精準掌握應用層關聯性
網路微分段遏止攻擊擴散

文◎洪羿漣
進入到萬物聯網世代,外部攻擊滲透管道變多,企業難以絕對避免資安事件,故可利用微分段技術來控制風險,阻斷駭客攻入後的橫向移動,才有機會最大程度降低損害。

零壹科技技術顧問謝季樺說明,所謂的「微分段」概念,就如同船舶設計隔板來創建水密隔艙,當船舶遭遇意外使船艙少部份破損進水時,其他尚未受波及的水密隔艙則還能提供船舶浮力,減緩立即下沉的風險。微分段的概念即是避免單點被勒索軟體感染,不至於造成整體營運被迫中斷。

過去企業網路架構慣用防火牆或Layer 3/4交換器技術,依據部門別切分網段,不僅可視化的資訊不足,亦無法依據營運業務需求彈性調整控管政策。微分段技術是以工作負載為核心配置安全政策,擁有Layer 7的可視化能力,採用軟體定義方法制定分割區。

零壹科技技術顧問謝季樺指出,萬物聯網世代,外部攻擊滲透管道變多,可利用微分段技術來阻斷攻擊活動的橫向移動,以最大程度降低損害

Akamai於2021年收購Guardicore取得微分段技術,主要根據聯網裝置與工作負載的標籤(Label)進行邏輯區隔,並且配置存取控管政策。Akamai Guardicore透過代理程式方式部署運行,可支援Windows、Linux、macOS甚至容器叢集環境,藉此蒐集資產及流量資訊,掌握設備之間的通訊情形,回傳到Akamai Guardicore,依據資產屬性定義標籤與邏輯分組,再以拓撲圖完整呈現資產彼此之間的連接關係,提高工作流程的可視化能力,進而能配置最小權限與控管措施。

在物聯網應用場景中,裝置與工作負載類型多樣且數量龐大,Akamai Guardicore可整合企業既有的組態管理伺服器,或者是匯入記錄資產Excel表格,快速地定義資產標籤。此外,亦可依據Akamai Guardicore內建的AI引擎建議的關鍵字分類定義,來完成邏輯區隔。

Akamai Guardicore拓撲圖可完整呈現工作負載運行流程的關聯性,一旦發現特定裝置嘗試連線到未經允許存取的資源,隨即可點選查看其意圖。檢視後若判定為合法,則可納入白名單;若疑似為惡意程式所發起的連線,除了逕行阻斷以外,還可透過搜尋方式深入調查其他已遭受感染的裝置。

值得一提的是Akamai Guardicore具備攻擊活動誘捕(Honeypot)的機制。當內網裝置已遭到滲透入侵,攻擊者遠端操控惡意程式開始橫向擴散,Akamai Guardicore除了可第一時間發現非合規的連線行為,同時也可把惡意程式導向Honeypot,讓攻擊者誤以為是真實系統環境,開始發動修改登錄檔、下載惡意加密程式等動作,藉此記錄整起攻擊活動軌跡,增進控管政策的準確度。

© Copyright 2022 城邦媒體控股集團 All Rights Reserved
為達最佳瀏覽效果,本站建議使用Chrome瀏覽器,畫面解析度1024X768以上,若以舊版本或IE瀏覽器可能發生效果無法正確顯示之問題。