近日,本港再出現多宗網絡入侵和勒索加密,即使政府部門亦不能倖免。以往IT保安,主要透過終端(End Point)防毒或者防火牆作防禦。隨著黑客攻擊方式改變,單靠上述兩者作防衛,幾乎已完全不能奏效。
上星期,美國發生以IoT發動網絡攻擊,美國DNS服務商Dyn東岸網站受到DDOS攻擊,多家互聯網公司服務癱瘓。Dyn為Amazon、Etsy、GitHub、Shopify、Twitter、紐約時報多家公司,提供DNS服務。雖然上述公司網站運作正常,但網站名稱無法轉譯為IP位址,部分用戶無法訪問。
黑客不限於利用個人電腦作為僵屍網絡,也入侵IoT物件;包括攝影機、路由器、上述攻擊源於IoT物件遭Mirai惡意軟件騎劫,以加強攻擊力度。IoT設備部署之後,很少能升級軟件以堵塞漏洞,遂成為騎劫目標。
不少網絡設備公司,包括了思科和Juniper,不約而同提出了「網絡作防禦手段」的觀點。思科提出「網絡作為感應器」(Network as a Sensor),以NetFlow和其他思科設備蒐集的交換資訊,偵察出被受感染的部分,隔離出問題節點,再判斷入侵過程,作出追蹤和反制。
網絡作防禦手段
Juniper則提出Software-Defined Secure Networks platform (SDSN)平台,透過軟件自動化佈署防火牆的Policy,整合偵察(Detection)和執行(Enforce),以加快堵截惡意程式或者病毒。
Juniper剛於美國舉行NXTWORK 2016用戶大會上,公布了增強的安全產品組合,進一步增強其軟件定義的威脅防護平台,至網絡和交換機層面,同時支援虛擬和實體設備,從不同來源保安情報,即時用於隔離內部的交換機的埠位,甚至混合雲的環境。
較早前,Juniper推出了Sky Advanced Threat Prevention(ATP),透過雲端的SaaS應用,提供即時保安情報。Sky ATP可支援從網上不同來源的威脅情報,即時通報vSRX虛擬防火牆和SRX系統服務網關,也就是可用時適用於實體和虛擬網絡環境,甚至私有和混合雲環境,未來計畫支援虛擬平台VMware等的NSX虛擬網絡,馬上可分隔受感染VM,作出網絡的微分割(Micro-segmentation)。
自動更新設備加強保安
NXTWORK大會也公佈Security Director加入了Policy Enforcer。Security Director是Juniper可單點部署保安Policy平台,Policy Enforcer通過Sky ATP所獲的情 報,可同時更新防火牆和交換器,並為IT保安提供統一分析和威脅管理。
Juniper亞太區資訊安全資深顧問梁定康說,Sky ATP也可整合其他來源的保安資訊,例如網上公開或者其他保安公司的情報,Policy Enforcer則可同時更新防火牆和交換器Policy,自動馬上執行。
「例如說,透過Sky ATP傳來情報,Security Director感應某個節點正與網上控制惡意程式的C&C通訊,Policy Enforcer按Sky ATP指示向交換機發出隔離指令,阻止受感染終端擴散病毒。」梁定康說:「SDSN是開放平台,支援第三方保安情報,更可透過API支援其他平台,包括雲端或混合網絡環境。」
以往,不少偵察入侵和防禦,靠終端的代理程式(Agent)和防火牆,或者防毒軟件保護,已經遠不足夠。隨著零日攻擊普遍,IoT物件甚至難以堵塞漏洞,黑客轉而攻擊打印機、視像裝置、甚至是感應器,代理程式不能幅蓋所有攻擊面。
「從網絡馬上隔離威脅,幾乎是最有效手段。以往防火牆和交換器設計,往往要人手更新,Policy Enforcer則可自動更新,減低反應的時間,一旦發現某IP位址活動不尋常,已經加以分隔。Policy Enforcer能同時更新多種裝置,甚至是虛擬防火牆vSRX,以至交換器,未來甚至包括虛擬平台各種交換裝置。」梁定康說,Policy Enforcer的部署比其他方案更簡單,也開放API,支援其他廠商交換和保安設備,即使是混合設備的環境,亦可快速部署。
不少入侵事件發生後,往往必須靠網絡人員人手作出反應,防火牆又只能抵禦從外來的攻擊,內部感染更無能為力。目前的問題,並非保安情報太少,IT保安難以從數以萬計警報,判斷應採取行動。Policy Enforcer自動隔離有問題終端,先減低網絡受損程度,讓IT保安人員先控制情勢,再撲滅源頭。
沒有留言:
發佈留言