近年來,防護思維大轉彎,從端點電腦分析使用者與應用程式的存取行為,並進一步加以反制,成為資安的新顯學。然而,這並非代表網路層的防護不再重要,相反的,企業若是能透過防火牆、網頁安全閘道、入侵預防系統(IPS)等設備,及早從網路流量就先行過濾,而非完全倚賴端點電腦的防護措施,便能減少電腦為了解析惡意攻擊,消耗大量的運算效能,影響使用者生產力的情況。

雖然,防毒軟體等端點電腦保護機制,已經納入了不少進階功能,藉此找出蛛絲馬跡,試圖拆解日益嚴重的未知攻擊手法,但透過網路層的分析,其保護層面更為廣泛,例如,在勒索軟體橫向擴散之後,透過防火牆,阻絕大量與已知C&C中繼站的連線,以免這些連線請求造成企業網路癱瘓。

隨著技術的日新月異,硬體設備的效能提升,對於小型企業而言,在擁有了端點的防毒軟體之後,具備多重防護機制的防火牆、UTM,便成為進階保護措施的首選。由於全球已經超過一半以上流量,都是採用HTTPS協定的加密,因此,標榜能解析SSL加密的內容,也成為目前次世代防火牆(NGFW)的標準配備。

有了防火牆之後,企業對於網路流量的過濾,可能再分工,進一步考慮如入侵偵測系統(IPS)、網路進階持續性威脅防護等解決方案,以及SSL加密流量解析的專屬產品等,分擔原本防火牆必須運算的效能,防火牆只需過濾大量已知的惡意威脅即可。而對於進階威脅,現在許多防火牆產品都能與沙箱設備,或是雲端沙箱服務搭配,不需在本機執行深度檢測,影響網路流量的傳送,甚至某些設備也能與其他同廠牌的防護機制,共用威脅情資,藉此及早攔截有問題的流量。

此外,近期也有針對DNS伺服器的措施,能擾亂勒索軟體與C&C中繼站之間的連線。對於加密流量的解析、管理(Encrypted Traffic Management,ETM),也可交由專屬SSL加解密設備執行流量的解密,減少IPS或是網路APT防護設備的負載。

防火牆是守護網路安全的關卡

基本上,企業網路端的防護第一道防線,莫過於防火牆或是UTM設備。在較早期的防火牆產品而言,主要著重於指定的內外部IP位址和通訊協定,進行把關,允許網路流量通過,或是阻擋。因此,在能夠承載目前企業網路流量的前提下,傳統防火牆設備仍可以善用基本流量過濾能力,來提供保護,只是,在進階威脅防護與整體管理的部分,不如次世代防火牆的功能豐富。

其實,防火牆與其他措施與防護設備,像是沙箱、加密網路流量解析設備,加以搭配之後,企業還是能夠因應較為新興的攻擊,也未必要直接汰換。然而,相對應的代價,就是管理者需更加頻繁地手動作業,例如,自行匯入威脅情報服務提供的惡意活動特徵資料、IP位址黑名單等,並檢查防火牆的事件記錄,以人工或匯入安全事件管理平臺(SIEM)的方式,從中找出可能的威脅。此外,若是與不同廠牌之間的沙箱設備搭配,相容性也是企業必須考量的風險。

藉由防火牆追蹤惡意連線記錄

針對勒索軟體疑似異常的連線行為,Palo Alto的PA系列防火牆會加以記錄,管理者從主控臺就能看到惡意網址事件排行、近期連線數量圖表,以及通往上述網站的DNS主機解析等資訊。

網路流量深度檢測機制,已是防火牆的標準配備

縱觀市面上的防火牆產品,國產廠商並不多,合勤與眾至可說是代表品牌,而兩個廠牌的防火牆設備,都能與指定型號的交換器、無線基地臺搭配,達到聯合防禦縱效,在發現受到勒索軟體攻擊的端點產生異常流量時,管理者能遠端封鎖交換器的網路連接埠,或是直接限制交換器的PoE供電時段,減少網路設備遭到攻擊的機會。

以合勤的次世代防火牆產品來說,ZyWall USG系列不只具備UTM的功能,包含防毒、內容過濾、入侵偵測防禦、防垃圾郵件等,能夠以此過濾已知的勒索軟體威脅,在較高階的機種上,也納入了SSL加密流量檢測的能力。而眾至的NU系列次世代防火牆,則是強調能針對封包進行深度檢測(DPI)。

統整防火牆狀態、流量,以及進階威脅資訊

Sophos XG防火牆在儀表板中,分別列出運作狀態、網路流量,以及進階沙箱分析結果等指標,下方則呈現政策套用的情形,以及需加以留意的警示通知。

透過內建或整合沙箱服務,進一步分析疑似未知威脅的檔案

此外,對於多個據點的企業,合勤另外推出了可由Nebula雲端管理平臺集中控管的NSG防火牆可選。同樣主打小型企業能輕鬆部署、或是能透過雲端管理平臺大量控管的小型防火牆產品,還有趨勢科技今年推出的CloudEdge,這款產品設備並非直接買斷,而是採取月租付費的方式,而內建的功能算是豐富,並且同時費用包含了雲端沙箱功能,以及遠端專家協助服務等,但就不像合勤和眾至的防火牆,能與其他區域網路中的網路設備聯合防禦。

不過,針對進階威脅的偵測,外國品牌的防火牆產品,大多可直接選用的沙箱設備與服務,對於可疑檔案,能夠進一步檢查是否為惡意軟體。

例如,Sophos XG系列防火牆能選購Sandstorm雲端沙箱,而SonicWall則是搭配的軟體服務套餐當中,針對防火牆的部分,提供了具有3種掃描引擎的沙箱。至於Check Point,他們推出的Next Generation Threat Prevention & SandBlast(NGTX),包含了SandBlast Threat Emulation功能。

