傳統Layer 4控制已經過時,因為port不等於APIP Address不等於使用者、封包不等於內容,網路安全設備要能辨識AP才能管控風險。

 

 

傳統資安分成四大領域:網路安全、內容安全、管理安全、應用安全。其中,網路安全一直是企業資安的基本功,就好像學中國功夫要從蹲馬步開始一樣,很多企業都是從網路安全開始建構資安防護網,如今,隨著IT技術進步,網路服務內容變得多元化,資安攻擊形式不同於以往,這種種原因促使網路安全防護有了新的轉變。

 

 

 

 

Palo Alto技術經理藍博彥表示,早期網路服務比較單純、變化不大,上網只是瀏覽網頁或收發電子郵件,而且連線上網管道只有1種(亦即透過電腦),因此使用IPS、頻寬管理器(QoS)、代理伺服器(Proxy)、防火牆…等設備,就足以構成一道資安防禦網,抵擋外部來的各種攻擊。

 

 

 

如今可以連上網路的管道變多了,如:智慧型手機、平板電腦、電視…等都能上網,再加上Web AP興盛,使用者上網不只瀏覽網頁或收發郵件,更多原因是為了使用這些Web AP所提供的服務,如:MSNFacebookP2P下載…等。這些Web AP全部都走http port,以便能順利通過防火牆,也因此導致網管人員無法仔細區分網路使用行為,究竟是玩遊戲、看電視、下載檔案、連上社交網站中的哪一種,同時這些Web AP也造成網路流量變大,容易出現網路不順暢的狀況。

 

 

 

因此,新一代網路安全設備要能看得懂AP行為,才能做好管控,一來可以讓網路流量配置最佳化,二來則是避免隱藏在應用層中的資安威脅,藍博彥指出,傳統Layer 4控制已經過時,因為port不等於APIP Address不等於使用者、封包不等於內容,如今有太多方式可以規避傳統的資安檢查,如:proxy bypassUltrasurf無界瀏覽器、Hamachi虛擬區域網路軟體、Tor匿名網路傳輸,如果網路安全設備無法辨識應用層內容,就容易有風險。

 

 

 

而市場調查機構Garnter也在2009年提出次世代防火牆(NGFW, Next Generation Firewall)的概念,除了傳統防火牆功能外,還要具備封包檢測、IDP、應用程式流量辨識、客製化擴充、阻斷惡意流量…等能力,換句話說,NGFW不只是做IPPort的控管,更重要的是分析port上不同行為的應用程式,管控其使用狀況。

 

 

 

APT攻擊難防  透過沙盒模擬執行結果

 

NGFW在辨識應用程式時,如果遇到不認識的AP,原因可能有2種:一是企業客製化AP,二是駭客所設計的攻擊程式,而後者很可能會演變成APT攻擊。從現今受駭案例來分析,APT攻擊通常可分為4個程序:

 

1. 引誘使用者:找出使用者有興趣的資訊,並製作出魚叉式釣魚郵件。舉例來說,假若攻擊者發現攻擊目標喜歡高爾夫,他將會寄送一份與之相關的PDF文件或網址連結;

 

2. 暗藏漏洞/弱點:這份PDF文件或網址通常含有一個未知弱點,當使用者開啟文件或網址時,攻擊者就能獲得使用者電腦的內部連線;

 

3. 下載後門程式:一旦內部連線建立起來,攻擊者將會下載後門程式至使用者電腦中,這個後門程式讓遠端中繼站享有存取資料的權利;

 

4. 建立祕密通道:後門程式持續探索使用者電腦並竊取機敏資料,並開啟一個相反連結,將資料傳到攻擊者的外部機器上。

 


友善連結 : http://www.informationsecurity.com.tw/article/article_detail.aspx?tv=13&aid=7204

 

 

 

 

SafeNet 資訊安全保護鎖系列  , 歡迎來電借測 !    

正新電腦提供 [ 借測活動 ]  並且提供借測使用上的技術指導。  

有意借測者,歡迎來電洽詢詳細借測內容或有關資訊安全相關問題。  

更多產品資訊來源 : www.pronew.com.tw
正新電腦 TEL :  04-2473-8309

arrow
arrow

    正新- 資安專家 發表在 痞客邦 留言(0) 人氣()