面對日益嚴峻的資安威脅,全球企業與政府單位均意識到傳統單打獨鬥、仰賴單一設備的防禦機制,早已無法對抗駭客組織的攻擊手法。為此,企業積極引進多元資安設備之外,各國政府之間積極推動跨域聯防機制,如金管會成立金融資安資訊分享與分析中心(F-ISAC)之餘,並定期要求臺灣金融產業定時舉辦資安演練,以強化面對資安威脅時的處理能力。

由行政院資安處舉辦、甫落幕的跨國網路攻防演練(CyberOffensiveandDefensiveExercise,CODE2019),有別於過去採用的情境演練方式,2019年首度改採實兵演練方式,測試臺灣產業應付駭客攻擊的能力,現場亦有來自美國的資安專家到場,提供與會人員二天的資安實務教育訓練。身為臺灣最大資安解決方案的零壹科技,也獲邀參與此次資安盛會,協助與會人士運用多品牌設備打造資安區域聯防機制。零壹科技資深協理鄭淑芬說,現今駭客組織正以精準攻擊手法,針對特定組織漏洞進行入侵,全球各地均傳出有不少大型企業受害。零壹科技認為企業若要有效降低資安攻擊帶來的衝擊,必須打造涵蓋閘道端、端點設備、雲端平台等360度面向的資安防護機制,將獨立運作的資安設備串連,搭配專業的技術服務團隊,才能有效保護企業的安全。零壹科技擁有超過百位經驗豐富的技術顧問,能提供全方位產品線與技術協助,是企業強化整體資安能力的最佳夥伴。

Akamai臺灣香港經銷通路經理江艾玲認為,近來企業投資在資安防護多半採用驗證、信任的防護模式,但當駭客組織竊取某位員工的安全憑證之後,就可輕鬆存取公司內部網路的任何資源,成為資安防護上的漏洞。Akamai推動的ZeroTrustSecurity(零信任)模式,是遵循永不信任、始終驗證的原則,即所有連線存取均需要進行驗證。儘管不是全新的理論,但卻能透過多層次的資安防護建立一致性與堅固的防護機制,讓企業應用存取安全得到保護。此舉,能有效管理員工的上網行為外,亦可避免受到惡意網站或程式的干擾,減少企業被駭客入侵的機率。

為協助運用ZeroTrustSecurity模式提高防護力,Akamai多年來持續強化資安產品線,除了備受全球用戶肯定的DDoS資安防護機制外,陸續推出KonaSiteDefender、BotManager、IdentityCloud等解決方案,助企業建構360度資安防護機制。

 

API 經濟興起 隱藏驚人資安風險

在新資料經濟來臨之際,為滿足消費者多元需求,驅動企業透過OpenAPI串連跨界資料,投入各種創新服務的研發。根據Gartner研究報告指出,2021年將有65%新應用將經由API串接,成為備受全球關注的API經濟,而在Akamai發佈的「2019網路/安全現狀報告:零售攻擊和API流量報告」中指出,現今API服務約佔網路流量的83%,大部分屬於數位轉型和雲端應用部署等應用。

在亮眼的API經濟背後,卻隱藏容易被忽略的資安風險。早在2017年OWASP公布的前十大資安風險中,就列入企業正面臨API攻擊防護能力不足、API未受保護等兩大問題。而多數企業內部的WAF設備,都是針對Web應用程式設計,根本無力保護API主機的安全,因此至今衍生出憑證濫用、DDoS攻擊、應用程式層等不同面向資安威脅。

Akamai資深解決方案顧問角純純指出,現今多數企業對API保護意識仍然相當薄弱,甚至有企業誤以為當API服務不收費時,就不需要額外加入防護機制,這種似是而非的觀念,正是引爆資安威脅的主要原因。當駭客組織將惡意程式植入API主機後,只要消費者透過電腦或手機存取相關服務後,就可能被植入殭屍或木馬程式,除有個人資料外洩的疑慮之外,也會成為日後發動DDoS服務的殭屍設備。

「在OpenAPI時代中,API安全與否非常重要,一旦企業沒有做好防護,除本身會遭受到駭客入侵之外,也很可能將惡意程式傳染給其他合作夥伴,造成資安危害將難以估計。」零壹科技資深技術顧問陳鳴豪解釋:「2019年開始,金管會正大力推動OpenBanking策略,鼓勵金融產業透過開放API方式發展多元業務,臺灣企業應該要正視API的安全,方能避免發生大量個資外洩的憾事。AkamaiAPIGateway讓API與後端API伺服器溝通前進行謹慎的身份驗證跟API執行內容的檢查,過濾未授權的來源訪問,並可針對API的請求次數進行控制,整合WAF與DDoS的進階防禦功能。」