提供C&C中繼站連線事件分析

針對勒索軟體回傳資訊的C&C連線事件,Verint TPS系統發現並攔截後的記錄,管理者能藉此得知詳細的資訊,包含來源端點電腦與遠端伺服器內容,以及傳輸的時間、連接埠、資料表頭等。

結合威脅情資,及早識別勒索軟體攻擊流量

威脅情資的使用與整合,也能增加防火牆及早阻斷勒索軟體威脅的能力。例如,Palo Alto的PA系列防火牆產品,可選用WildFire雲端情資服務,與同品牌其他的防火牆、端點偵防系統Traps,也能彼此互通威脅情資。

除了網路威脅情資的共享外,也有廠商直接與端點防護產品結合,像Sophos XG防火牆,能使用Security Heartbeat的通訊機制,藉由端點防毒軟體回報主控臺的狀態,再由XG防火牆採取放行或是暫時封鎖。

結合入侵指標與網路流量分析

在Cisco的AMP平臺,會將網路流量加以解析,歸納來源IP位址、使用者、作業系統類型之外,也列出符合入侵指標(IOC)的網路事件,並提供來源IP位址和受害特徵等進階資訊。

延伸網路防護的入侵預防系統,以及網路APT防護機制

基本上,網路入侵預防系統(IPS)的主要功能,前述的防火牆設備大多已經內建,不過,對於規模較大的企業,可能就會藉由專屬的IPS設備,獨立分析流量中的威脅。

普遍來說,在預算較為有限的小型企業,通常不會額外採用IPS,導致這種產品朝向大型化、更加專用特性發展。而在我們向廠商徵詢這類防護方案時,只有McAfee特別提及IPS,不過,像是趨勢和Symantec等廠商,實際上也有這種類型的專屬產品,但他們並未提及。

以McAfee的產品Network Security Platform而言,就主打不使用特徵碼的行為分析,卻仍然可以抵禦勒索軟體等未曾見過的威脅,以及殭屍網路、DDoS攻擊等。此外,處理效能的部分,Network Security Platform最多可支援320 Gbps流量,並採用威脅防禦生命週期方法,也能利用來自多重來源的資料,進一步提供企業的可視性。

相較於次世代IPS的解決方案,許多廠商提及了網路APT防護的產品,包含AhnLab、Cisco、CloudCoffer、FireEye 、Verint,以及趨勢科技等,與IPS最大的不同是,APT防護產品涵蓋的範圍較廣,在網路之外,也針對端點電腦和電子郵件,提供相關的保護措施。

基本上,上述的APT防護產品,都是以實體設備的型式為主,其中,有些是針對網路提供保護的產品,像是FireEye NX系列,以及趨勢科技DDI等。

不過,也有些產品同時具有IPS的特性,以及網路APT防護能力,難以直接歸類在特定類型。例如,Cisco推出的AMP for Network,就是這樣的產品,它採用超過500種動態行為分析指標,用來阻擋可疑入侵行為,並透過機器學習,判斷可能會遭到攻擊的端點電腦。

而這個解決方案也結合了Cisco的Talos威脅情資,能與AMP針對端點、電子郵件、網頁安全等防護措施結合,對於所有檔案進入網路後的活動,能夠持續監測、分析、記錄。此外,AMP擁有事件來源回溯機制Retrospective,藉由文件檔案的分析記錄,在發現攻擊事件時,追溯感染途徑。

解析及追蹤DNS轉址流量

若受到感染的用戶端,嘗試使用DNS指令與主控端殭屍網路病毒進行通訊。Cisco Umbrella將禁止連線,並留下記錄,供後續調查時進一步分析之用。

進階拆解DNS轉址,防堵中繼站

對於採用IP位址黑名單,執行放行與封鎖的防火牆,面臨到有心人士不時變動DNS對應的IP位址,便難以阻絕包含勒索軟體在內的惡意程式,利用這樣的方式躲過防火牆的檢測。由於許多勒索軟體都要透過中繼站通知攻擊者,藉此執行下一步攻擊,因此,也有廠商特別提及DNS防火牆這種類型的產品。

我們所詢問到了兩個廠牌的產品,分別是Infoblox的DNS防火牆,以及收購自OpenDNS的Cisco Umbrella,前者提供了實體設備和雲端服務,而後者則是以雲端服務的方式提供。

針對網路加密流量進行有效管理

隨著加密流量的應用越來越廣泛,自Chrome、Firefox兩大瀏覽器陣營在2017年初,都發表統計數據指出,全球超過一半以上都是採用HTTPS協定的加密流量,這也代表了這種流量的應用越來越普及。但加密流量的普及,同時也帶來針對這種流量攻擊手法。日前,中國資安研究人員發現瀏覽器漏洞,有心人士可藉由萬國碼的網址與ASCII字元轉換,成為網路釣魚中,欺騙使用者的手法。因此,若是企業能事先解析流量,為上網員工進行把關,就能減少受到這類惡意攻擊的機會。

雖然,不論是防火牆、網頁安全閘道,以及IPS等,都有基本的識別SSL加密流量內容的能力,但若是全數由上述防護設備自行處理,相當耗費這些設備的系統資源,容易導致網路效能變差,影響企業的生產力。因此,透過專屬的ETM設備,解密流量的內容後,再交由前述的防護設備分析,就能將較多運算資源運用在尋找惡意威脅中。

專門拆解SSL加密流量的解決方案很多,包含F5、Gigamon、A10、以及Symantec等廠商,都有相關產品。

熱門新聞

Advertisement