觀點

2005年網路安全威脅大追緝
國際資安大廠為2005危機尋找最佳出口

2005 / 02 / 14
徐國祥
2005年網路安全威脅大追緝<br> 國際資安大廠為2005危機尋找最佳出口

“網路安全危機”繼續延燒
除了網路病毒持續延燒,一般說來,2005年網路威脅還是跳脫不了DoS、網路傳輸等攻擊模式,DoS攻擊威脅將會倍數增長,絕大部分的網路威脅將會持續透過防火牆必開之門進行攻擊,如HTTP, HTTPS, SMTP, POP3及DNS等網路應用協定;也由於P2P應用盛行所衍生出的網路威脅及頻寬濫用所導致的網路服務受阻更是一大考驗,而躲藏在SSL內來規避IPS與IDS之攻擊威脅將與日俱增。另外,根據Cisco、Symantec、Trend Mirco、Radware、Check Point等知名廠商預測2005年最嚴重的威脅彙整如下:

「系統漏洞」持續威脅個人及企業用戶:

2004上半年發現的漏洞數量已經高達1,237個,平均每週發現48個新漏洞,95%是屬於中度及高度危險性的。根據調查報告指出,漏洞公佈到破解程式寫出的時間差平均為5.8天。在如此短暫的時間下,企業只有不到一週的時間可以進行漏洞修補,形成用戶與駭客的時間競賽。預期2005年漏洞依然會持續影響個人及企業用戶,隨著駭客工具日益精進,屆時用戶將越來越難預防透過漏洞發動攻擊的網路威脅。

「傀儡程式(Bot)」及「間諜程式」影響加劇:

2004上半年遠端遙控的Bots(Robot的縮寫)程式數量大幅增加,由每天平均2,000隻以下暴增為30,000隻,一天內最高峰時可高達75,000隻,對企業來說,這些Bot程式所組成的網絡將是嚴重的安全隱憂,因為駭客可快速由遠端升級Bot程式成為新攻擊程式,使駭客可以超越企業修補漏洞的腳步,迅速發動攻擊造成損害。

另一嚴重威脅則是間諜程式(Spyware)迅速蔓延,間諜程式向來不引人注目,然而電腦中若存有間諜程式,將造成使用者隱私資料及危害硬碟裡機密資訊安全等風險產生,如商業類的鍵盤側錄程式會記錄鍵盤輸入資料、應用程式及擷取螢幕畫面等;其他的間諜程式也會蒐集相關行銷資訊,如追蹤使用者的網頁瀏覽習慣、獲得未來廣告發送資訊等,顯示其危害已經成為企業及個人的重大隱憂。

「網路釣魚」犯罪繼續橫行:

根據2004年10月份調查顯示,全球電子郵件被偵測為垃圾郵件的比例為66%,比例可說相當驚人,隨著大量垃圾信隱藏顧背後懷有「盜取金錢意圖」的網路釣魚(Phishing)郵件正逐漸威脅企業及個人用戶。而根據國際的反網路釣魚工作小組(Anti-Phishing Working Group, APWG)在今年11月公佈的「2004年7~10月間,網路釣魚活動發展現象報告」指出,釣魚網站以平均每個月25%的速度增加;10月份網路釣魚信件數量是8月份的三倍之多。平均來說,網路釣魚信件最常被利用的是金融服務產業,10月份平均有73%被利用的廠商屬於此產業,被利用的第二順位為ISP業者,大約佔14%。由於在網路上進行的金錢交易越來越頻繁,未來網路釣魚的比例將持續升高,手法也將變的更多元,繼病毒、駭客攻擊後,成為另外一個與用戶息息相關的網路安全大敵。

無線網路安全仍是企業心中永遠的痛:

雖然已有關於無線網路協定的弱點文件和不當存取點的警告,但通常使用者都沒有對網路安全存有警覺,所以無線網路安全問題將持續遭受重大攻擊,即使較新的802.11i協定擁有強大的加密功能,改進了無線網路協定的缺點,但對於先前已建置無線網路,不太願意再花大把鈔票去做安全投資的企業來說,等著看吧!能輕易由不當存取的網路連出去的企業團體,如零售業者、運輸等,還有與其他行業共用大樓網路設備的企業,將無可避免會遭遇更多的網路攻擊。

