近年來為了協助數位化轉型的企業落實網路安全防禦,思科持續發展進階惡意程式防護解決方案(Advanced Malware Protection,AMP),其整合來自2013年收購的SourceFire提供NGFW與IPS技術、2014年收購的ThreatGRID提供零時差偵測與分析能力、AMP for Endpoint端點防護,以及日前剛收購Lancope所提供的Network as a Sensor/Enforcer情境感知技術。
台灣思科副總經理鍾昭德說明,Network as a Sensor主要監看內部網路的流量(NetFlow),經分析後再判斷為正常或異常。例如員工大量下載機敏文件的行為,由於是合法權限執行,一般的資安防護無法感測,但Network as a Sensor的技術可深入行為分析與記錄,管理者可藉由相關報表提早發現潛在的問題,藉此落實智慧財產權的保護。
 |
| ▲台灣思科副總經理鍾昭德指出,除了解決方案,資安顧問服務亦是思科在本地端推展的重點,以協助企業善用資安機制,提升防禦能力,同時協助解讀Log或Alert資訊,及時發現可能的攻擊行為。 |
而正常或異常行為的判定,主要必須事先在Network as a Enforcer設定基準線,例如網頁連線同時存取超過六次即視為異常,發出告警通知IT人員處理,而非透過自動化政策執行。主要原因即在於各家企業皆有不同IT維運模式,可自行配置臨界值(Threshold),以協助免於遭受DDoS攻擊。
除了內網分析,外部威脅情資的蒐集亦可說是AMP的重要環節,主要是由安全情報研究團隊Talos Group持續不斷地尋找惡意網站等情資,再更新至客戶端。鍾昭德指出,目前Talos Group資料庫包含:SourceFire弱點研究團隊、思科既有的SIO團隊,以及日前收購取得的網域名稱解析服務提供商OpenDNS,藉此快速掌握發現假冒品牌網站的新註冊網域,並識別出網路釣魚發動攻擊。
為了嚴防可能的滲透攻擊,以免機敏資料被竊取,資安功能往往必須定期檢視、增添新技術,才得以因應先進的攻擊行為。只是如此一來,需查看不同設備提供的不同資訊,無可避免讓控管政策變得複雜。對此,思科在軟體研發與設計時即已納入考量,提供以功能模組方式建置在單一設備的解決方案。
鍾昭德以新推出的高階機種Cisco Firepower 9300舉例,NGFW所需具備的防火牆、IPS、應用程式控管等機制,均設計為模組化卡板,可依據實際應用需求彈性建置,藉此提升效能,同時兼具擴充性,以符合網路流量較龐大的IT環境。
機箱式的產品是思科針對大型資料中心所提供的高階機種,只要依據不同的資安偵測需求,透過軟體模組方式建置整合至單一機箱,或拆解成為專屬設備,可彈性化應用。以免為了因應不同威脅,建置過多相對應的設備。