觀點

安全防線從基層著手Check Point延伸縱深防禦的領域

2005 / 11 / 04
陳佳溶
安全防線從基層著手Check Point延伸縱深防禦的領域

從防火牆做起的Check Point,在防火牆領域已有十二年經驗,由網路、網段到基層用戶端點的防護,Check Point認為目前的網路環境和早期相較,已有很大的改變,現在企業的威脅大都來自內部,因此,為了強化用戶端點的防護,從企業中每台電腦著手基層的防禦工作,使企業能因應接連不斷的內、外威脅。
以往90%的攻擊都在網路層,近年來,出現了Worm、無線網路的攻擊行徑,已對應用層做攻擊,Check Point進一步推出應用層防護的防火牆,且最近研發的Web Intelligent技術,除針對已知攻擊做防範,更對未知攻擊做預防,以使駭客無法伺機下手,達到「零天保護」(Day Zero Protection)的最高境界。
防護技術擴展到Web Application
Check Point防火牆技術仍以應用層(Application Layer)防禦為主,應用層技術研發始自2003年,其開發Application Intelligent技術,主要以通訊協定標準為規範,目前大部份產品都以網路層的防護技術為主,Check Point則是防護網路的最底層,另外,由於目前網際網路發達,所有公司都應用網路去發佈資訊,在Web的攻擊也越來越多,因此加強Web Application防禦成為Check Point的發展方向,所以將以這兩方面為發展主軸。
在研發Web Intelligent的技術方面,倘若有Web User進來公司網路時,即對HTTP封包做檢測,檢測到有害的cookie、esp檔案或可執行檔案等就放置模擬器內,其將模擬各種伺服器如Web Server,判斷其為何種行為模擬,且在模擬器內中斷連結,以保護Web介面;Check Point台灣區技術顧問耿強表示,這種模擬器的功能,可以將未知的攻擊給阻擋掉,但在Check Point的技術中,只要有相似的攻擊行為即會被阻擋掉,對於新的入侵行為或變種攻擊,都可即時保護,做到了預測性及主動性的防護。
面對一連串已知和未知的攻擊,Check Point防火牆採用智慧型檢測技術,不以特徵比對的方式,因為當特徵越來越多,其效能也比較差,且因為目前攻擊事件層出不窮,特徵比對的方式已不敷使用,Check Point通過標準的通訊協定,依據http、路徑或流量等超過一定標準,就會產生通訊協定異常狀況告知,Check Point台灣區業務經理葉潤平說:「即使未曾出現的攻擊行為,因為不符合通訊協定標準,已經被檢視到,就可以順利地被阻擋下來,一般的特徵比對不能如此精確地阻擋下來。」
另外,面對漏洞攻擊越來越頻繁,patch修補時間被壓縮,Check Point有一個RD部門,專門更新軟體版本,且不停研發加強產品功能,以因應市場的變化,但某些客戶使用Check Point產品仍會受到攻擊,葉潤平說:「主要的原因都是客戶未更新版本。」

安全領域防線鎖定到端點
為防制層出不窮的入侵行為,Check Point將企業網路畫分成一區區的小網段進行防禦, InterSpect即專對入侵行為,在內部閘道端偵測非法行為再將其隔離;且可將企業網段劃分成許多小型的網段,當有入侵行為時,InterSpect偵測到會將受入侵網段先隔離起來,使其無法擴散出去,不影響企業內部的其它工作,或造成內部網路的癱瘓;最後,在企業內控管每台電腦允許安裝哪些程式軟體,倘若非法軟體已入侵防線,也只能在單一電腦上,因為InterSpect將通往每台電腦的通道關閉,以避免非法入侵行為可以輕鬆擴散。
然而,Check Point從防火牆、內部閘道、Web閘道及每台PC的保護,考量到整體網路的安全,更將防線擴展到端點,即可對企業內部端點的IT進行保護,以做到「Total Access Protection」。耿強說:「企業內部網路連結成千上百台的PC,這些PC是最容易被入侵,被駕馭去攻擊別人伺服器,因此,我們加強對端點的保護,從基層做起,以真正的防範被Bot程式所控制;另外,就是防止機密資料外洩,一般企業面對眾多的內部員工,最難防禦企業內賊,針對員工不當或非法行為,Integrity6.0都可給予適當防護,依企業內部安全政策,設定每個人的存取權限,或阻擋外部進來的駭客。」

整合產品、品牌的集中式資料中心
Check Point開發的產品乃以網路周邊、內部網路及網站安全產品為主,都可由SmartCenter介面控管,以方便企業一次管理多個系統,協助企業集中式的管理。
近年來,由於網路威脅越來越多,防禦式網路產品也隨之增加,企業內部為了因應這些與時俱進的變化,也裝置了不同的安全設備,每安裝一套設備就有一套不同的管理方式,倘若企業的網路裝置了防火牆、IPS、IDS、AV…等,則就會有好幾份的報表,因此,為了方便企業管理人員一次一目瞭然各種系統所回報的資料,Check Point開發了一個整合不同系統、廠牌的資料中心,使彙整出一份報表,MIS人員根據這份報表,可以馬上下指令,進行動作,但並非所有的設備都可以依據這份報表的指令動作,Cisco和Check Point設備可直接接受指令,葉潤平說:「由於市場的需求,我們的產品能支援越多不同品牌的產品越具優勢。」

對台灣市場持樂觀態度
面對台灣市場,Check Point並非以單一的點來看台灣市場,而是以整個亞太市場來經營,亞太市場約占Check Point總體營收的15%,以Check Point經營台灣市場的經驗而言,以往只經營防火牆周邊產品,目前已引進防火牆內部產品,葉潤平說:「台灣市場與大陸相較,是一個比較成熟的市場,企業普遍具有網路安全的意識和其它亞太地區國家相較也比較高,對台灣市場抱持樂觀。」
由於每個單點市場的網路環境發展不同及推出時間長短不同,就以防火牆產品而言,在新加坡、澳洲及香港銷售的情況最佳;未來將全力擴展印度市場,這必須依當地社會、經濟和網路發展的成熟度,再決定推出的時程,但無論如何企業本身對網路安全意識高低則最為重要,以大陸市場來說,使用者最多,但大部份的安全意識微弱,使用盜版軟體的情況嚴重,而台灣大型企業大都已經意識到安全的重要性!
Check Point未來的發展計畫,是隨著客戶需求而不斷的改善,葉潤平說:「依照客戶每天作業時,遇到的問題,反應給我們,我們就儘量為他們解決,提供客戶需要的解決方案,因此,客戶的聲音永遠是推動Check Point發展的主要來源。」

Check Point台灣區業務經理葉潤平
客戶的聲音永遠是推動Check Point發展的主要來源。

Check Point台灣區技術顧問耿強
企業內部網路連結成千上百台的PC,這些PC是最容易被入侵,被駕馭去攻擊別人伺服器
,因此,我們加強對端點的保護,從基層做起,以真正的防範被Bot程式所控制。

Check Point 簡介
Check Point是網路安全解決方案供應商,在全球VPN及防火牆市場上居於領導地位。通過下一代產品系列,Check Point提供範圍廣泛的智慧化邊界、內部及Web安全解決方案,保護業務通信,以及公司網路及應用程式、遠端員工、分支機搆及合作夥伴外部網的安全。