將“安全”納入系統成為基本要項
由上述相關資安問題的內容中不難發現,即便目前針對2005年的攻擊型態已能初步掌握,但廠商對於資訊安全保護措施仍充滿不確定的危機意識,究竟該採取何種解決方法直至今日尚無定論,但或許可從廠商的談話中看出,資安防禦已走向不同以往的新觀念,這也正是未來迎接達到真正資訊安全的一道曙光。而以網路安全做為發展職志的Cisco就成為不得不優先提及的對象,Cisco技術總監鈕因任指出, Cisco是以Networks的角度來看資訊安全,明瞭security不是金錢就可以解決的,所以Cisco非常強調將安全與infrastructure技術相結合的觀點,所以在Router、Switch、VOIP等設備中加入安全機制;另外,從安全的整體來看,與系統整合才能有效解決當前的資安問題,而未來網路更需具備Intelligence的自主能力,才能確保應用系統和網路傳輸的安全,唯有如此串連,安全才能完備,如果只看到host卻不看網路安全,這樣的安全就不夠完備了。

鈕因任更明確表示,由於Layer2網路架構本身就有問題,一旦外來者入侵公司內部將無法防止資料遭受破壞、竊取,又由於員工因業務需求在外使用Notebook將極易遭受病毒感染,無意間將使公司內部成為病毒傳播場所。Cisco解決方案就是要做到第一線保護,因為只要能在第一線產生有效保護就能阻擋許多攻擊,而CSA(Cisco Security Agent)機制會依行為模式有無異常來主動判斷,概念就是從隔離角度出發,對於不正常的行為就予以隔離,所以可以符合此類的需求。此外,原先只要正確的開機登入就可以使用Internet,但目前Cisco研發802.1x系統,在進入網路之前會再產生一組ID、Password,使用者必須填入正確的ID、Password才能進入Internet,如同進入PC時必須登入兩次,利用雙重確認機制可以有效判定員工身份,目前802.1x已運用於有線和無線網路。

在網管設備方面,通常其他廠商的產品會由於無法正確偵測Event的好、壞,因此往往造成許多困擾,Cisco的VMS(VPN and Security Management Solution)可事先做好Event的判斷,減低資訊人員判別上的負擔,在VMS之上還有SIMS(Security Information Management Solution)機制,對於大量的安全事件資料,如駭客入侵、病毒攻擊、木馬程式等,提供有效的蒐集及分析能力,以滿足企業的需求;另一種網路管理架構是CIC(Cisco info Center),即整個網路上傳輸資料、攻擊、效能等管理都可送至CIC中做即時處理。

Cisco在既有Router、Switch技術中加入安全機制來層層保護,未來也會將Intelligence加入網路來產生自我防禦的功能(Self Defending Networks),能夠自動偵測、阻擋、修護相關攻擊型態,這也是Cisco所提供由下而上全面性網路安全整合服務。總體說來,未來研發的智慧型方案更能為下一代資訊安全產品勾劃出更美好藍圖。

Symantec亞太區技術顧問林育民也提出關於「初始/零時攻擊(Zero-day attack)」非常有可能發生;誠如McAfee公司所提及,傳統防禦方式是在攻擊出現後才進行阻絕、保護與移除,但隨著攻擊速度越來越快,可反應的時間(弱點修補空窗期)已經被壓縮,甚至不存在,因此未來資安會朝主動式防禦進行,即以 [修補最重要弱點,使空窗期減至最小] 的主動防禦取代既有的 [修補全部弱點,但空窗期大] 的被動防禦方式,使弱點空窗期減至最小,也讓攻擊損失降到最低,所以2005 年將是強調弱點管理的一年。

廠商安全觀念改變是值得令人欣慰的,因為過去10~20年間網路發展期間,廠商們都僅看到Application技術的研發與應用,總是把安全因素置於無關緊要的層面,但從原先Cisco只做單一Router、Switch等工具,到後來將安全功能納入成為產品的基本要求,此一趨勢相信也將在其他廠商所研發產品中被一一檢視。可以推斷的是,未來資訊安全議題將極受重視,而安全功能會從原本無足輕重的地位,將重新被拿回到系統內部,成為系統整合中最舉足輕重的一環。

資安大廠的解決方案
今日資訊廠商們對於資安問題已有不同以往的觀點,可是網路安全的領域非常廣大涵蓋了Firewall/VPN、IDS/IPS、弱點評估、負載平衡、網路犯罪、防毒、無線網路安全、系統和資料庫等範疇,在面對2005年更嚴重的攻擊狀況時又該尋找何種因應方法?

