傳統上企業網路的攻擊通常來自組織外部,但隨著行動裝置使用的成長以及物聯網的崛起,如今的網路危機開始來自防火牆以內。只在網路邊緣部署防火牆早已不足,必須重新架構企業網路,例如採用能夠在不同網段之間限制惡意流量的內部防火牆。
這是一個詭譎多變的世界,資訊安全的世界更是如此。幾年前,保護企業安全基本上就是保護組織免受來自外部的入侵。但現在,戰場已經徹底改變。
在業者的努力教育之下,企業的資安意識已有很大的進步,也有越來越多的公司建置足以有效抵擋直接攻擊的基本安全方法。
這樣的發展迫使駭客拉高規格,設法找出取得寶貴企業資產的替代方法。其中值得一提的是,有一項在全球越來越普及的全新攻擊策略:駭客正鎖定最弱的端點以取得入侵企業網路的入口。這類端點可能包括了不安全的員工手機,或者是可以在某些限制下存取企業資料的工作站。駭客一旦入侵並取得立足點之後,往往就可以輕易找到網路上其他更有價值的地方:但企業網路所嚴加防範的往往只針對外部攻擊者。
這種「橫向運動」手法證明多數情況之下都相當有效,因為通常企業並不會讓網路上不同的網段(Segment)彼此隔離,駭客一旦進入企業網路之後,要從一個網段到另一個網段簡直易如反掌。
一些新的趨勢發展將會讓這一類來自組織內部的攻擊在未來幾年變得更加常見:
1. 員工在企業環境中使用自己的手
機越來越普及。這些手機經常很不安全,成為駭客藉以入侵組織的弱點。
2. 物聯網(IoT)裝置的爆炸性成
長。早期版本,甚至很多現有版本的物聯網裝置在設計時都沒有安全意識,要為這些裝置做好安全措施,即使並非不可能,但至少也是極為瑣碎麻煩的工作。
3. 駭客技術的日新月異。
需要「內網隔離防牆」
傳統上,企業部署防火牆是為了要在網路外圍築起防護層,邊緣防火牆(Edge Firewall)將外部流量視為不受信賴(例如來自網際網路的流量),而所有內部網路的流量則視為可信,然後以非黑即白的兩種方式分別處理,沒有灰色地帶。
但很不幸的是,這早就不是一個「黑白分明」的世界。
由於有越來越多的攻擊來自內部網路的脆弱區段,受信賴與不受信賴流量之間的界線也越來越模糊。只在網路邊緣部署防火牆早已不夠:組織必須重新架構企業網路,例如採用能夠在組織內不同網段之間限制惡意流量的內部防火牆。
 |
| ▲過去企業不願意在每個網路區段前放置防火牆,主要是因為效能與價格問題。由於企業內網路的流量可能是網際網路流量的好幾倍,很多防火牆根本沒有能力在不造成重大延遲的前提下處理這些龐大的流量。 |
根據Forrester的研究,企業已經打造夠強大的網路邊界(Perimeter),但是精心規畫的犯罪集團不但會招募內賊,還會開發出一些可以輕易繞過現有安全保護的新攻擊方法。現今的安全與風險專家必須確保整個網路內外的安全,而不只是外圍。
Forrester建議,要採行零信賴的模式,以區段化隔離的方式來保護網路安全,而且所有的流量都要檢查與記錄。在這種模式之下,例如,工程師與坐在隔壁的行銷部門同事之間的資訊流處理過程一定會經過檢查。由於這兩位員工被指派到不同的網段,而且有內部網路的區段隔離防火牆(ISFW),再加上套用了適當的政策,所有兩個部門之間的流量都將會產生日誌記錄。
ISFW內網隔離防火牆包含了兩種技術:首先是政策式的區段化,除了可以鑑別使用者的參數,還可動態而持續地強迫執行安全政策,以便控管使用者對企業資源的存取。其次是防火牆的區段化技術,可以分割內部網路以便於執行流量分析、日誌記錄,以及完整的安全控制。
ISFW並不是用來取代防火牆,而是要在企業的網路內提供多重的接觸端點,以便於在既有的網路邊界之間提供安全保護,或者是在既有的網路邊界裡建立全新的網路區段。不僅如此,它還能提供可視性,讓IT管理人員在單一的控制台上看到所有的網路層。
依每個網段之間的需求不同,所啟用的保護類型也會不一樣。一旦防火牆部署到企業網路的每個區段裡,它的政策、日誌記錄,以及各種現代化的偵測功能,都能夠幫助找出受感染的使用者並將其隔離。除此之外,防火牆也將會讓駭客更難以四處探勘或尋找企業資源,就算他們已經入侵到企業網路內。
ISFW之間也可以彼此同步執行,而且還可以利用威脅情報,並與諸如沙箱 (Sandbox)以及端點安全產品等偵測先進持續性威脅(APT)的解決方案互補,因此可以在找到受感染的使用者時,立即採取行動將其隔離。
效能與成本不再是障礙
過去企業不願意在每個網路區段前放置防火牆,主要是因為效能與價格問題。由於企業內網路的流量可能是網際網路流量的好幾倍,很多防火牆根本沒有能力在不造成重大延遲的前提下處理這些龐大的流量。而那些有能力處理的產品,在大規模部署到企業內的每個網段之後,所需的成本往往讓許多企業望之卻步。
現在市場上已經有相當實惠的解決方案了。現代的防火牆利用客製化的ASIC晶片,不但有足夠的速度運行內部網路防火牆,同時還可以滿足成本效益。
有人可能還記得,連接埠安全(Per-port Security)幾年前曾經風靡一時,但後來建置上的障礙讓這個承諾無疾而終。然而,現有的ISFW技術能進一步實現這項承諾。由於技術的改進,以及存取連接埠安全的演進和效能的提升,我們能夠將其結合到ISFW以達到該目標。
內網隔離防火牆的概念已經讓網路資安產業的發展進入另一個新的境界,而企業則希望他們的營運(還有業務)能夠搶先競爭對手,先行一步利用這種新技術。
(本文作者為Fortinet創辦人、總裁暨技術長)