在新型態威脅不斷出現的狀況下,現今UTM將會有兩大挑戰需要克服,首先是APT攻擊帶來的威脅。UTM業者為了解決此一問題,多半是提供可選購的外掛沙盒模組。不過對台灣企業來說,若要對抗中國網軍的APT攻擊行為,國產品牌的沙箱效果往往會比美國品牌要好。
在全球資安事件頻傳的帶動下,根據IDC全球安全設備季度追蹤報告顯示,企業用戶購買資安設備意願亦持續增溫,2014年第二季度全球資安設備銷售量達到22億美元,比去年同期增長7.3%,亦是連續第19個季度呈現成長趨勢。若從出貨量來看,2014年第二季度整體銷售量達到500,178台,比2013年第二季度的476,903台增長約為4.9%。
從產品功能性的層面來分析,統一威脅管理設備(UTM)的成長幅度達到21.5%,已佔整體資安設備的43.6%,比防火牆的19.2%要高。此一數據說明,儘管UTM設備存在效能上的問題,但似乎沒有影響企業採購UTM設備的意願。
利基網路(L7 Networks)總經理魏煥雲說:「我不認為UTM會取代防火牆,因為從我們跟客戶深談過程中發現,多數企業購買UTM的原因,是要彌補原有防火牆或其他資安設備不足之處。因為UTM購買成本與單一功能的入侵防禦或防毒牆差不多,卻能讓企業享有更多功能,加上能在單一介面中管理模組運作,因此才會帶動UTM的整體銷售量。」
 |
| ▲利基網路在2015年的發展,首先是加入雲端世代防火牆(Cloud-Gen Firewall)的功能,也就是在原有辨識應用程式與帳號的基礎上,加入深層地解密SSL的能力後,提供內容過濾與SSL內容還原紀錄的功能。 |
引進高速處理器 改善效能瓶頸
UTM之所以能一直獲得企業用戶青睞,關鍵便在於能夠在單一設備上提供多種資安防護功能,而長年關注UTM發展的Gartner,則認為該產品至少應該要具備防火牆、IPSec/SSL VPN、惡意程式防護,及網頁內容過濾等功能,才能有效保護企業網路閘道安全。而隨著駭客攻擊手法多變,不少廠商也將垃圾郵件防護、應用程式防護、DLP等功能納入其中,延續以單一機器滿足企業整體安全防護需求的理念。
儘管UTM內建功能琳瑯滿目,但若要單一台設備之中同時啟動所有防禦機制,勢必會面臨運作效能不彰的問題,進而影響到原有應用伺服器的正常運作。正因為如此,Gartner一直認為UTM比較適合規模少於1,000人的企業使用,而且使用過程中更應該要注意效能的問題。
魏煥雲指出:「UTM效能問題確實一直為人所詬病,目前企業常見作法是搭配特定資安設備,如防火牆、DDoS等設備。另一方面,UTM廠商也在持續提升設備的運作效能,除了引進運算速度更快的處理器,也持續調整軟體與硬體之間的搭配,以提高封包拆解與特徵比對的速度。」
雖然引進高效能處理器是全球UTM業者解決效能不足的共同方向,但各品牌之間的作法仍有些許差異,如Fortinet是採取以多核心處理器搭配ASIC晶片的方式,至於利基網路UTM則是以多核CPU搭配多板卡的架構,讓每個資安模組都擁有足夠運算能力,以應付網路流量愈來愈高的商業環境。
外掛沙盒模組 增加APT防禦能力
面對駭客攻擊企業網站事件層出不窮,魏煥雲認為各主流品牌UTM都具備足夠能力抵抗傳統型態的攻擊行為,最主要的差別在於封包處理速度,以及應付大流量封包的能力。
 |
| ▲利基網路總經理魏煥雲說,UTM購買成本與單一功能的入侵防禦、防毒牆差不多,卻能讓企業享有更多功能,因此才會帶動UTM的整體銷售量。 |
因為市面上有不少品牌業者雖號稱產品功能都是自行研發,但多少還是會向其他軟體業者購買授權,如防毒軟體即是最明顯的例子。即使全部向外採購軟體模組的廠商,在功能上也不一定比較遜色,因為在沒有包袱的狀況下,可以依照成本與產品定位,自行向頂尖的資安公司購買軟體模組,即可組成一台多功能的UTM。如此一來,業者只需要專注優化軟硬體之間的參數即可,UTM運作效能與防禦能力不一定比較差,同樣足以應付傳統型態的攻擊。
魏煥雲表示:「在新型態威脅不斷出現的狀況下,現今UTM將會有兩大挑戰需要克服,首先是APT攻擊帶來的威脅。UTM業者為了解決此一問題,多半是提供可選購的外掛沙盒模組,如Fortinet推出FortiSanBox,利基網路則是採用國產Xecure Lab的方案。不過,對台灣企業來說,若要對抗中國網軍的APT攻擊行為,國產品牌的沙箱效果往往會比美國品牌要好。」
以Https包裹攻擊 企業防禦新挑戰
UTM面臨的第二項挑戰,則是Https加密技術帶來的風險。耕耘資安市場多年的Blue Coat,也在日前發表的2015年資訊安全風險觀察預測中,指出加密傳輸將成為駭客竊取機密資料的新管道。因為當Https成為多數企業慣用的加密傳輸通道後,許多資安設備通常會略過對此技術的檢查,所以目前也有惡意程式開始運用此方式規避檢查,成為企業防護上的新挑戰。
魏煥雲說:「多數UTM存在的最大問題,就是缺乏對應用程式的辨識能力,只能選擇是否要打開或關閉特定網路埠。但現今許多服務都是用Http、Https的方式執行,如Gmail、Office 365等,一旦關閉則會導致該雲端服務無法正常運作。而現今許多駭客也開始以此管道入侵企業,若設備不具備完整的辨識能力,就無法對抗惡意程式的攻擊,不過利基網路UTM已經具備應用程式辨識的功能。」
為了協助企業對抗新型態威脅,利基網路在2015年將會朝向三個重點發展,首先是加入雲端世代防火牆(Cloud-Gen Firewall)的功能,也就是在原有辨識應用程式與帳號的基礎上,加入深層解密SSL的能力後,提供內容過濾與SSL內容還原紀錄的功能。
利基網路UTM發展的第二項重點,則是協助企業解決BYOD趨勢帶來的端點管理問題。利基網路會在原有的用戶端代理程式中,除了原有可記錄LINE/?Skype聊天內容之外,加入類似資產管理的功能,避免員工私下將個人電腦連上透過行動裝置,再藉此將機密資料傳送出去。魏煥雲指出,利基網路第三項發展重點,則是會推出具備處理20Gbps流量的UTM,以滿足電信產業的營運需求,讓更多企業與消費者享受到安全無虞的資安服務。