掌握內網與閘道端資料 持續監看潛在惡意行徑

2019-08-02
在數位化的推展下,以往封閉場域開始增添連網能力,可便於大量資料的蒐集與遠端控管,甚至發展創新應用,問題是,惡意攻擊者亦可藉此管道滲透入侵,企業必須有所防範。Fortinet針對台灣企業的所需,整合旗下FortiGate、FortiAP、FortiSwitch,共同組成資安鐵三角解決方案。

 

Fortinet業務協理趙超聖說明,以往Fortinet較著重NGFW於邊界防禦力,也就是FortiGate產品線,近年來逐漸延伸到內部網路,為有線與無線建立整合運行。在內網應用場域中的所有裝置皆須接取網路服務,不論是既有辦公室的筆電、平板、手機,亦包含網路攝影機等裝置,使得端點控管能力較以往更重要。Fortinet針對端點控管需求,把FortiGate變成控制器,統一納管交換器與無線基地台,成為資安鐵三角的核心。

資安設備管控有線/無線接取行為 

在管理面,交換器與無線基地台本就可藉由FortiGate設計的網頁式介面執行統一控管,次世代防火牆機制除了偵查閘道端流量的進與出,同時可向下延伸到交換器與無線基地台。如此一來,所有經過有線/無線接取網路服務的裝置,都得接受FortiGate控管,才得以順利存取到所需的資源。

Fortinet北亞區技術協理劉乙(左)與Fortinet業務協理趙超聖(右)指出,不論是辦公室工作環境、各式物聯網場域,連網裝置大多不具備安全能力,又無法安裝代理程式偵測與防護的情況下,可借助交換器之力嚴加看管網路層。

「我們把內網與外網的安全整合在一起進行管控,即形成資安鐵三角,由FortiGate統一控管,同時可藉由蒐集取得的資料,建立網路拓樸圖,讓IT變得可視化之後,才可進一步偵測與判斷惡意活動,直接透過Layer 2予以隔離,也就是透過MAC位址來執行。」趙超聖說。

不論是企業規模大小、是否為分公司,都可透過FortiGate整合交換器與無線基地台共同運行。IT管理者可透過網路拓樸圖,一目了然現有架構中的節點,並且透過FortiView網路流量監控與統計分析功能,點選特定節點查看詳細的資訊,包含主機名稱、MAC位址、VLAN編號、接取的交換器與連接埠、佔用的頻寬量與封包總數等Layer 2可擷取到的細節資訊,並且可依據FortiGate內建的威脅項目評分等級,檢查被標示為高風險的流量,追蹤到終端的資訊。

Fortinet北亞區技術協理劉乙舉例,終端裝置可能因為中毒,不斷地嘗試存取未被授權的資源,因而觸發防火牆執行阻擋,並給予最高評分,經過加總後在報表上即顯示為高風險,此時IT管理者即可藉此掌握以降低損害。「其實Fortinet發展策略向來明確,也就是以擅長的資安領域為基礎,讓FortiGate角色成為網路架構中的靈魂。如今Fortinet則進一步把閘道端的資安技術往內部移動,結合Layer 2交換器與無線基地台執行回應,更重要的是,避免只基於Layer 3的封包檢測機制因無法發現封包內夾帶惡意代碼而被繞過。」

Layer 2層級隔離以免惡意程式繞過

具備了可視化能力,並能藉此釐清問題根源之後,接下來要處理的是執行回應。趙超聖以大學校區環境為例,園區中有許多行動裝置可接取無線網路,若其中某台網路設備流量突然間大增,佔用過多頻寬,此時管理者可藉由FortiGate操作介面點選查看導致流量大增的操作行為,並且搜尋該用戶的MAC位址或使用者名稱,即可查知接取交換器與連接埠,進而執行阻斷IP(Ban IP)位址、主機隔離(Quarantine Host)等動作。「若基於IP位址來執行,終端用戶可能會採取變更IP的方式恢復連線,此時可採用交換器與基地台相互搭配,基於Layer 2執行隔離來因應。這種做法可說是Fortinet較獨特之處。」趙超聖說。

劉乙進一步說明,Quarantine Host與Ban IP兩者的差異,在於企業環境若只有FortiGate,搭配的是其他廠商交換器則無法指揮執行命令,只能做到Ban IP,也就是連線流量經過FortiGate當下予以攔阻。問題是,在內部交換器無法先行處置的狀況下,惡意活動可能在內網大肆擴散,Fortinet才把回應執行的能力延伸到內網交換器與無線基地台,基於同為Fortinet旗下的交換器與無線基地台,執行Quarantine Host,直接命令連接埠停止服務。

前述大學校區的例子,可基於連線目標位址的網路服務名稱查看流量統計數據,亦可說是Fortinet資安鐵三角的特點。畢竟應用場域連網裝置眾多,必須要有一套工具輔助掌握所有裝置的完整資訊,以便於在資安事件或服務中斷時,讓IT人員得以有效率地排除問題。

威脅指標引擎分析自動觸發執行防護

前述是偵測發現問題設備時的手動操作處置,Fortinet資安鐵三角亦具備威脅入侵指標(IoC)自動隔離,搭配FortiAnalyzer平台所蒐集的終端用戶日誌,主動觸發執行。趙超聖說明,FotiGuard全球威脅情資中心會持續不斷地蒐集全球攻擊事件相關資料,再轉換以服務方式發布到各個設備平台,FortiAnalyzer則可透過威脅入侵指標引擎,識別具有威脅性的IP位址、網路名稱等情資。

「以往發生資安事件會採用SIEM平台來協助事後處置,FortiAnalyzer即為Fortinet所提供的SOC,但並非僅被動接收通知後解決問題,而是在尚未釀成鉅額損失之前主動出擊,把災害降到最低。」劉乙說。

FortiGate較偏重的則是事中偵測機制,至於可能即將發生的惡意攻擊並非FortiGate所擅長。若終端用戶瀏覽到最新出現的惡意網站,FotiGuard威脅入侵指標引擎已經有所掌握,但是FortiGate尚未能識別,此時即可把相關日誌送到FortiAnalyzer,基於該引擎持續蒐集外部威脅情資進行分析。直到發現日誌中有連線到最新惡意網站的行為,此時必須立即進入事後處置階段,也就是把分析後的結果傳送通知FortiGate,即可觸發執行預先設定的隔離、封鎖動作。在FortiGate操作介面中,已設計提供自動化功能,讓IT管理者依照資安事件處理程序,在偵測發現終端裝置遭受感染時,選擇執行的回應措施,同時發送通知給IT管理者。

以往製造業的OT環境毋須接取網路,根本不具備資安方面的意識,在Fortinet協助部署防護措施後才凸顯出許多問題,例如不應該有溝通行為的主機之間出現頻繁存取,抑或是OT環境中的設備不斷地嘗試連線到網際網路的主機。諸如此類的潛在威脅行為,在尚未發生災害前往往不會被重視。一旦內部工廠著手轉型成數位化應用場域,勢必難以迴避資安威脅,現階段必須盡早基於簡單且直覺的操作介面,建立可視化與控管措施,才可為未來應用奠定安全基礎。

【專題報導】:迎戰IT轉型 資安防線變陣


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!