觀點

McAfee 「2005深度防護策略」 研討會

2005 / 03 / 01
卓長熹
McAfee 「2005深度防護策略」 研討會

企業使用端面臨的問題
現今企業最怕遇到的安全威脅是什麼?McAfee台灣區協理藍孝裕談及,過去企業面臨的的安全威脅可能僅止於病毒的發生,現在常發生的,像DDoS、混合式攻擊、木馬程式或是間諜程式等更複雜的攻擊類型。過去被動式(一個病毒發生才提出一個解決病毒的動作)的防禦型態已不足以應付目前遭受攻擊的窘境。安全最大的威脅是阻斷企業的服務,讓企業形象受損,因此,我們必須開始考慮到安全管理和防護策略如何去佈局?如何為企業的資產重要性排序?而哪些又是不需列管的?

攻擊型態
由於病毒的攻擊頻率和速度越來越快、攻擊型態與日俱增,每個負責企業網路或資訊安全的相關人員,內心無不忐忑的背負著一個無形的壓力攻擊何時會找上我們。McAfee將攻擊的型式分為兩類:一是網路攻擊,例如透過DoS和DDoS或是混合式攻擊癱瘓Firwall、VPNs或是Routers的型式;二是系統攻擊,舉凡蠕蟲攻擊或是Database、緩衝區遭攻擊等以致PCs、Servers及Mobile Devices受損癱瘓者。

現今所有的弱點產生都有一個共同的交集,就是和「人」的處理息息相關;包括原廠持續通報的弱點、開發者的弱點(為應付弱點而開發的產品所產生的其他弱點)、設定上發生的錯誤或是政策違反等;而且,在可見的未來,「人」仍會是科技的產生及維護者,所以弱點只會持續下去,並不會遠離。甚而,由這幾年來的報告顯示,管理人員對攻擊可反應的時間已經被壓縮至非常微小的狀態。

McAfee的看法和策略
針對現今面臨的弱點,McAfee提出的解決方案概念是,跳脫被動式的解決方式,將防禦的時間往前拉長,在已知弱點、甚至未公佈時,就有能力做到防禦的動作。針對弱點、威脅及資產的管理,McAfee則針對企業個別的需求創造出一個評估的原則,定義出重要性優先順序,再針對關鍵資產和高風險群做管理,這也是McAfee產品和服務的主要方向。

網路安全
在網路上的安全問題是,以往有防毒牆大家就覺得可以高枕無憂,但是隨著業務上的需求、port的開放,讓閘道的保護牆隨著攻擊的翻新,功能日漸消失;加上微軟或是其他的作業系統漏洞被揭露的空窗期驟減的資安演變,McAfee台灣辦事處技術經理沈志明表示,資安管理人員必須借助更具主動式、完整性及管理性的入侵防禦系統以降低風險。

1.主動式:更廣泛的主動防禦已知及未知的攻擊、對作業系統發佈的弱點即時提供保護。
2.完整性:涵蓋保護網路與系統架構與破解駭客利用加密的管道入侵等。
3.管理性:將防毒、Host IPS、Network IPS等產品線做整合、管理,建立機制。

McAfee針對以上網路的需求設計出的解決方案,有網路型入侵防護系統(Network IPS)和網路型防毒牆暨內容安全管理系統(Content Security Gateway)。 沈志明表示,McAfee的入侵偵測技術能夠提供高精確性的偵測,主要是因為透過三個偵測引擎,對已知的攻擊進行偵測,並且固定每兩星期更新。而一般廠商的signature技術只能做到單一字串的比對,以及提供1,600多的特徵辨識,而McAfee則提供了3,000多種的特徵比對數值,大幅提高了對攻擊的偵測準確性。

再則,其入侵偵測技術亦可針對客戶所需,定義出親切度更高的profile,同樣也提高了準確度,讓客戶更輕鬆管理。另外,針對加密型的封包攻擊防禦,McAfee亦是業界少數可以做到者。這些特點讓McAfee在IPS的市場佔有率維持高居。 內容安全管理系統主要的特色在於,能夠進一步的作垃圾郵件過濾,根據內容管理規則檢查超過300種以上的郵件格式,以防規則迴避情形,並且在mail Sever之前就擋掉垃圾郵件,減輕mail Sever的負擔。

從用戶端的安全切入 解決系統攻擊
由於internet和intranet的發展,現今電腦的病毒感染不再像從前透過一個磁片或光碟來才傳遞,病毒只要透過網路根據你作業系統或應用程式的漏洞去探索,一但發現漏洞後便植入病毒,這台電腦就無法正常運作了。再者,病毒感染的速度更是飛快的成長,像是Sasser 3到5分鐘內就能夠擊垮你的主機,讓使用者完全沒有反應的時間。以及目前網路上已知的病毒、蠕蟲或木馬等種類已超過6萬多種,而新的弱點每天也都在被發覺…,系統面臨的攻擊威脅愈來愈複雜。

McAfee從對用戶端的安全問題來思考系統的解決方案。McAfee技術經理陳釗璋舉例說到,四五年前yahoo入口網站在短短幾秒間被DDoS擊垮的事件,其實就是它的路由掛掉,主要的原因並不是yahoo的安全做的不好,而是很多電腦被植入鐵絲網工具,時間一到便同時發送大量錯誤的封包,往yahoo的入口網站塞,路由便瞬間掛掉,最後被追蹤的則是PC端。或是一般小型企業或是個人用戶都認為自己的公司沒沒無聞,所以不會成為攻擊的目標,但事實上,攻擊者要的並不是你的資料而是你的頻寬。因此,PC端的安全問題不容忽視。

系統解決方案中,特別提出Buffer Overflow(緩衝區溢位)的預防機制,McAfee是依微軟的solution及其不斷被公告的弱點,包括Office、操作系統、IE、應用程式等有可能會產生緩衝區攻擊的部分去做保護並保持更新。並且針對某些可能造成Buffer Overflow攻擊的API作排外動作。

結語
「超過99%的資訊安全事件都是針對已知的漏洞所造成的破壞」(Canegie Mellon University),企業不可能有時間和人力將所有漏洞修補完畢,也並非所有漏洞都會對企業帶來風險,因此,務實的面對弱點管理和風險評估才能有效降低資安事件發生。