專訪BlueCoat大中國區技術總監曾良駿

近年來各種網路威脅紛紛簇擁,接連朝著網站這個跨平臺的環境而來,大勢所趨之下,因此許多網路安全解決方案供應商都了解到︰光從網路層限制特定IP、網路協定與流量出入的通訊埠,並不足以自動辨識與攔阻所有的威脅,必須將防禦層級提高到應用層,具備全面檢視網路七層架構的能力,達到內容過濾的效果,才足以完整辨識這些威脅的全貌,進而阻擋。以下是我們專訪BlueCoat大中國區技術總監的內容。

Q:與病毒大規模感染或網頁不當內容散播相比,間諜程式威脅與日俱增,這代表什麼意義?

A(曾良駿):為什麼威脅和攻擊行為模式會逐漸轉移到Web?道理很簡單,當你撰寫一支病毒或攻擊程式,最好的擴散傳染途徑一定是找個最便利的管道。比方恐怖份子要發動攻擊,一定會找地鐵、捷運這種多人進出的公共設施;若是選在人煙稀少的地方攻擊,不但沒有意義,也出不了名。

有越來越多的商業行為認為Web這個路徑後勢仍然看漲,因為任何一個企業為了要e化、連上網際網路,勢必開放80埠。不只是一般傳統認定的HTTP,包括FTP與新興的網路通訊協定,如P2P、即時通訊、串流傳輸,都可以透過80埠進出。

Q:當許多商業應用紛紛轉移到Web,網路威脅也亦步亦趨跟進,未來會發生哪些狀況?

A:商業化應用系統最容易利用哪一個網路埠進出,其他人同樣能利用這個管道進到企業內部。防火牆一旦開放80埠,企業隨即無法進一步管制這些流量,能從應用層和內容著手辨識各種威脅,除非能夠網路防禦設備能夠透視傳輸的內容,檢查是否有問題,這樣的防禦才算完整。

我預估未來十年內,所有的威脅和攻擊模式都會往Web集中,而近幾年來,病毒傳染途徑已改由電子郵件、Web Mail,或利用HTTP、FTP等方式滲透到企業內。企業固然會隨時保持警戒,預防這些威脅,但同時駭客與病毒也在想辦法潛入,單靠防火牆已無能為力,需要靠閘道端內容安全控管設備,扮演監督與控制的角色。

Q:不同類型的產品紛紛針對間諜程式,提出解決之道,這些是否與既有網頁內容過濾產品的定位產生衝突,讓用戶混淆?

間諜程式只是各種網頁安全威脅中的一種類型,因為行為不斷改變,其實無法嚴格被定義為一種桌面型的病毒。除了解決當下的間諜程式與網路釣魚行為,身為資安廠商也要考量未來可透過網頁的其他可能攻擊型式,不應該畫地自限。

Q︰個人端電腦的點對點傳輸加密,會不會是這種閘道端內容過濾設備的罩門?
A:道高一尺,魔高一丈,公司能否實現政策控管很重要。例如SoftEther存在的主要目的就是要突破網路防火牆,只要企業對外開放80埠或443埠(HTTPS/SSL),就可以內外通透。另一個難防之處是透過443埠進出都是經過加密的傳輸,一般網路設備沒辦法存取內容,除非設備本身能辨識SoftEther,從政策設定阻擋。對付加密的網路傳輸,雖然看不到內容,但只要能找出行為模式(例如加密這個特徵),就可以透過內容政策封鎖,進而控管。

由於FTP、IM、P2P、多媒體串流傳輸,都能利用HTTP出入企業內部網路,假如很確定不會有其他應用程式利用80埠進出,可以將政策改為只允許純HTTP連線通過,接著再針對高階主管等特定使用者,以例外設定允許他們的網路傳輸行為。

Q︰還有哪些方式可以因應這些迴避過濾的手法?
A:假如公司採用Proxy架構,一樣可以擋掉已加密的網路封包。有些應用程式因為不希望被側錄,因此把本機電腦當作Proxy伺服器轉送,再趁機滲透到外部網路,不一定一開始傳輸就加密,企業可以阻擋這些未使用公司規定Proxy伺服器的網路流量,配合防火牆或特定的網路安全產品建構完整的防禦策略,從行為下手,徹底預防這些規避內容過濾的手法。

面對形形色色的網路安全威脅,有些透過現有技術可以解決,但現在沒辦法解決的,只能想辦法阻擋。有些用戶希望有限度的控制使用,但事實上,阻擋和控制卻是兩回事。

Q︰很多網路安全產品都對Skype舉手投降,這是怎麼一回事?

A:設計出Skype的Phil Zimmermann,也是P2P軟體Kazaa的作者,他非常清楚P2P,也知道很多人都在預防這類網路軟體,因此發明出突破這些圍堵的方法。

Skype厲害之處在於不需依賴登入伺服器,即可與網友們通訊,利用Supernode的動態更新登入清單,可以透過其他Skype Client當作跳板對外連線,如果網路安全設備想鎖定觀察特定個人端電腦的動向,也將永遠不知道該追蹤哪一個固定IP。不過假如網路架構設計得當,Skype仍然是可以阻擋的。

Q︰該如何控管Skype?

A:防火牆一定要持續注意公司目前使用的網路埠,不該開放的IP與網路埠一律關掉;一旦發現來源不是公司Proxy伺服器IP,就要直接丟棄來自該IP的封包,方能見效。Skype不見得會優先用80埠,一定先用本身預設的網路埠,無法傳輸時,才會透過常用網路埠連外。如果不掐在咽喉處謹慎控管,管理將出現很大漏洞。

單從網路層辨識流量、限制傳輸,效果很有限,我們認為要嚴格把關,以Proxy限制員工上網際網路的路徑,要管制進入防火牆的流量,而內部網路對外傳輸的一定阻擋所有不該開放的網路埠,逼合法與不法的網路傳輸別無他法,只能由這條路徑脫身,讓系統能即時攔阻。

Q︰間諜程式防護的解決方案目前包括個人端防毒、個人端反間諜軟體,以及網頁過濾或IPS等閘道防禦設備,這些解決方案中有哪些優缺點?

A:桌上型掃病毒只能解決檔案內的惡意程式和系統登錄檔,間諜程式未抵達電腦前,根本沒辦法防護;而反間諜軟體只能單純處理間諜程式,不能解決其他安全問題,擴充性更有限。

很多內容過濾的解決方案採用網址分類資料庫偵測間諜程式,但假如間諜程式被置放在一個正常的網站內,如eBay或Google頁庫存檔中,設備不能因為商業性的爭議,而封鎖整個網站,而且存取正常網站也不代表你不會被植入間諜程式。

為了防止駭客入侵,IDS和IPS號稱也能處理間諜程式,從網路封包的層級控制。因為產品有行為特徵資料庫,所以可以附帶處理間諜程式。雖然IDS和IPS可以深入到網路第7層,不過一旦啟用這種檢視方式,設備效能將會受到影響。而且有些間諜程式其實就和一般的軟體沒兩樣,沒有任何固定的特徵,如何能從茫茫程式碼中發現其中的問題?

我們認為綜合各種解決方案,例如整合內容過濾、網址分類資料庫、防毒、政策設定等技術,才能提高初期預防與攔截威脅的效率。

了解各種解決問題的技術與購買產品之外,最重要的還是一個公司的企業IT政策,要有一套好的管理策略與正確的設定,搭配充裕的人力協助控管,才能讓問題減少。採訪整理⊙李宗翰


Advertisement

更多 iThome相關內容