零壹攜手 Akamai 共推 360 度資安防護 全方位抵禦駭客威脅

面對日益嚴峻的資安威脅，全球企業與政府單位均意識到傳統單打獨鬥、仰賴單一設備的防禦機制，早已無法對抗駭客組織的攻擊手法。為此，企業積極引進多元資安設備之外，各國政府之間積極推動跨域聯防機制，如金管會成立金融資安資訊分享與分析中心（F-ISAC）之餘，並定期要求臺灣金融產業定時舉辦資安演練，以強化面對資安威脅時的處理能力。

由行政院資安處舉辦、甫落幕的跨國網路攻防演練（CyberOffensiveandDefensiveExercise，CODE2019），有別於過去採用的情境演練方式，2019年首度改採實兵演練方式，測試臺灣產業應付駭客攻擊的能力，現場亦有來自美國的資安專家到場，提供與會人員二天的資安實務教育訓練。身為臺灣最大資安解決方案的零壹科技，也獲邀參與此次資安盛會，協助與會人士運用多品牌設備打造資安區域聯防機制。零壹科技資深協理鄭淑芬說，現今駭客組織正以精準攻擊手法，針對特定組織漏洞進行入侵，全球各地均傳出有不少大型企業受害。零壹科技認為企業若要有效降低資安攻擊帶來的衝擊，必須打造涵蓋閘道端、端點設備、雲端平台等360度面向的資安防護機制，將獨立運作的資安設備串連，搭配專業的技術服務團隊，才能有效保護企業的安全。零壹科技擁有超過百位經驗豐富的技術顧問，能提供全方位產品線與技術協助，是企業強化整體資安能力的最佳夥伴。

Akamai臺灣香港經銷通路經理江艾玲認為，近來企業投資在資安防護多半採用驗證、信任的防護模式，但當駭客組織竊取某位員工的安全憑證之後，就可輕鬆存取公司內部網路的任何資源，成為資安防護上的漏洞。Akamai推動的ZeroTrustSecurity（零信任）模式，是遵循永不信任、始終驗證的原則，即所有連線存取均需要進行驗證。儘管不是全新的理論，但卻能透過多層次的資安防護建立一致性與堅固的防護機制，讓企業應用存取安全得到保護。此舉，能有效管理員工的上網行為外，亦可避免受到惡意網站或程式的干擾，減少企業被駭客入侵的機率。

為協助運用ZeroTrustSecurity模式提高防護力，Akamai多年來持續強化資安產品線，除了備受全球用戶肯定的DDoS資安防護機制外，陸續推出KonaSiteDefender、BotManager、IdentityCloud等解決方案，助企業建構360度資安防護機制。

API 經濟興起 隱藏驚人資安風險

在新資料經濟來臨之際，為滿足消費者多元需求，驅動企業透過OpenAPI串連跨界資料，投入各種創新服務的研發。根據Gartner研究報告指出，2021年將有65%新應用將經由API串接，成為備受全球關注的API經濟，而在Akamai發佈的「2019網路/安全現狀報告：零售攻擊和API流量報告」中指出，現今API服務約佔網路流量的83%，大部分屬於數位轉型和雲端應用部署等應用。

在亮眼的API經濟背後，卻隱藏容易被忽略的資安風險。早在2017年OWASP公布的前十大資安風險中，就列入企業正面臨API攻擊防護能力不足、API未受保護等兩大問題。而多數企業內部的WAF設備，都是針對Web應用程式設計，根本無力保護API主機的安全，因此至今衍生出憑證濫用、DDoS攻擊、應用程式層等不同面向資安威脅。

Akamai資深解決方案顧問角純純指出，現今多數企業對API保護意識仍然相當薄弱，甚至有企業誤以為當API服務不收費時，就不需要額外加入防護機制，這種似是而非的觀念，正是引爆資安威脅的主要原因。當駭客組織將惡意程式植入API主機後，只要消費者透過電腦或手機存取相關服務後，就可能被植入殭屍或木馬程式，除有個人資料外洩的疑慮之外，也會成為日後發動DDoS服務的殭屍設備。

「在OpenAPI時代中，API安全與否非常重要，一旦企業沒有做好防護，除本身會遭受到駭客入侵之外，也很可能將惡意程式傳染給其他合作夥伴，造成資安危害將難以估計。」零壹科技資深技術顧問陳鳴豪解釋：「2019年開始，金管會正大力推動OpenBanking策略，鼓勵金融產業透過開放API方式發展多元業務，臺灣企業應該要正視API的安全，方能避免發生大量個資外洩的憾事。AkamaiAPIGateway讓API與後端API伺服器溝通前進行謹慎的身份驗證跟API執行內容的檢查，過濾未授權的來源訪問，並可針對API的請求次數進行控制，整合WAF與DDoS的進階防禦功能。」

