最近更新文章
2017/11/21
偵測、鑑識、回應兼備 端點安全更上層樓
2017/11/21
四個開源大數據工具 打造超高速輿情監控系統
2017/11/20
VMware協助台灣託管服務商轉型並交付新型服務
2017/11/20
打造私有雲協作平台 重新定義工作型態
2017/11/20
虛擬桌面VMware再出招 新版Horizon 7.2大提升
2017/11/19
Pure Storage 推出全新SAP自動化拷貝工具(CAT)
2017/11/17
打造智慧工廠 IPC大廠分享實戰經驗
2017/11/17
跨雲時代的轉型秘訣
2017/11/17
行為鑑識搭配防毒引擎 提升端點偵測效率
2017/11/16
威聯通科技引領雲端風潮 整合高速運算啟動AI應用
2017/11/16
Juniper Networks協助國立暨南國際大學擴充校園核心網路
2017/11/16
EDR跨足次世代防毒 挺進端點保護平台市場
2017/11/15
台灣駭客隊伍數破新高,全球駭客12月來台爭冠
2017/11/15
趨勢科技獲 2017 NSS Labs 評測,入侵偵測率的完美成績
2017/11/15
紅帽與阿里雲攜手 運用開放原始碼技術帶來更高靈活性
2017/11/15
team+攜手VMware 打造俱行動安全管理的企業協作平台
2017/11/15
多功能工作站 設備擴充好利害
2017/11/15
SAP協助如興進行數位轉型
2017/11/15
英特爾首款桌上型電腦與工作站專用Optane固態硬碟
2017/11/15
曜越全新數位監控軟體 雲端智慧電源管理平台
2017/11/15
達友科技、中華電信與Carbon Black聯手打造最強資安艦隊!
2017/11/15
VMware結合凌華科技提出預先整合式物聯網方案
將此篇文章跟 Facebook 上的朋友分享將此篇文章跟 Plurk 上的朋友分享將此篇文章跟 Twitter 上的朋友分享列印轉寄
2017/1/10

資安方案仍須負擔建置維運 四大方向把錢花在刀口上

低預算部署有效防線 拉高攻擊成本讓駭客卻步

張紘綱
企業為了設法打造安全無虞的環境,讓那些企圖攻擊你的人為了迴避防護網的偵測而耗費更多時間、精力和金錢,往往要承擔很高的代價。這不僅對於攻擊者而言過於昂貴,對企業而言也同樣如此。不只是方案本身的投資成本過於昂貴,而且營運上也必須承擔成本壓力,因為每一個方案都必須妥善的管理、更新、監控和延展。
最近發生的幾件重大攻擊事件大家應該還記憶猶新。當企業正在慶祝物聯網帶來的營運效益時,從九月開始一個對Blog記者的網頁資安攻擊,撼動了網路託管業者,甚至為了不影響其他客戶更放棄了Bolg的自衛防禦功能。另如DNS在不經意的幫兇下就可任意放縱攻擊者在全球數據中心複製內容,以擴散DDoS攻擊發生。

令人感到矛盾的是,攻擊者覬覦的是資料,然而我們卻傾向於在最遠離資料的地方(亦即網路周邊)構築防衛和保護。那麼該如何做到讓攻擊者承受過高的成本,而不會被迫承擔昂貴的建置費用?在現實的環境中,並沒有所謂的萬靈丹可以解決這個問題,不過卻可以遵循一些方法以達到降低自己的成本,同時增加攻擊者的成本。


▲人為錯誤、欠缺程序以及外部威脅是前三大資安風險。


善用平台

平台是奠基於一個分享共同環境的概念。它可以一如虛擬化與容器化(Containerization)般的降低成本,並且提升運算資源效率。例如,一個應用交付控制器(ADC)可以用模組延伸以支援廣泛的功能,包括安全性。許多企業已利用ADC確保可用性和負載平衡,並且也可以支援Web應用防火牆(WAF)及其他安全相關功能。ADC提供一個整體性的方案,其成本遠低於各項單一功能方案的成本總和。

