Fortinet如何監控全球160萬臺資安設備

【加拿大溫哥華現場報導】資安情報是資安公司的頭腦，資安產品夠不夠聰明，負責提供情報的資安實驗室扮演重要的角色。資安業者Fortinet位於加拿大溫哥華的資安實驗室FortiGuard Labs首度對亞洲媒體公開，負責監控全球160萬臺資安設備。在2013年找到金融木馬Zeus包含變種在內，發動將近2千萬次惡意程式攻擊的資安團隊，也現身分享與駭客攻防的第一手經驗。

這個資安團隊人數超過200人，主要是負責Fortinet產品所有的資安情資，擅於挖掘各種零時差漏洞以及Android手機惡意程式分析，從最基本的病毒碼研究分析，到近期最熱門的APT攻擊和沙箱技術等，都來自於這個資安團隊。

Fortinet創辦人兼技術長謝華表示，該資安實驗室從2006年到2013年已經發現超過140個零時差漏洞；在2013年FortiGuard Labs小組發現18個關鍵零時差漏洞的數量，也超過業界任何其他網路安全業者。隨著各種作業系統安全性提高，謝華認為，Android手機將成為下一波資安威脅最主要的來源。

FortiGuard Labs每分鐘阻止60萬次網路入侵攻擊

率領這個團隊的Fortinet全球資安策略長Derek Manky表示，每分鐘都要和來自網路大量的惡意程式比賽速度，該實驗室每分鐘要攔截超過15,000個惡意程式、攔截55,000封垃圾郵件、阻止超過65萬次的網路入侵攻擊，以及可以關閉94,000個傀儡網絡的命令與控制伺服器（Command and control Server），並阻止使用者連上發出請求的150,000個惡意網站。

FortiGuard Labs為了要因應層出不窮的網路威脅以及變幻莫測的攻擊手法，不只設置大批資安人力，也必須擁有足夠龐大的客戶群，才能蒐集足夠的惡意程式樣本數。目前Fortinet客戶超過20萬個，在網路上的資安設備超過160萬個，搭配全球超過90臺更新伺服器，打造一個即時蒐集惡意程式樣本和派送更新程式的資安網絡。他表示，Fortinet具有即時偵測惡意威脅的能力，並且可以進一步將這樣的威脅分享給政府部門與其他同業。

為了讓這樣的惡意程式分析能力也能為整個國家安全和資安業界發展帶來正面效益，Derek Manky表示，Fortinet更於今年5月和其他資安業者，包括McAfee、Symantec等與國土安全部（DHS）合作，籌組一個Cyber Threat Alliance（網路威脅聯盟），一旦有新的網路威脅和情報，可以彼此分享並協同作業。

Fortinet觀察：臺灣飽受惡意程式與入侵攻擊

Fortinet資安團隊監控全球網路威脅，也特別關注臺灣。Derek Manky解釋，在亞太區，臺灣和日本是主要遭受惡意程式和網路攻擊最多的兩個受駭國家。

Derek Manky表示，臺灣在今年第三季並不平靜，光是遭受到不明或者是惡意的入侵威脅（Intrusion Spread）攻擊次數已超過1,100萬次，占整個亞太區中（包含日本）中入侵攻擊比例將近2成（18％），名列第二名，僅次於日本超過3,500萬次的入侵攻擊次數，占整體攻擊次數近6成（59％）。

不只是入侵威脅而已，另外，像是惡意程式的攻擊次數，臺灣已經是亞太區受創最嚴重的國家，惡意程式攻擊次數超過6,500萬次，占整體惡意程式攻擊近6成（57％），第二嚴重的受駭國為日本，攻擊次數也超過3,200萬次，占整體攻擊近3成（28％）。Derek Manky進一步分析指出，包括臺灣和日本，又以PHP網站的惡意網址以及USB隨身碟惡意程式，成為主要感染散布的原因。

至於傀儡網路（Botnet）的蔓延，以日本最為嚴重，亞太區傀儡網路數量高達6.06億個，光是FortiGuard Labs偵測到的日本的傀儡網路就將近5.22億個，占整個亞太區的86％，臺灣相對日本，只占亞太區傀儡網路威脅的2％，傀儡網路數量為1,361萬個。包括常見的ZeroAccess、Aedromeda、Conficker和Zeus等，仍是最主要的傀儡網路病毒。

除了上述的資安威脅外，Derek Manky表示，也有越來越多零時差漏洞，或者是存在已久、突然被揭露出來的漏洞，對企業造成更大資安威脅，像是今年3月的Heartbleed及今年9月的Shellshock漏洞等。

面對發現到的各種零時差漏洞，Derek Manky指出，FortiGuard Labs會先利用虛擬修補的方式，保護企業免受零時差漏洞的攻擊，不過，他也坦言，原廠面對許多的零時差漏洞修補，有些時候甚至要耗費超過一年以上的時間，才能完成全部的修補，若只依賴原廠的修補，經常是緩不濟急。

雖然各種資安漏洞是持續存在、很難永久被消滅，但是Derek Manky認為，隨著各種桌面端作業系統安全性提升，新版作業系統的漏洞也越來越少，不過，他說：「隨著智慧型手機的普及，Android手機已經是未來駭客鎖定最主要的攻擊平臺。光在2013年，Fortinet整年就發現1,800個Android手機的惡意程式。」

Fortinet全球資安策略長Derek Manky表示，該公司超過200名資安研究員的資安能量，讓Fortinet可以在第一時間掌握全球重要的資安威脅，包括有能力挖掘零時差漏洞。

直擊 Fortinet加拿大溫哥華資安機房

對於資安業者Fortinet而言，資安機房中，最重要的兩套系統就是：累積十多年、超過120TB的病毒資料庫，以及每4小時全球派送最新病毒更新碼的病毒碼更新伺服器。而這兩套系統就是Fortinet FortiGuard Labs的智慧結晶。

實地走訪Fortinet位於加拿大溫哥華的資安機房發現，因為這是幾年前該公司才併購的資安機房，在機房設計與規畫上，並沒有採用新式的冷熱通道設計，但為了維持一天24小時、一週7天持續營運，除了落實病毒資料庫和更新伺服器的系統備援外，對於機房的門禁監控也特別在意。

獨棟的資安機房
為了安全考量，Fortinet在幾年前，決定將資安機房設置在資安實驗室的馬路對面，是一棟獨棟樓房，平常機房人員進出都有權限控管。

進機房要過兩道門
機房門禁森嚴，進出都必須經過兩道門，第一道門關閉後，才能刷卡才能進入第二道門，且兩道門中間還有一個長約3公尺的空間，確保人都依序進出機房。

採用傳統冷房設計的資安機房
Fortinet這個資安機房採用傳統的冷房設計，沒有使用新式的冷熱通道設計。此外，為了避免機房遇到緊急消防事件而導致設備毀損，也設置了兩個大型的氣體滅火器FM 200。

累積超過120TB病毒資料庫
這一整排的機櫃，就是資安業者Fortinet累積超過十年，最寶貴的智慧財產，病毒資料庫的病毒樣本容量超過120TB，目前還在持續新增中。

每4小時定時派送最新病毒更新碼
Fortinet的資安實驗室每4個小時就會更新一次病毒特徵碼，先派送到加拿大資安機房的更新伺服器，再依序派送到其他主要國家的更新伺服器，以及全球20萬名客戶的設備。

相關報導請參考「直擊Fortinet加拿大溫哥華資安實驗室」