McAfee 「2005深度防護策略」 研討會

企業使用端面臨的問題
現今企業最怕遇到的安全威脅是什麼？McAfee台灣區協理藍孝裕談及，過去企業面臨的的安全威脅可能僅止於病毒的發生，現在常發生的，像DDoS、混合式攻擊、木馬程式或是間諜程式等更複雜的攻擊類型。過去被動式(一個病毒發生才提出一個解決病毒的動作)的防禦型態已不足以應付目前遭受攻擊的窘境。安全最大的威脅是阻斷企業的服務，讓企業形象受損，因此，我們必須開始考慮到安全管理和防護策略如何去佈局？如何為企業的資產重要性排序?而哪些又是不需列管的？

攻擊型態
由於病毒的攻擊頻率和速度越來越快、攻擊型態與日俱增，每個負責企業網路或資訊安全的相關人員，內心無不忐忑的背負著一個無形的壓力攻擊何時會找上我們。McAfee將攻擊的型式分為兩類：一是網路攻擊，例如透過DoS和DDoS或是混合式攻擊癱瘓Firwall、VPNs或是Routers的型式；二是系統攻擊，舉凡蠕蟲攻擊或是Database、緩衝區遭攻擊等以致PCs、Servers及Mobile Devices受損癱瘓者。

現今所有的弱點產生都有一個共同的交集，就是和「人」的處理息息相關；包括原廠持續通報的弱點、開發者的弱點(為應付弱點而開發的產品所產生的其他弱點)、設定上發生的錯誤或是政策違反等；而且，在可見的未來，「人」仍會是科技的產生及維護者，所以弱點只會持續下去，並不會遠離。甚而，由這幾年來的報告顯示，管理人員對攻擊可反應的時間已經被壓縮至非常微小的狀態。

McAfee的看法和策略
針對現今面臨的弱點，McAfee提出的解決方案概念是，跳脫被動式的解決方式，將防禦的時間往前拉長，在已知弱點、甚至未公佈時，就有能力做到防禦的動作。針對弱點、威脅及資產的管理，McAfee則針對企業個別的需求創造出一個評估的原則，定義出重要性優先順序，再針對關鍵資產和高風險群做管理，這也是McAfee產品和服務的主要方向。

網路安全
在網路上的安全問題是，以往有防毒牆大家就覺得可以高枕無憂，但是隨著業務上的需求、port的開放，讓閘道的保護牆隨著攻擊的翻新，功能日漸消失；加上微軟或是其他的作業系統漏洞被揭露的空窗期驟減的資安演變，McAfee台灣辦事處技術經理沈志明表示，資安管理人員必須借助更具主動式、完整性及管理性的入侵防禦系統以降低風險。

1.主動式:更廣泛的主動防禦已知及未知的攻擊、對作業系統發佈的弱點即時提供保護。
2.完整性:涵蓋保護網路與系統架構與破解駭客利用加密的管道入侵等。
3.管理性:將防毒、Host IPS、Network IPS等產品線做整合、管理，建立機制。

McAfee針對以上網路的需求設計出的解決方案，有網路型入侵防護系統(Network IPS)和網路型防毒牆暨內容安全管理系統(Content Security Gateway)。 沈志明表示，McAfee的入侵偵測技術能夠提供高精確性的偵測，主要是因為透過三個偵測引擎，對已知的攻擊進行偵測，並且固定每兩星期更新。而一般廠商的signature技術只能做到單一字串的比對，以及提供1,600多的特徵辨識，而McAfee則提供了3,000多種的特徵比對數值，大幅提高了對攻擊的偵測準確性。

再則，其入侵偵測技術亦可針對客戶所需，定義出親切度更高的profile，同樣也提高了準確度，讓客戶更輕鬆管理。另外，針對加密型的封包攻擊防禦，McAfee亦是業界少數可以做到者。這些特點讓McAfee在IPS的市場佔有率維持高居。 內容安全管理系統主要的特色在於，能夠進一步的作垃圾郵件過濾，根據內容管理規則檢查超過300種以上的郵件格式，以防規則迴避情形，並且在mail Sever之前就擋掉垃圾郵件，減輕mail Sever的負擔。

從用戶端的安全切入 解決系統攻擊
由於internet和intranet的發展，現今電腦的病毒感染不再像從前透過一個磁片或光碟來才傳遞，病毒只要透過網路根據你作業系統或應用程式的漏洞去探索，一但發現漏洞後便植入病毒，這台電腦就無法正常運作了。再者，病毒感染的速度更是飛快的成長，像是Sasser 3到5分鐘內就能夠擊垮你的主機，讓使用者完全沒有反應的時間。以及目前網路上已知的病毒、蠕蟲或木馬等種類已超過6萬多種，而新的弱點每天也都在被發覺…，系統面臨的攻擊威脅愈來愈複雜。

McAfee從對用戶端的安全問題來思考系統的解決方案。McAfee技術經理陳釗璋舉例說到，四五年前yahoo入口網站在短短幾秒間被DDoS擊垮的事件，其實就是它的路由掛掉，主要的原因並不是yahoo的安全做的不好，而是很多電腦被植入鐵絲網工具，時間一到便同時發送大量錯誤的封包，往yahoo的入口網站塞，路由便瞬間掛掉，最後被追蹤的則是PC端。或是一般小型企業或是個人用戶都認為自己的公司沒沒無聞，所以不會成為攻擊的目標，但事實上，攻擊者要的並不是你的資料而是你的頻寬。因此，PC端的安全問題不容忽視。

系統解決方案中，特別提出Buffer Overflow(緩衝區溢位)的預防機制，McAfee是依微軟的solution及其不斷被公告的弱點，包括Office、操作系統、IE、應用程式等有可能會產生緩衝區攻擊的部分去做保護並保持更新。並且針對某些可能造成Buffer Overflow攻擊的API作排外動作。

結語
「超過99%的資訊安全事件都是針對已知的漏洞所造成的破壞」(Canegie Mellon University)，企業不可能有時間和人力將所有漏洞修補完畢，也並非所有漏洞都會對企業帶來風險，因此，務實的面對弱點管理和風險評估才能有效降低資安事件發生。