Check Point大中國區總經理黃康銘也指出,公司提供的解決方案主要針對“智慧型邊界( Intelligent Perimeter )”、“內部( Internal )”及“網站安全( Web )” 三大領域等做整合。「邊界」是最基本網路安全的範疇,這一塊CheckPoint有經驗豐富的研發團隊,包括防火牆、VPN等產品。「內部網路」安全則涵蓋好幾個層面,interSpect盲珩敓Y內部安全的網端,包括檢測內部網路的能力,可以檢測蠕蟲和可疑流量之信件,如果不符合標準就會有一個中央管理機制來通知用戶要更新和修護用戶端PC,如此才讓使用者可以連接至公司內網。關於「網站安全」是許多企業都非常倚重網路傳輸,因為一旦網站遭受攻擊將嚴重影響營運,CheckPoint提供Web Intelligence技術的解決方案,可以單獨加入Internal炕Bperimeter網端和Firewall設備中,如此可以檢測和阻檔從網路連結至公司內部的不正常存取動作和已知、未知的攻擊,再搭配Connectra、Network Extender玫N能連結SSL VPN,也可以提供更好的網路連結安全保障。

Juniper Networks台灣區總經理林浦英則表示,公司擁有完整路由及安全解決方案,能因應目前及未來的網路威脅,且隨著市場需求的改變,將持續提供易於部署及易於管理的最佳的解決方案。Juniper Networks使用硬體 ASIC 安全模組化的設計,成為業界的先驅便是例證。也針對中、小企業的需求而設計RA-500 遠端存取裝置,以提高員工生產力。另外,Juniper 也推出端點防禦活動,與主要防毒廠商合作整合完整端到端安全解決方案,而NetScreen Secure Access 設備是第一個整合廣獲採用的安全宣示標記語言 (Security Assertion Markup Language, SAML)標準的 SSL VPN 解決方案。Juniper Networks SSL VPN 解決方案透過標準化介面,已能支援互通作業,管理企業目錄中的驗證、授權及單一簽入(Single Sign On, SSO)等安全原則,以較傳統安全方案更為低廉的成本,提供安全的網路存取服務。 McAfee 在2005年也將重心完全放在資訊安全,積極提供主動式回應解決方案給各層級客戶。除了會跳脫IDS,直接提供IPS;也將跳脫弱點評估(VA),直接提供最佳的弱點管理解決方案(VM)。McAfee 以深度防護策略(Protection-in-Depth炕^為主,在網路防護方面則提供阻絕各種威脅的網路閘道防毒硬體裝置 WebShield 3000 系列和入侵防禦硬體裝置 IntruShield appliance。此外,最新的 Foundstone 系列弱點管理產品也能主動發現、管理環境中的潛在風險,將威脅減至最低,並可透過資產搜尋、記錄、排定優先順序、威脅智慧與相關性,以及修正追蹤與回報等提供網路基礎架構的防護。而VirusScan Enterprise 則能過濾惡意軟體,如間諜軟體、鍵盤側錄程式、玩笑程式等。

至於Fortinet在產品開發的設計階段就已經考量到未來可能面臨的網路安全問題,於是在產品架構上就以可以處理到網路封包第7層的ASIC作為核心,搭配專屬的作業系統,這樣的架構因應各種網路安全問題都可以有對應的解決方案。Fortinet在2005年會有幾款新的設備推出,主要是加重在效能與硬體規格上,另外針對網路安全問題的一些周邊應用如Web Content Filtering、Anti-Spam也會有對應的專屬解決方案推出,尤其在用戶端的網路安全防護部份,Fortinet也已正式推出具備用戶端防毒防駭與個人防火牆與VPN功能的產品,將網路安全防護由閘道端延伸到用戶端。Fortinet產品目前主要的核心技術是在ASIC based的防毒掃描技術,在多功能網路安全閘道器是未來主流下,Fortinet是少數能自行擁有所有功能的廠商。

