防火牆防禦邊界安全、VPN維護連線安全、IPS抵抗非法攻擊、防毒軟體對付病毒蠕蟲……,企業每建置一套新的解決方案,等於多一分安全保障,但也帶來更沉重的管理負擔。假如採用多功能網路安全設備,就能實現以單一設備同時達到多種安全防護的效果,對專屬IT力普遍不足的政府單位或企業來說,多功能網路安全設備的出現,不僅滿足企業環境中的多種防護需求,同時也減輕管理負擔,說是「久旱逢甘霖」也不為過。

我們在去年觀察到,許多防火牆已經使用3~5年,大多已經逼近伺服器硬體使用年限,加上各式攻擊手法推陳出新,傳統防火牆早已不敷所需,市場開始掀起一陣防火牆換機潮,而去年來不及編列預算採購的企業,大多準備在今年購買新的資安設備,我們可從以下的案例得到驗證。單純防火牆控管已不敷需求

對行政院飛安會和宜蘭縣文化局來說,決定採購多功能網路安全設備的時機,都正好適逢政府機關規定的防火牆耐用年限,設備使用已超過5年之久,這段時間內發展的網路威脅,早已不是一部單純功能的防火牆能夠全部處理的,他們想趁機提升整體網路安全防護。行政院飛航安全委員會飛航安全組工程師張國治說:「在幾年前,閘道端使用防火牆、個人端電腦安裝防毒軟體,並沒有太大問題;現在,間諜軟體和惡意程式的問題越來越嚴重,單靠防火牆和防毒軟體,絕對會出現很多安全管理上的漏洞。」

同樣的,宜蘭縣文化局以前也只能依賴防火牆來控制通訊協定,既沒有足夠的預算買IPS,也缺乏專業的設備輔助管理。宜蘭縣文化局約聘系統管理師鄒昌達坦承,當時因缺乏足夠的資安預算與設備,使得他只能暗自祈求不要出事。有無助感的不只是政府單位的IT人員,中小企業同樣面臨經費吃緊,可運用的人力不足的窘境,而多功能網路安全設備確實會帶來效益。即使有充裕的預算,可建置多套專業解決方案處理,但維護與更新的人力仍不可少,從節省人事成本的觀點衡量,如果功能集中在同一臺設備,管理負擔減少,人事成本將顯著下降。設備多功能,人非萬能,勿陷入產品迷思

所幸除防火牆等專屬設備外,現今IT人員的選擇變多了,有了多功能網路安全設備,同樣的價格,可以得到更多的防護。飛安會和宜蘭縣文化局都認同需要採購多功能整合資安設備,但各有不同的考量因素。 就飛安會來說,他們長期使用Cisco的產品,也認同設備間的相互整合性佳,在防火牆的防護能量有限、Cisco又未推出多功能產品的情況下(預計要等到今年下半年才會有產品),飛安會決定先採購防火牆產品,並等待Cisco推出多功能產品。

宜蘭縣文化局原先也是採用Cisco防火牆,但經過諮詢宜蘭大學及一些專家後,決定採用Fortinet的產品,並透過中信局採購,再由當地的經銷商提供售後服務。 採購之後,雖然多功能整合資安設備能夠同時整合網路與資訊安全防護,快速滿足既有IT基礎架構的不足之處,不過你還是需要謹慎看待,因為設備號稱自動化,仍須由人管理,人卻非萬能。

以某個受訪單位為例,雖然已經建置多功能網路安全設備,卻還是發生個人電腦遭植入木馬程式的事件,他們無從得知木馬是否從外界植入,或原本就潛藏在電腦裡面。類似這樣的情形,很難由設備主動阻擋。 由此可見,資安人員仍必須自我充實,接受更多的產品教育訓練,想辦法突破各種專業的認知限制,雖然有配合廠商協助,最好還是接受更多的產品教育訓練。

從設備管理的角度來看,整合多種功能在同一部設備,對大部分IT管理人員來說,能節省很多障礙排除和溝通時間。新竹南門綜合醫院資訊室主任林振忠認為,多種設備整合在一起會比較方便,解決問題時不需,反覆確認哪一項設備出問題,出問題只要找單一窗口即可解決,不必煩惱設備找誰送修。IT管理人力吃緊,資安專業度普遍不足

在我們受訪的案例中,IT人力大都不足,最多也只有4人,卻要維護眾多的系統與設備。iThome去年所做的調查就發現,由於醫療業IT人力和資源普遍不足,來自醫院高層的支持又不多,IT管理人員在醫院處於弱勢,醫院頂多聘用1~2人,甚至還在使用386、486等級的個人電腦。 同樣的狀況也發生在政府單位,IT人員數量少,甚至身兼多職的狀況也很普遍,他們不希望網路節點上存在著太多設備,增加斷線的機率,而是能用最少量的產品和設備達到最大的功效,整合並簡化日常的維護工作。

也許有人會想到,「委外」是人力不足的一種解法。有些工作雖可以外包,但資安方面,企業卻很少完全倚賴廠商,大部分的人還是認為能掌控的部分,最好還是盡量靠自己完成。 即使單位內有足夠的人力,但面對資訊安全,隔行如隔山,有時候仍會因為個別專業背景不同,無法完全接手資安領域的IT管理工作,更何況是因應各種日新月異的網路威脅花招。

