雖然問世已久,資安人員最熟悉的UTM(Unified Threat Management,整合型威脅管理設備),仍然很受企業用戶歡迎,在銷售金額和出貨量方面,比2014年同期分別增長17.5%、16.2%,較整體資安設備的數字高出兩倍有餘,證明市場需求依然十分強勁。
用道高一尺、魔高一丈來形容全球資安狀況,應該再適合也不過,現今企業為抵抗駭客多變攻擊手法,總會不斷添購各種資安設備,除希望能維持公司內部商業流程正常運作外,也寄望有效保護機密資料安全,進而提升在商業市場上的競爭力。
新儲域科技總經理楊啟昌便指出,在資安威脅複雜的年代下,應該沒有企業只會導入一種資安防護設備,通常都是在預算能力許可範圍內,盡可能添購各種防護設備,以杜絕駭客入侵行為。
正因為如此,根據IDC日前公佈全球資安設備銷售資料顯示,在2015年第一季安全設備銷售量達到23億美元,比2014年同期成長7.5%。其中,多數資安人員最熟悉的UTM(整合型威脅管理設備),仍然很受企業用戶歡迎,在銷售金額和出貨量方面,比2014年同期分別增長17.5%、16.2%,較整體資安設備的數字高出兩倍有餘,證明市場需求依然十?分強勁。
單一設備管理方便 省下複雜部署步驟
問世多年的UTM,之所以能博得企業用戶關愛的眼光,在於能夠在單一設備上提供多種資安防護模組,除可為公司省下大筆資安預算之外,也能夠簡化採購、部署及管理上麻煩,降低資安人員的負荷與成本支出。對沒有資安人員編制的中小企業,亦可在系統整合商協助下快速完成建置後,再利用資安委外方式降低駭客入侵的機率,所以UTM向來被認為是最適合中小企業的資安防護方案。
 |
| ▲合勤科技認為UTM應該要具備多種應用程式辨識能力,才能滿足現今複雜環境的使用需求。 |
早期在Gartner的定義中,一個可保護企業網路閘道安全的UTM,至少應該要具備防火牆、IPSec/SSL VPN、惡意程式防護,及網頁內容過濾等功能。而時至今日,隨著市場競爭日趨激烈,以及軟硬體效能持續改進,不少廠商更進一步將垃圾郵件防護、應用程式防護、DLP等模組納入其中,也讓UTM設備功能愈來愈強大。
單從產品內建功能愈來愈多來分析,UTM似乎是企業對抗多種資安威脅的最佳選擇,但若想要在單一台資安設備中,同時啟動所有防禦機制,勢必會消耗較多資源效能,進而影響到原有網路流量進出,尤其當開啟郵件過濾、防毒等模組時,設備恐怕有陷入癱瘓的疑慮。因此,傳統印象多認為UTM比較適合員工人數為中小規模的企業使用,而且使用過程中更應該要注意效能的問題,才不會影響到應用伺服器的運作。
不過,在UTM市佔率較高的Fortinet則認為,從惡意程式多半從網路閘道端進入企業的角度來分析,UTM依然是企業對抗資安威脅不可或缺的工具。而UTM會出現效能不彰的問題,主要原因在於資安人員沒有購買到適合公司規模等級的方案,以致於設備處理網路封包能力,遠低於實際環境中的網路流量,才會讓人誤以為UTM不適合大型企業使用。此外,設備本身若無法在單次拆解網路封包過程中進行多種過濾掃描,被迫多次拆組封包處理,當然也會導致設備效能不如預期,這是企業採購UTM設備應該注意之處。
 |
| ▲眾至科技指出,UTM應該要具備整合其他應用服務的能力,才能減少惡意程式入侵的機率。 |
眾至資訊產品經理王建忠指出,早期UTM設備剛萌芽時代,受限於處理器效能不足,部分產品確實會發生效能不佳的現象,「而在x86處理器效能快速飆升、價格持續滑落下,眾至資訊高階產品都已經開始採用Intel Xeon處理器,因此完全不會出現效能上的問題。」
合勤科技商務Gateway事業中心資深協理晏自強也表示,在Intel Xeon高階處理器加持下,搭配合勤科技自行開發的Single Pass技術,UTM處理封包速度早已大幅提升,「不過從我們觀察發現,規模較大的企業用戶在處理流量較大的應用服務時,還是傾向使用單功能的網路安全設備,避免影響到正常網路的流量。」
UTM效能功能提升 與NGFW界線模糊
在駭客攻擊手法不斷進步帶動下,幾年前市面上也出現可以拆解應用程式封包的次世代防火牆(Next Generation Firewall,NGFW),而且往往也同樣擁有IPSec/SSL VPN、惡意程式防護以及網頁內容過濾等功能,讓不少中小企業誤以為UTM就是次世代防火牆,而衍生出許多購買糾紛。
 |
| ▲在Gartner公佈的UTM魔術象限圖中,主要是針對全球品牌的國外業者進行研究調查,不過國產業者功能完備與服務週到,且在價格上仍然有一定優勢。 |
Gartner曾經針對次世代防火牆提出了7大「白名單」定義,分別是支援不會造成網路既有操作干擾的在線嵌入式組態、扮演網路封包檢測及網路安全政策執行平台的角色、涵蓋第一代防火牆的功能、支援完全整合式IPS功能而非個別功能湊合在同一個設備中的做法、具備應用感知及全堆疊可見度,能在應用層進行各類應用之辨識及安全政策之執行、額外防火牆智能、全新資訊提供與全新威脅防護技術之整合式更新管道的支援等。
簡單來說,次世代防火牆由於與IPS模組緊密整合,網路封包處理效能會比較好,加上可辨識多種應用程式,如可以封鎖LINE、開啟Skype等,能夠提供企業用戶更進一步的防禦能力。然而隨著UTM機種的效能與功能持續強化,與NGFW間的界線也愈來愈模糊。
定時更新威脅資訊 才可對抗駭客攻擊
平心而論,無論是UTM或者是次世代防火牆,只要企業定時更新廠商提供的特徵碼與掃描資料,基本上都具備足夠能力抵抗傳統型態的攻擊行為,唯一差別僅剩下封包處理速度,以及能否應付大流量封包的能力。而在面臨現今愈來愈盛行的APT攻擊手法下,不少UTM廠商也開始提供外掛APT模組的方式,提供針對APT的額外防禦能力。
新儲域科技技術暨行銷服務部技術經理陳文宏解釋:「APT是一種非常複雜攻擊行為,在惡意程式互相保護的狀態下,一般資安設備很難能夠偵測到惡意行為。所以Barracuda在產品中提供APT模組,讓企業用戶可以透過付費方式升級,以便能夠在同一個管理介面中,掌握資安威脅攻擊的狀況,提升整體防護能力。」