在弱點防禦方面,Tipping Point亞太區業務總監葉精良也表示,公司在美國總部擁有一個 30個人的弱點攻擊防禦小組DV(Digital Vaccine Team),通常弱點公佈前就已經把防禦弱點的補救程式經由 Akami 的 Secure CDN 自動更新在全世界的 Tipping Point 機器內,可以防止所有可能發生的 Zero Days 攻擊。此外,Tipping Point 在硬體的整體架構突破總吞吐量的極限(upto 10G 的 Throughput),將繼續維持 215 豪秒的延遲特性。目前除提供客戶撰寫客制化弱點攻擊特徵 Signatures 的服務,依客戶網路上特有legacy軟體、自行開發軟體或特殊攻擊手法、模式,也將持續推出針對電信業者所須求的 10G Ethernet 介面,並支援偵測 VLAN Tag / MPLS 標簽內可能攻擊特徵。

針對負載平衡方面,Radware公司Marketing VP Sharon Trachtman表示,Radware專門從事整合智慧型應用交換器研發廠商,因此在特殊負載平衡方面有獨到技術,目前Radware整合應用安全、應用基礎架構和端對端連結方案已經被全球超過2500家企業與電信業者採用,其產品包括Web、Application server、Firewalls、VPN、ISP、links、防毒閘道和cache等。Radware的產品鎖定大企業分部、中小企業等,能夠將客戶做不同需求的整合,如顧客管理系統、企業資源規劃系統等,更可以讓客戶在大幅降低營運成本下,達成網路的可用、效能和安全性等。而Radware台灣區總經理林世賢也強調,DefensePro Security Switch會針對大流量DoS攻擊提供DoS Shield防護罩,以保障網路服務免於遭受服務阻斷,並針對應用協議部份提供Stateful檢測,避免非法應用軟體透過常用協議服務端進出。Radware全系列產品均可依據應用層級內容保障關鍵服務頻寬需求(load balance),且有效掌控個別連線之即時使用量,提升網路整體使用率,降低頻寬獨佔現象,例如針對SSL內之攻擊防禦。Radware也針對端到端(end-to-end)使用者需求,提供三大解決方案:Availability (可靠度)、Performance(效能)、Security(安全)。完整地解決用戶在下列應用之需求,包括多ISP線路流量應用(LinkProof)、IPS應用(DefensePro)、Server流量應用(WSD)、SSL應用(CT100)、P2P流量應用(CID)等。

至於F5 Networks業務副總經理莊祖慰也指出, F5 Networks原先從事Layer4、Layer7的load balance研發,就是針對網路流量來做控管,因此Firewall技術對F5 Networks並不難,目前F5 Networks提供Security Web Application Infarstructure架構,就是從流量到Security Access,再至Application Firewall,F5 Networks 的TrafficShieldTM 產品會針對異常流量和可疑存取行為進行管控,如DoS攻擊、不當存取等;此外,FirePass是F5 Networks的第一個SSL VPN資安產品。有關產品整合層面,F5 Networks未來二年專精於SSL VPN、Application Firewall等研發,並針對Router、Switch層面加入軟體機制,如此只需更部分改系統需求即可,以節省更多成本。最終更規劃將既有的SSL VPN、Application Firewall等軟體功能,整合在同一BOX中,讓產品更符合市場需求。

關於安全與防毒方面,Symantec則提供完整的防毒、防駭和防止網路犯罪等整合性策略是以下廠商的首要任務,如同Symantec全球副總裁暨技術長Rob Clyde來台發表「安全性」+「可用性」=Information Integrity的新觀點,呼籲企業用戶必須重視安全性(Security)和可用性(Avaliablity)才能確實保障企業永續經營。Symantec發展具有彈性的安全模式,爭取找出修補漏洞的最短時間,首先具備早期預警的主動出擊系統,能在病毒攻擊前就先通知客戶,並不是被動抵禦,其次也會事先模擬可能發生的弱點攻擊,以便將各類攻擊加以阻絕,如LiveUpdate 可讓系統管理員輕易取得最新的安全內容更新。而檔案備份與災後復原也是另一項重點,Symantec系統能讓受害用戶能將重要資料可回復到持定時間點,在不影響系統效能或應用程式運作的狀態下,只要幾分鐘的時間,使用者即可進行完整的系統復原,或是回復個別的檔案或資料夾,如LiveState Recovery 產品系列。當然,對於網路詐騙管理與職場行動化管理層面,Symantec也同樣有相關因應系統工具,足可以確保用戶能符合相關政策與法規的需求,相關解決方案如ESM(Symantec Enterprise Security Manager)。