大多數IT從業人員都是負責軟體開發、應用程式撰寫或設備維護等工作,有時主管會要求你順便管理伺服器或主機,抱持著邊做邊學的心態,沒達到80分,至少分數也及格,然而防止駭客入侵卻又是管理設備與網路之外另一門專業學問,而且不是0分就是滿分。鄒昌達就說:「如果IT人員可以有辦法當駭客,才有資格談防駭,當駭客都有問題了,怎麼防駭?」過往防火牆使用經驗,延伸後續品牌價值

在我們訪問的6個案例中,有一半受訪者特別提及Cisco PIX系列防火牆,雖然他們使用的Cisco產品中,目前尚未推出多功能資安整合設備。有些單位原先就使用Cisco的路由器、交換器和防火牆產品,因此採購多功能安全設備時,多半傾向以Cisco解決方案為主。

知名品牌雖然感覺上比較可靠,但通常設備的費用不菲,加上需要專業的技術人力,大概只有金融、電信及高科技業負擔得起,而且目前市面上陸續出現許多既便宜,品質也不差的產品。

在我們訪問的用戶中,SonicWALL也得到很好的評價,由於產品採用RISC處理器,效能不錯之外,功能也持續加強。今台電子就在多個據點採用SonicWALL,由於設備內建VPN,因此採購防火牆時還是繼續搭配同品牌的多功能整合產品,他們認為產品在使用、管理與效能上,都有不錯的表現。

一位技術協理認為,用戶很死忠的原因就跟車子的品牌一樣,要有好的名聲才會賣得好。長期使用某種品牌的防火牆,用戶會因為認同引導日後的採購,繼續選擇同品牌產品,對於品牌忠誠度低,且重視實測的使用單位來說,即使日後改用其他品牌的設備,過去被訓練出來的使用習慣仍將影響管理者對新購設備的期望,當主要閘道的設備從防火牆更換為多功能網路安全設備,有些IT人員感到很不適應,因為他們已經習慣收到先前設備發出的各種事件訊息,只能從新設備中收到「目前受到攻擊」的警示,無從判斷是否遭到入侵以及阻擋程度,這可能是因為當初採購時對這部分並沒有特別要求,而設備本身僅能提供防火牆基本功能服務所致。

受限於專業度,設備只能解決部分入侵問題

病毒、蠕蟲感染與大量散布在防毒軟體廠商與大眾媒體的宣導之下,只要個人電腦部署防毒軟體,並且注意保持最新病毒碼,疫情比較容易控制,相較之下,網路入侵則顯得低調許多,如果企業沒有保持警戒,監控異常行為,並且定期修補系統與網路漏洞,入侵者很可能隨時乘虛而入,悄無聲息地存取你的網路和伺服器內容。現在,只要你有上網,電腦就會有遭受入侵或攻擊的風險,不管你願不願意,每個網路節點都可能被當成攻擊手法的試驗品。

對政府單位來說,行政院研考會GSN會主動監控並通知相關單位的弱點或漏洞,例如有些單位的網站討論區使用phpBB,GSN會主動通知該單位須立即處理這項弱點,並且監控系統漏洞造成的電腦感染與攻擊事件,通知相關人員趕快處理。鄒昌達說:「除了圖書館電腦被入侵的情況較嚴重外,IT管理人員看到的部分,都是防毒軟體能夠處理的,至於無法察覺的資安事件,也還有研考會GSN從旁協助關切」。

MIS人員其實很擔心設備所不能處理的狀況,只是入侵事件目前隱而未現,尚未爆發,浮出檯面。有些使用單位曾遭到駭客攻入,而多功能網路安全設備卻沒有偵測出,直到ISP發出流量異常通知,他們才發現頻寬被佔用,網站伺服器被當成eBay網站的替代站臺(中間人攻擊,man in the middle attack)。

從上述的經驗,相信你會發現一件重要事實,即使已經買了多功能網路安全設備,提供防火牆、防毒和IPS等功能,但由於設備防護層面著重在網路閘道流量偵測,或是定位在多功能,因此專業性無法像IPS設備一樣專精,能夠偵測內部電腦受入侵的異常流量。我們建議你多熟悉設備的操作,並且多注意廠商的更新資訊,定期更新病毒引擎、病毒碼、攻擊特徵及設備韌體。

內容安全需求偏重閘道防毒

會考慮採用多功能整合資安設備的中小企業,大都希望透過新購設備可以提升單位現有的病毒防禦能力。只用一家廠商的防毒產品,最怕在病毒發現、研製病毒碼與解毒程式的過程中,產生防治空窗期,所以很多用戶希望在閘道上能用別種品牌的防毒產品,由外而內一起協同作業,會比較有保障。

有人認為內部防毒與閘道防毒可以當作兩件事來看待,一個負責阻擋內部使用者,因為MIS有時無法禁止使用USB隨身碟或磁碟片,所以一定要防;而防火牆或將防毒軟體安裝在伺服器,能夠防止病毒向外滲透,負責在出入口把關,假如閘道端和個人端皆採用相同的防毒引擎和病毒碼,等於重複掃描,效果並不大。

隨著網路服務越來越多,企業受到威脅度也會跟著提升,因此許多IT人員多半會管理制用者的上網行為,限制與生產力無關的服務。以今台電子為例,他們主要是透過Proxy連結外部,而且Proxy伺服器安裝防毒軟體;加上一開始就鎖定80埠,就算員工私自安裝即時通訊軟體,也無法順利使用。

多功能網路安全設備的風行,一方面是因為企業有集中設備管理的需求,一方面也是因應多種網路攻擊的分進合擊,使用單位不得不花錢採取的防衛手段,多功能網路設備功能很豐富,對付日新月異的入侵手法,恐怕還是一場難以終結的苦戰。


Advertisement

更多 iThome相關內容