因應API攻擊日益嚴峻,Akamai基於自家對全球可視化網路為基礎,運用多項先進技術所推出的KonaSiteDefender,可有效保護應用程式網站和API服務免受複雜攻擊,如資料竊取、DDoS等等。這套解決方案最大特色,在於Akamai將收集到的威脅形勢情報,轉換成抵禦最新攻擊的防護規則,協助企業在第一時間抵抗新型態的攻擊,協助企業應對不斷進化的安全挑戰。

 

全球爬蟲工具盛行 嚴重影響應用主機安全

在API攻擊外,另起企業面臨的新型態資安威脅,就是駭客組織運用爬蟲機器人發動慢速攻擊。在行動裝置普及與網路服務多元發展下,智慧型手機已成為消費者查詢各類資訊的首選工具,企業為提供用戶更好網路服務,正大量運用爬蟲工具收集各類諮詢,進而為用戶創造更好的服務體驗。

由於時下各種爬蟲工具盛行,多數企業在面臨網路連線數量暴增,導致應用服務主機效能滑落時,很容易誤以為是用戶端連線增加所致,所以會選擇增加主機數量以提高服務品質。看準此被動做法,駭客主機開始運用惡意爬蟲機器人以大量連線請求,緩慢癱瘓資安設備,再趁機將惡意程式植入應用服務主機之中,進而達成竊取商業機密或散播病毒的目標。

陳鳴豪指出,在全球Facebook、Yahoo接連傳出大量個資外洩事件後,駭客組織也結合機器人攻擊,以憑證填充攻擊方式,針對各知名網站或電商平台進行登入測試,以取得更多高價值的資料。此種攻擊型態已對整體資安防護造成極大衝擊,一旦造成消費者權益受損,對公司商譽造成極大傷害。角純純表示,根據Akamai研究報告顯示,光是從2017年11月初至2018年6月底的八個月間,全球出現惡意登入嘗試總共超過300億次以上。AkamaiBotManager特色在於可協助資訊人員辨識來訪的爬蟲機器人,是屬於單純資料查詢或者屬於駭客組織的惡意連線。AkamaiIntelligentPlatform負責處理全球15~30%網路流量,搭配雲安全智能大數據分析引擎(CSI)的分析能力,可快速識別出在大量連線需求的背後,是否為惡意爬蟲機器人所發出。目前AkamaiBotManager以可識別1,400種以上的已知爬蟲工具,能預先針對異常連線需求採取相對應措施。

其次,AkamaiBotManager能從鍵盤輸入節奏、滑鼠軌跡、IP信譽評分、瀏覽器指紋、http異常等資訊,藉此判定大量連線請求是否正常,並確認對業務與網路資源的影響。除斷定爬蟲工具是否為惡意外,該程式還依照各項惡意工具的特性,助資安人員制定不同的管理策略,如提供假資訊、延遲提供等等,讓企業免於陷入惡意爬蟲機器人的攻擊,同時避免駭客組織運用其他爬蟲機器人進行攻擊。

 

因應全球法規要求 身份認證不可少

誠如前述,全球各地不斷傳出個資外洩事件,為此,各國政府均透過制定法規要求企業強化資料保護等級,如臺灣個人資料保護法、歐盟通用資料保護條例(GDPR)、加州消費者隱私法案(CCPA)、加拿大個人資訊保護和電子文件法案(PIPEDA)等。一旦企業沒有善盡資料保護工作,當爆發資料外洩事件時,便可能會被處以高額罰金,甚至可能會被要求暫時停止提供服務。江艾玲說,AkamaiIdentityCloud設計之初,就是要為全球用戶提供所需管理與可視化平台,進而打造無縫、安全且可延伸的用戶體驗平台。

這套基於AkamaiIntelligentEdgePlatform設計的解決方案,可協助企業改善資料防護等級,以便因應不同法規要求,加上提供API、SDK兩種機制,能與現有的應用服務完美整合,是保護個資安全的最佳選擇。

引進合適資安工具及合作夥伴之外,零壹科技建議企業應該同步持續強化資安教育工作,透過多管齊下方式降低遭到惡意程式入侵的機率,全方位保護商業機密安全。

零壹科技攜手 Akamai 共同推動 360 度資安防護策略,助企業抵禦新型態攻擊。


Advertisement

更多 iThome相關內容