從網絡防火牆看似正常訪問,其實可能是黑客攻擊。
網上盗竊可通過Web應用,甚至進入檔案系統,甚至登入數據庫,然後抄走資料。諸如此類的保安漏洞鄉,多不勝數,為了保護客戶數據,各國金融監管紛紛設立法規,要求企業處理客戶的敏感資料,尤其是金融機構,必須遵守的嚴謹程序和保障。其中最著名是發卡機構所訂立的PCI-DSS標準;任何機構儲存、處理、使用和傳送金融卡用戶資料,都必須遵守以上標準,否則受嚴厲處分和罰款。
但每年不少商業網站,仍成功遭黑客從應用層入侵,或者遭受內部盗竊,招致金錢損失或客戶資料被盗,甚至知識版權和商業機密流失。
網上攻擊防不勝防
事實上,過去數年,大規模數據外洩,幾乎層出不窮,導致大量用戶個人資料被盗,轟動一時的入侵案;包括了新力集團的Xbox網站和社交平台LinkedIn等,均遭從應用層入侵網站。年初,新力集團就因上年的資料外泄,被英國當局重罰了二十五萬英磅。上月,美國芝加哥金融研究機構MorningStar亦被入侵,也損失大量客戶資料。
黑客通過出售資料圖利,入侵誘因大增。故此,保護數據庫和檔案系統的專用防火牆和保安產品,大量湧現。例如Varonis以保護檔案系統、AD和SharePoint作主打、而IBM的InfoSphere Guardium,則專門保護數據庫,而Tivoli產品則保護AD,IBM的ISS也能攔截 Web攻擊。
不過,以應用層的保護,最全面的方案仍要數Imperva。
Imperva亞太暨日本區副總裁Stree Naidu表示,Imperva乃由全球首部網絡防火牆,CheckPoint創辦人之一,以色列專家Shlomo Kramer於2002年所創辦。Kramer很早就洞悉,單靠網絡防火牆,築起外圍防禦工事,不足以保護企業數據,必須有一種專門保護數據的機制,故創立了Imperva,開發專門保護數據的應用防火牆,簡稱WAF(Web Application Firewall)。
Naidu指出,Imperva不能取代網絡防火牆;例如Palo Alto、Juniper、CheckPoint,WAF只檢查應用層活動,也不能設置大量的規則,監察不同協定和IP。反之,網絡防火牆也不能告訴管理人員,究竟誰在存取數據庫?是否有人正大量抄走資料?是否有人企圖越權存取?那些訪問屬於可疑活動?AD是否被不尋常地改動?這一切,均要靠WAF才能做到。
WAF清楚探測網上訪問,那些屬於正常的要求,那些要求可能是黑客刺探和攻擊。一般而言,WAF能辨認出多種的攻擊形態,並即時拒絕。不少網站開發時,採用的工具有不少漏洞,針對網站弱點(Vulnerability)攻擊,例如以PHP語言開發的網站,就經常受Remote File Inclusion (RFI)攻擊,其中包括了Cross site attack,甚至通過Java漏洞發動攻擊,能讓黑客直接登入遠端的檔案系統。
應用防火牆花多眼亂
近年流行,專針對數據庫應用SQL Injection,甚至毋須用戶名稱和密碼,只利用SQL語法的漏洞,就可直接進入資料庫予取予攜。
針對數據庫有不少方案,包括了IBM的Guardium,主要針對結構性數據。而部分「應用交付控制器」ADC廠商;例如F5和Riverbed的Stingray,甚至雲端的CDN廠商Akamai,紛紛加入了WAF功能,能夠辨認部分的攻擊。
Naidu指出,部分的方案,幾乎只是純粹為應付法規要求,聊備一格。部分卻只針對結構或非結構性數據,部分則針對內部目錄系統,或者檔案系統設定。迄今為止,Imperva的SecureSphere仍是最全面的保護方案。
WAF必須通過滲透測試(Penetration Test),Imperva在不同測試中所獲的評分最高。「Imperva不單通過所有滲透測試,也從來未被黑客攻破。」
Imperva同時針對結構和非結構性數據,從內而外,提供全方位的保護;包括類似Guardium的數據庫活動監察(Database Activity monitoring,DAM)工具,防止內部違規行為。
Imperva保護數據庫、Web應用、檔案、目錄系統、甚至是SharePoint的檔案。Naidu指出,Imperva指對不同數據庫,甚至免費PostgreSQL和IBM主機上的IMS,作出針對性保護,Imperva也能確保不同檔案系統,例如NFS等,免於受到入侵。
2011年,Imperva在紐約證券交易所上市,目前有二千二百多名客戶。除了SecureSphere,也設有Incapsula雲端應用防火牆方案,保護供較小型的企業的應用。
沒有留言:
發佈留言