Symantec Security Solution Day —架構主動式金融資訊安全防禦體系

銳傑科技產品經理葉景文： 全面反制危機四伏的垃圾郵件

以之前臺灣駭客與中國駭客聯手的「蜘蛛人集團」案例來看，經由散發出去成千上萬封垃圾郵件，在附件中潛藏後門程式，被不知情的使用者啟動之後，駭客藉由後門程式測錄所有鍵盤打入的個人資訊，包括使用者的網路銀行帳號跟密碼，再將帳戶中的存款轉走，還好某些客戶已經設定非約定轉帳最高限度，不然造成的損失可能更大。

垃圾郵件變成企業很大的負擔，不只降低員工的生產力，企業必須增加不必要的IT或人力支出，來解決CPU、頻寬與儲存空間的損耗，再加上日益嚴重的網路釣魚和網路詐騙，也影響到企業品牌的形象，成為嚴重的商業問題。

究竟企業客戶需要的是什麼?因為垃圾郵件的定義會因為對象而有所不同，就需要多種反垃圾郵件技術分別過濾郵件，同一產品必須同時具有攔截詐騙、含有後門程式或病毒郵件的功能。而且不能有一絲誤判，以免誤刪對公司營運有影響的郵件，再加上企業不想花費太多人力或時間進行產品管理，或是不同部門需要制定不同的垃圾郵件政策，而且垃圾郵件需要先暫時被隔離在某處，方便使用者能夠自行去存取和檢視。

目前反垃圾郵件市場呈現百家爭鳴的狀況，隨時可能有廠商陣亡，財務穩健的大型廠商提供較高的保障，繼續存活的廠商才能持續提供技術支援，市場龍頭賽門鐵克今年以3.7億美元併購垃圾郵件領導廠商Brightmail後推出的Symantec Brightmail AntiSpam 6.0，是一個值得信任的垃圾郵件解決方案，透過Web-based管理介面，可以捕獲95%的垃圾郵件，不會誤攔的精確率高達99.99%，每10分鐘就更新過濾規則。

24小時收集大量的垃圾郵件與詐騙郵件，傳送到全球四地的BLOC垃圾郵件研究中心進行六層的過濾和分析，並以獨有的垃圾郵件誘捕（honey pots）專利技術，建置200萬個以上的誘捕郵件地址和網域，提供垃圾郵件的隔離、管理，並提出詳細的報告，與賽門鐵克的防毒軟體技術整合後還提供郵件防毒功能。諮安科技技術長蔡均璋：Symantec DeepSight預警系統建立全方位金融資訊安全架構

混合式威脅日益嚴重，之前微軟曾在一天之內公布10個跟Windows有關的漏洞訊息，顯示安全漏洞問題的嚴重性，企業應該如何有效因應?像是最近出現的新名詞「傀儡程式」（Bot)，駭客透過數臺或數十臺的電腦執行攻擊或是癱瘓網站運作，除了防火牆、VPN，企業還需要哪些防護?

由於系統出現問題對企業形象影響很大，有沒有可能在攻擊發生前，或在進入公司網路前先做一個預防的動作?所以賽門鐵克提供Symantec DeepSight早期預警系統，減少企業花費在資訊蒐集與分析上的成本。

「DeepSight Alert Services」根據全球上萬個動態感測器的偵測結果和已知的漏洞，可以針對可能會發生的威脅作出預先警示，目前提供超過2500家廠商、5300種產品、近18000種特定版本的警示。「DeepSight Threat Management Solutions（TMS）」則是根據網路實際的活動確實提出威脅警示，並提供緩和步驟來避開已知的威脅。

資訊人員過去必須靜待作業系統廠商提供修補程式，下載後又必須面臨是否與其他應用程式相容的考驗，導入DeepSight以後將減少很多時間在處理這些問題，還可以透過線上資料庫進行查詢，先檢視安全弱點、攻擊程式或系統資料等資訊再決定哪些問題應該如何處置。宏碁公司經理李逸凡：全時監控的入侵預防機制

