著眼於物聯網應用場景將隨著5G上路後呈現爆炸性成長,Check Point日前宣布其安全架構邁向第六世代,既有的Infinity資安防護框架進化到2.0版,除了連網裝置可結合開源的NANO Agent來建立,藉由2018年底併購的Dome9強化了Infinity架構的多雲保護措施,輔助IT管理者跨多個公有雲平台確認組態設定與合規性,並且得以基於拓樸圖呈現操作,降低控管複雜度。
Check Point傳教士、技術長辦公室技術顧問楊敦凱說明,其最初第一世代與第二世代的資安方案即為現階段企業IT必備的防毒軟體與防火牆,當然如今有效性正在隨著應用架構的改變而遞減。自從十多年前Web 2.0開始興起,愈來愈多應用程式前端技術轉向設計網頁操作介面,此後入侵管道除了透過郵件附加檔案夾帶攻擊程式,亦可利用網頁程式漏洞執行滲透,對此資安市場開始出現網頁應用防火牆(WAF)輔助建立防護。緊接著APT攻擊興起導致資料外洩頻傳,促使解決方案更深入解析查探。
外部威脅驅動防護架構再演進
資安相關解決方案隨著外部攻擊手法持續演進,但企業的意識大多未能跟上,楊敦凱從實際接觸客戶的經驗觀察,過去資安並非為IT預算的優先要項,能夠幫助營收才是投資重點,因而輕忽了風險控管。企業IT基礎架構或營運業務系統有助於提高獲利,對企業來說才是關注的焦點,除非思維有所改變,否則資安難以發揮應有的成效。
近三年來台灣接連發生重大資安事故,ATM攻擊、SWIFT系統入侵、半導體龍頭遭勒索軟體襲擊,皆是最重視資安的企業蒙受鉅額損失,由此可發現,外部威脅與企業資安認知之間差距仍大。從未遭遇過攻擊入侵,不代表風險較低,只是可能一直被忽視,就如同資料外洩事件,常見的狀況是接收到外部通報才得知,就是因為及時發現問題的機制不足,又不正視攻擊手法的危險性,才會爆發事故。
如今各個產業皆緊鑼密鼓發展數位化商業模式,資安必須轉變成原生內建的能力,否則後續要再增添防護難度較高,萬一發生資安事件損害將難以控制。楊敦凱強調,「Check Point在2017年開始提出第五世代的Infinity資安防護,預計發展到2020年將進入第六世代。事實上,現階段的企業資安防護普遍未能達到第五世代,面對即將到來的第六世代,屆時5G上路後促使物聯網應用蓬勃發展,攻擊威脅恐成為最大的難題。」
情資引擎輔助地端與雲端實施控制
多數企業資安面臨的一大挑戰,是各種防護技術導入部署時間點皆不一致,無法確保所有設備皆採用最新技術。另一方面,不同技術供應商所設計的操作介面、產生的日誌檔案格式都不同,必須予以整合。儘管許多企業已部署SIEM平台蒐集彙整所有日誌,實際上卻未能善加利用以發揮效益,多數只把SIEM用於日誌管理。Check Point提出的Infinity架構,核心為ThreatCloud情資引擎,不僅收取來自客戶端的反饋、研究團隊的分析報告,新版本R80軟體亦可協同Cyber Security Alliance合作夥伴,彼此間透過API介接交換威脅入侵資訊。
Check Point傳教士、技術長辦公室技術顧問楊敦凱(左)與Check Point台灣技術總監傅國書(右)提醒,行動化與雲端服務應用模式讓惡意攻擊者可利用來滲透的管道變得更多,企業或組織必須得謹慎因應。
整個Infinity架構可實施的控制點,涵蓋了雲端與地端。近兩年來,本土企業採用雲端的態度正逐漸開放,對較具指標性的銀行業,主管機關金管會也準備鬆綁,只要能夠證明機敏資料確實得到保護,不論是基於雲端平台內建或者是自行外加的措施實施,銀行業的新型態業務即有機會採納雲端服務。
楊敦凱觀察,近幾年本土企業泰半都想要運用人工智慧來發展新商業模式,對此只有雲端平台底層資源的彈性擴充與調度能力才足以因應。人工智慧必須仰仗大數據與領域知識,藉此訓練出更加成熟的演算法模型,唯有先一步投入發展的企業,未來才有競爭優勢。現階段最早應用的當屬影像識別,例如學校單位推行的電子圍牆,校區沒有實際的牆壁,全仰仗感知器判別經過的人或物體,進而自動發出告警通知警衛。
每個企業或組織在嘗試錯誤的過程後,勢必會逐漸建立新型態應用場景。蒐集的資料愈多,愈需建立相稱的保護措施,以免萬一發生資料外洩事件,觸犯個資安全隱私管理相關法規。
建立一致性資料保護強度
就國際企業採用雲端服務的防護建置方式,通常會沿用地端的機制,極少見選用不同技術平台,如此才得以符合單一控管介面下建立一致性控管措施的需求。「我們本就支援主流的AWS、Azure、GCP公有雲平台,部署於IaaS上的應用得以串連到地端,畢竟雲端平台可彈性、快速地啟用多個虛擬主機,防火牆機制亦得跟進。Check Point設計的機制是虛擬閘道器採以授權池方式提供,藉此因應雲端平台彈性擴充的配置。目前正在積極研發容器化的版本,也會沿用此模式。」楊敦凱說。
此外,雲端平台亦可介接軟體定義網路的控制器與建立自動化機制。他舉例,藉由整合公有雲平台上的資安中心,一旦偵測到資安事件,在網路層可逕行阻擋與隔離,以往傳統環境可能必須要人工介入,雲端平台則是自動化執行防堵。
針對混合雲應用環境,Check Point CloudGuard服務提供的是IaaS與SaaS的安全性防護。台灣現階段主流的SaaS有Office 365等等,未來可能有更多,例如國際企業常見的Service Now、Salesforce等,CloudGuard即可協助建立零時差攻擊、資料外洩、身份識別等防護。
至於在地端,針對行動與端點環境,Check Point提供的是SandBlast,主要是針對進階威脅防護,而非取代現有的防毒機制。楊敦凱說明,CheckPoint SandBlast較特別的是可偵測來自網頁與郵件的攻擊行為,運用Threat Emulation沙箱技術與Threat Extraction執行內容威脅解除與重組(CDR),現階段CDR可支援辦公室環境常見的Office文件、PDF、圖檔。比方說,郵件中附加Word檔案,作法是先送到沙箱模擬分析,不論是否有偵測到威脅行為,該附加檔都會被CDR機制轉換成PDF檔案,以免檔案中夾帶的攻擊程式具有迴避沙箱偵測能力,可進一步加強防範惡意郵件攻擊。若使用者反映需使用文件檔原有巨集,亦可把原始檔取回,當然前提是沙箱並未偵測到惡意行為。
【專題報導】:迎戰IT轉型 資安防線變陣