而Trend Mirco則提供EPS(Enterprise Protection Strategy)企業安全防護策略,是透過趨勢科技TrendLabs的病毒專家於第一時間發現病毒,就能立即針對病毒的特徵制定出疫情防禦策略,每 15 分鐘自動更新並部署於企業用戶。藉由提供此一主動式疫情防禦服務(Outbreak Prevention Services),來打造企業一個安全防護網,至於OPP(Outbreak Prevention Policy)疫情防禦策略,可以協助客戶從預防階段,就開始防禦病毒入侵的威脅,快速的回應以及在善後階段提供客戶針對特定病毒的清除範本(Cleanup Template),能有效降低客戶的防毒總成本,並且提高防毒的成效。相關產品包括TMCM企業安全控管中心、IWSS-InterScan Web Security Suite、OfficeScan企業版等。由於企業用戶在乎的是「Business Continuity」,因此Trend Mirco很早就已走向「服務導向」思考,就是以解決用戶問題為服務重點,而這也是「企業防護策略」的目的。

「廠商合作、合併」和「委外管理」建構資安新契機
無論整合或單一資安產品的發展會產生何種演變?但廠商合作、合併和委外管理等仍將繼續進行。鈕因任就表示,以往Cisco只提供Router、Switch、Firewall、VPN等防護工具,但去年蠕蟲(Warm)攻擊讓Cisco警覺這些工具是不夠的,因此Cisco已和TrendMicro、Symantec、McAfee等廠商合作防毒技術,最近更與IBM、Microsoft等合作完成NAC(Network Assion Control)系統架構,用來達成end to end的網路安全目的。另外,林育民也指出,面對網路釣魚此一網路安全的大敵,Symantec在今年5月購併反垃圾郵件大廠Brightmail,會陸續將反詐欺(Anti-fraud)的技術加入閘道端的解決方案中,而新產品將於2005推出,另外購併ON Technology後所推出的相關漏洞特徵派送、修補程式檢查派送等解決方案,視各區域狀況後未來將陸續推出。而黃康銘更提及,公司內部存在許多PC,是否符合公司的安全標準,這就牽涉端點之間網路連結層面,CheckPoint提供了Integrity安全模組就是併購Zone Labs原先企業研發的版本,這是由於Zone Labs本身擁有獨有的Cooperative Enforcement爭瑋N,與CheckPoint技術結合更能在安全領域裡產生極佳效果。

在委外服務方面,除了Symantec和Trend Mirco於近日與電信業者合作提供線上防毒服務外,McAfee也提供中、小企業最適用的線上防毒委外服務,McAfee VirusScan ASaP代理程式輕小、防護功能強大,且完全透過網路部署,管理容易。其採用的Rumor技術可節省頻寬、不會受到病毒DoS的攻擊而癱瘓,是中小企業的最佳選擇。諸如上述做法,合併可以有效整合其他廠商的優點,而委外管理也可為中、小企業節省許多經費,相信都將是未來資訊安全發展的趨勢。

後記
2005、2006年,甚至未來的網路安全發展趨勢,可預見的是仍會有許多安全漏洞、惡意程式、網路犯罪等持續存在和演變,誠如賽門鐵克全球副總裁暨技術長Rob Clyde表示:「現在企業連網比例已經很高,相對的資安威脅性也逐漸增高,如軟體漏洞、網路釣魚、垃圾郵件、手持式連網設備的攻擊型態等,如何建構一個安全的資安環境,安全性與可用性缺一不可。」又如Radware公司Marketing VP Sharon Trachtman所言:「網路威脅的可能性只會越來越大,不會隨著時間而減少的。」面對此類狀況,各大廠商也將繼續針對各項網路安全問題提供更好的解決策略,雖然仍無法有效解決所有相關網路攻擊問題,但至少網路安全觀念已逐漸深植於人心,因此2005年以後網路安全將朝更穩固的方向持續發展下去。