根據賽門鐵克公布的網路安全威脅研究報告顯示，電子商務與金融業成為駭客攻擊的主要目標，比例加起來高達20%，隨著E-ATM、網路銀行、網路下單等網路金融活動的蓬勃發展，金融資訊安全左右整個產業的發展。再加上漏洞發現到攻擊發生的時間越來越短，平均只需要5.8天的時間，面對迅雷不及掩耳的入侵威脅，顯示安全防禦必須化被動為主動。

賽門鐵克所提供的整合式入侵偵測防禦架構對於金融業與一般企業都相當有幫助，包括主動式縱深防禦處理機制、主動式資訊安全政策稽核、主動式資訊安全處理循環以及主動式安全控管中心。其中主動式防禦技術結合通訊協定異常偵測、漏洞攻擊攔截、特徵偵測、拒絕服務攻擊和掃描偵測、迴避IDS攻擊以及流量監控等等。

傳統的IDS跟新的IPS所必須重視的是偵測與攔截效率，一天到晚都有很多的警訊，到底哪些是資訊人員應該注意的，哪些是才是正確的警報?哪些其實是誤判?我常建議客戶在導入和建置的初期必須做一些調整，觀察前1～2周間的警示作為依據，再設定一個基準點，作為將來判斷的標準。

此外，安全政策的制定、管理、落實與延伸也相當重要，不管是資料、系統、服務、設備及人員的管理都要基於BS7799的控管精神。金融業的安全政策稽核通常會參考ISO或是巴塞爾協定（Basel II）來進行。

金融業擁有的網路資訊設備數量龐大，主機少則1000多臺，多則高達3000多臺，平均每臺主機需要5個小時，如何用最少的人力進行評估稽核報告，目前賽門鐵克提供這樣的服務，還能夠提出報告以了解政策落實狀況與實際內容。

宏碁的企業服務系統提供加值管理服務，以簡化各單點產品的管理工作，集中管理軟硬體資產與個人電腦管理，透過遠端管理執行政策制定、事件制定、變更執行等服務。主動式安全控管中心（Acer SOC）是全臺唯一具有備援系統的監控中心，也是唯一通過BS7799的機房。凌群電腦資深資訊安全顧問師江崇榮：即時監控銀行網路架構

企業面臨逐年增加的安全弱點與系統漏洞，攻擊方式越來越多元，面對資安事件的反應時間越來越短，入侵工具的取得也愈益容易，企業資訊安全監控的需求也逐漸浮現。

安全監控包括建立完整的資產清單、弱點掃描評估、監控回應以及緊急應變。弱點掃描評估是透過全面性的安全查核與測試，分析網路或系統可能存在的弱點與風險危害，再針對這些弱點提出強化建議。滲透測試則是以駭客的思考和行為模式來規畫測試內容，並以各類駭客工具和技術進行網路安全強度測試，藉此發現網路架構及軟體本身的設計與管理問題。世達先進業務副理詹富匡：正確無誤的備分與備援解決方案

單一的安全機制只能解決特定的安全問題，企業正逐漸重視縱深防禦的觀念，所謂的縱深防禦涵蓋軟體與硬體，軟體上包括安全政策的制定管理與危機處理、通報、演習及教育訓練。硬體上則包含防火牆、入侵偵測、弱點分析與管理、防毒機制、遠端VPN存取機制、備分與復原等等。

停機將造成各行各業莫大的損失，備分與備援解決方案就顯得相當的重要，現階段企業的備分問題包括OS作業系統備分、Data資料備分以及Database資料庫備分，面臨必須關閉伺服器、只能還原到初始值、需要額外購買網路磁碟機，或者是使用傳統磁帶等等問題。

不需中斷伺服器運作就可以進行備分的Symantec V2i Protector，可以建置、管理和保護企業資料，同時大量節省還原時間，還原整顆硬碟，還可複製Volume。