因應API攻擊日益嚴峻，Akamai基於自家對全球可視化網路為基礎，運用多項先進技術所推出的KonaSiteDefender，可有效保護應用程式網站和API服務免受複雜攻擊，如資料竊取、DDoS等等。這套解決方案最大特色，在於Akamai將收集到的威脅形勢情報，轉換成抵禦最新攻擊的防護規則，協助企業在第一時間抵抗新型態的攻擊，協助企業應對不斷進化的安全挑戰。

全球爬蟲工具盛行 嚴重影響應用主機安全

在API攻擊外，另起企業面臨的新型態資安威脅，就是駭客組織運用爬蟲機器人發動慢速攻擊。在行動裝置普及與網路服務多元發展下，智慧型手機已成為消費者查詢各類資訊的首選工具，企業為提供用戶更好網路服務，正大量運用爬蟲工具收集各類諮詢，進而為用戶創造更好的服務體驗。

由於時下各種爬蟲工具盛行，多數企業在面臨網路連線數量暴增，導致應用服務主機效能滑落時，很容易誤以為是用戶端連線增加所致，所以會選擇增加主機數量以提高服務品質。看準此被動做法，駭客主機開始運用惡意爬蟲機器人以大量連線請求，緩慢癱瘓資安設備，再趁機將惡意程式植入應用服務主機之中，進而達成竊取商業機密或散播病毒的目標。

陳鳴豪指出，在全球Facebook、Yahoo接連傳出大量個資外洩事件後，駭客組織也結合機器人攻擊，以憑證填充攻擊方式，針對各知名網站或電商平台進行登入測試，以取得更多高價值的資料。此種攻擊型態已對整體資安防護造成極大衝擊，一旦造成消費者權益受損，對公司商譽造成極大傷害。角純純表示，根據Akamai研究報告顯示，光是從2017年11月初至2018年6月底的八個月間，全球出現惡意登入嘗試總共超過300億次以上。AkamaiBotManager特色在於可協助資訊人員辨識來訪的爬蟲機器人，是屬於單純資料查詢或者屬於駭客組織的惡意連線。AkamaiIntelligentPlatform負責處理全球15~30%網路流量，搭配雲安全智能大數據分析引擎（CSI）的分析能力，可快速識別出在大量連線需求的背後，是否為惡意爬蟲機器人所發出。目前AkamaiBotManager以可識別1,400種以上的已知爬蟲工具，能預先針對異常連線需求採取相對應措施。

其次，AkamaiBotManager能從鍵盤輸入節奏、滑鼠軌跡、IP信譽評分、瀏覽器指紋、http異常等資訊，藉此判定大量連線請求是否正常，並確認對業務與網路資源的影響。除斷定爬蟲工具是否為惡意外，該程式還依照各項惡意工具的特性，助資安人員制定不同的管理策略，如提供假資訊、延遲提供等等，讓企業免於陷入惡意爬蟲機器人的攻擊，同時避免駭客組織運用其他爬蟲機器人進行攻擊。

因應全球法規要求 身份認證不可少

誠如前述，全球各地不斷傳出個資外洩事件，為此，各國政府均透過制定法規要求企業強化資料保護等級，如臺灣個人資料保護法、歐盟通用資料保護條例（GDPR）、加州消費者隱私法案（CCPA)、加拿大個人資訊保護和電子文件法案（PIPEDA）等。一旦企業沒有善盡資料保護工作，當爆發資料外洩事件時，便可能會被處以高額罰金，甚至可能會被要求暫時停止提供服務。江艾玲說，AkamaiIdentityCloud設計之初，就是要為全球用戶提供所需管理與可視化平台，進而打造無縫、安全且可延伸的用戶體驗平台。

這套基於AkamaiIntelligentEdgePlatform設計的解決方案，可協助企業改善資料防護等級，以便因應不同法規要求，加上提供API、SDK兩種機制，能與現有的應用服務完美整合，是保護個資安全的最佳選擇。

引進合適資安工具及合作夥伴之外，零壹科技建議企業應該同步持續強化資安教育工作，透過多管齊下方式降低遭到惡意程式入侵的機率，全方位保護商業機密安全。