值得一提的是負載平衡。ADC不同於基本型負載平衡器的是,它通常提供許多與安全相關的防護機制,可用來增加攻擊的困難度。SYN Flood偵測、Cookie加密、URL模糊化以及IP/Port過濾等,都是負載平衡服務常見的功能。如此便可以在更接近應用的地方增加保護,讓攻擊者更難以侵入。

營運化

目前並沒有所謂的「萬寧丹」可以單獨地提供企業所需的一切以維護安全和延展應用。企業需要訴諸多重方案,而這意謂著多重控制台、管理體系和人力。這些都會耗用到預算。

營運化(Operationalization)促成自動化與協調,並且有助於管控方案成本。例如,自動延展能力可以運用既有的資源向上延展,迫使攻擊者增加攻擊成本,同時讓企業的防護成本獲得控制。

營運化也能防範高風險來源,包括人為錯誤和欠缺程序。關於「欠缺程序」問題,你無法為一個不存在的程序提供自動化。而如果你沒有這樣的程序,就應該設法建立。它可以確保當應用邁入生產階段時,採行必要的步驟以維護應用安全和延展。至於人為錯誤方面,它代表一項巨大的風險,因為它會不慎地開啟安全漏洞,讓惡意人士有機會侵入,不論是直接侵入或在巨量DDoS攻擊時潛入。


▲在實際常見的漏洞攻擊中,跨站腳本(XSS)攻擊仍高居第一位。


雲端延展

雲端為無法自動延展及頻寬不足的情況提供了解決方案。雲端延展(cloud as scale)提供一項絕佳的方案讓你有效地防衛並提高攻擊成本。於遭受攻擊時,將DDoS清洗(DDoS Scrubbing)和保護切換到雲端,將可以立即減少對於商務的衝擊,包括生產力和利潤等,而這也意謂著較低成本的防護。利用雲端的無限延展和頻寬吸收攻擊,長期而言就能節省很多成本。

從裡到外的安全性

一如前述,攻擊者通常覬覦的目標是企業資料,因為資料就等於金錢。因此企業對於資料的安全維護必須如同保護網路周邊一樣用心。這意謂著運用所有可用的技術,迫使攻擊者必須為竊取資料而承擔非常昂貴的成本。企業必須保持警覺性,非僅保護那些進入應用的資料,同時也必須保護那些從應用輸出的資料,亦即請求與回應(request and response)保護。

F5的2016年應用交付狀態報告(State of Application Delivery 2016)顯示,大多數(67%)已部署WAF的受訪者對於他們組織在承受應用層攻擊方面的能力,表示有信心。SQLi和XSS、WebSocket安全性、Session Hijacking預防、及其他諸多功能,確保攻擊者若想竊取資料就必須付出非常昂貴的代價。

事實上,涵蓋所有用戶端、請求、回應三大攻擊面向的一致保護,讓企業更有信心承受應用層攻擊。那並不是一項「邊界」而是應用中心(App-centric)功能,它比較接近應用而非網路邊界,而其目標並不是要阻斷網路攻擊,而是那些實際上企圖竊取資料的攻擊。那是攻擊者尋求的「價值」,而你必須讓那個價值變得過於昂貴,迫使攻擊放棄而轉移他們的目標。

我們無法讓安全變得便宜。但有方法可以降低成本,迫使攻擊者必須付出比企業更高的代價,而不需要讓自己為了維護應用安全而破產,如果做得好,企業的防衛將迫使攻擊者耗用過多他們本身的資源與金錢,而功虧一簣。

(本文作者張紘綱為F5 Networks台灣區總經理)

這篇文章讓你覺得滿意不滿意
送出
相關文章
偵測、鑑識、回應兼備 端點安全更上層樓
行為鑑識搭配防毒引擎 提升端點偵測效率
EDR跨足次世代防毒 挺進端點保護平台市場
台灣駭客隊伍數破新高,全球駭客12月來台爭冠
趨勢科技獲 2017 NSS Labs 評測,入侵偵測率的完美成績
留言
顯示暱稱:
留言內容:
送出