[專訪] 終極安全！打造從閘道到端點的縱深防禦機制

所謂鑑往知來，在2014年即將結束之際，透過一年來的安全回顧，企業可以從中找到2015年的安全防護之道。在諸多安全威脅中，Palo Alto Networks大中華區銷售總裁徐湧特別點名進階持續威脅(APT)指出，該威脅不但是2014年的一大安全威脅，也是未來幾年內公私組織所面臨最嚴峻的安全挑戰。

在2014年裡，Web安全持續成為企業與個人的最大安全威脅來源，從攻擊端傾全國之力也在所不惜，而防護端多半毫無感覺的APT攻擊，到攻擊層面涵蓋網路層到應用層的DDoS攻擊，再到永遠都不會消失的網路詐騙威脅，再再使得Web安全成為最複雜難搞的安全議題。

因應APT 唯快不破
在談到2014年的重大安全威脅時，徐湧首先點名APT攻擊表示，儘管在攻擊手法上，該攻擊並沒有什麼重大的改變，依舊是惡意程式、惡意郵件、釣魚網站、零時差漏洞(Zero-Day Vulnerabilities) 及社交工程等既有攻擊技術的大集結。但重點在於它能對特定目標展開量身訂做的結構化攻擊，因此能對受害者造成巨大的損失。

就以Target POS系統遭駭的史上最大資料外洩事件來說，光是為4千萬名信用卡/簽帳卡號碼外洩的客戶更換信用卡（以每張40美金計），其要吸收的成本便高達16億美元，對於公司營收勢必造成巨大的影響。 「由於受害者的損失非常驚人，加上巨大的攻擊報酬率，使得攻擊效益之大不但讓駭客趨之若鶩，並且更進一步造成攻擊方的投入程度遠遠超過防守方，甚至形成防守方因為毫無感覺而沒有任何防備舉動的一面倒狀況，」徐湧一針見血地指出。

APT攻擊最可怕之處，在於它並非單一的安全威脅，而是一連串精心設計、量身打造的攻擊程序，正因為所採用的不是零時差漏洞，就是量身訂做的惡意程式，所以根本沒有特徵碼可言，對於專門以特徵碼為基礎的傳統安全防護方案而言很難發揮有效的防護作用。

面對未知安全威脅，大家最寄予厚望的就屬能夠模擬環境以進行未知威脅偵測與監控的沙箱(Sandbox)技術。但儘管當前不乏許多廠商推出該技術，但仍然有高下之別。對此，徐湧強調指出，隨著駭客反沙箱技術的演進，撇開傳統虛擬機形式的低檔沙箱技術不談，當前沙箱除了更進一步發展出更真實模擬環境與反惡意探測機制外，最重要的發展重點有兩項，一為沙箱技術能多快偵測到未知威脅，另一個則是能多快地連帶啟動整體的防護機制。

<圖一>Wildfire.PNG支援未知威脅防護之Palo Alto Networks WildFire雲端式沙箱服務安全架構示意圖。

如今Palo Alto Networks (WildFire) 雲端式沙箱服務，可以在15分鐘內針對新興未知威脅，偵測並產生出全球共享的安全防護機制。「當前APT雖無特徵碼，但當前攻擊行為不出幾十種的歸類範疇，所以Palo Alto可以即時偵測到任何異常行為時，便立即將該威脅隔離丟進沙箱之中，然再進一步加以偵測與防護。換言之，最安全的APT防護之道，就是在其展開攻擊之前就加以隔絕阻擋，」徐湧進一步指出：「當前APT駭客早已懂得避開特定IPS與其他安全廠商例如蜜罐(Honeypot)之類的誘捕系統，反觀Palo Alto Networks對於APT樣本的採集，皆來自於旗下兩萬名客戶的真實流量，進而產生全球共享的安全防護機制。」

從自身到合作黟伴 從閘道到端點的全面性防護
今後最值得注意的安全威脅，尚包括從APT攻擊身上衍生而出的零時差漏洞及端點安全問題。徐湧明確地指出，只要是人為開發的系統及程式必然會有漏洞，所以大家必須體認到，零時差漏洞是會是個無止盡的戰爭，前陣子 Heartbleed及 Shellhsock即為層出不窮零時差漏洞中影響層面更大的實例罷了。

至於端點安全威脅，則隨著行動化、個人裝置(BYOD)及物聯網(IoT)熱潮的帶動變得更加頻繁而複雜。其中尤其以物聯網的帶動為然，它讓當前任何IP化的終端系統都有安全風險，使得駭客攻擊觸角可延伸到SCADA等工業控制系統(ICS)及廠務系統上，今後駭客劫持航班及油輪，將不再是電影虛幻情節，而可能會是真實上演的戲碼。
<圖二>NGFW.PNG Palo Alto 次世代防火牆安全平台示意圖。

徐湧再舉另一個值得注意的趨勢指出，從全美最大家居用品連鎖商家得寶(Home Depot)因第三方合作夥伴的安全防護不周而導致的資料外洩事件透露出，安全防護不再是單一企業的事情，而是整個供應鏈的共同安全議題，這點尤其對製造業特別重要，也是今後安全防護上必須關注並加強的重點之一。

在因應今後各類攻擊威脅上，另有一個十分嚴峻的安全防護漏洞存在，那就是當前有7成的防火牆都佈署在網路邊界上，相形之下企業內網的安全部署顯得非常薄弱。隨著各種虛擬化技術（尤其是SDN軟體定義網路與網路虛擬化）的導入，更讓內網各種虛實應用間的東西向互通狀況變得更加混沌不清、晦暗不明，徒留駭客趁虛而入的機會。

徐湧指出，對此，Palo Alto Networks與VMware合作，透過與NSX 6.1網路微分段(Micro-Segmentation)功能與Zero-Trust透通安全機制的最佳化整合，除了安全管理上的整合外，並且可以將虛擬主機新增、刪除或移轉狀態即時同步更新至Palo Alto NGFW安全元件上，進而確保各種應用系統虛擬主機之間端到端的安全無虞。

<圖三>SDN Security.PNGPalo Alto與VMware合作建立的軟體定義網路安全架構示意圖。

總而言之，展望2015，今後安全防護「不應該只限於閘道端，應該進一步擴展到骨幹、虛實端點與分支據點上。唯有如此才能將不同環節的部署及監控關聯化，進而祭出可因應不同區域之更完善的縱深防禦政策，唯有如此才是有效因應日新月異的攻擊思維、日趨複雜攻擊類型之威脅並達到最佳的資安防護認知與策略，」徐湧總結指出。