[專訪] IMPERVA 從資料庫、網站到檔案伺服器全面防堵資料外洩風險

2015 / 12 / 08

編輯部

隨著威脅模式不斷演變，各類型資安解決方案也不斷發展，資料保護成為企業近年來資安防禦的重點項目。

由於駭客攻擊動機已經不再像早期，只是為了闖出名聲號或想測試一下企業的資安防禦能力，現今駭客攻擊有很高的比例是為了獲取利益，而竊取企業機密資料再至黑市上販售，是成效最好、收獲最豐的獲利方式，也因此企業漸漸將防禦重點放在資料安全保護上。

掌握三大存取管道落實資料安全防禦
因應企業對資料保護的重視，IMPERVA台灣區業務副總經理韓明皓建議，應從資料庫、檔案與網站伺服器三個方向，構築資料保護的整體防護網。

韓明皓進一步指出，企業有價值的資料不外乎兩種形式，一是以資料庫形式存放在資料庫，一是以檔案形式存放在檔案伺服器，而網頁雖然沒有存放資料，卻是現今最常見的資料存取介面，不管哪一種應用程式幾乎都會透過網頁來介接服務。

除了這3種管道外，目前幾乎沒有其他方法可以接觸到企業的機密資料，因此，企業只要做好資料庫、檔案伺服器及網站應用程式防火牆這三方面的防護，就能確保最重要的資料不會遭遇威脅與外洩風險，這道理就好像在一盤起司罩上一塊玻璃保護罩，如此就不用擔心老鼠咬走起司的風險。

而市場上針對這3種管道所設計的資安解決方案，主要有資料庫稽核系統(DAM)、資料庫安控防火牆(DBF)、檔案軌跡監控、檔案防火牆、及網站應用程式防火牆(WAF)。IMPERVA台灣區代理商亞利安科技總經理范梓芳表示，如果將各項解決方案分開來看，每一項都有很多供應商，但只有IMPERVA能夠同時涵蓋這3個面向，提供從資料庫、檔案、到網站伺服器的整體防禦。

韓明皓強調，企業的IT架構是整體運作，不是一個個系統獨立運作，如果各項解決方案分別採用不同供應商的產品，監控訊息無法串連，很難描繪出使用者在內部存取資料的軌跡。但如果能採用單一廠牌解決方案，則資料庫、檔案和網站伺服器間便能互通訊息，做到universal tracking(全域使用者追蹤)。

舉例來說，如果企業採用同一家廠商的應用程式防火牆與資料庫安控解決方案，當使用者連網站應用程式時，WAF就會開始監控，之後若從網站AP連到資料庫，資料庫安控解決方案不只會自動開始監控，還會收到來自WAF的訊息，並將訊息串連起來，日後若要稽核或追查事件時，便能清楚掌握該名使用者的資料存取歷程。

2016資安投資仍舊以基礎IT架構為主
另外，針對近年來的雲端趨勢，韓明皓認為，雖然雲端已經成為企業IT的顯學，但是2016年企業的資安投資，仍舊會著重在基礎IT防禦上、也就是資料保護。當然，這不代表企業不重視雲端安全，只是在比重上，基礎IT防禦的採購會高於雲端資安。

造成這個現象的主要原因為，這些放上雲端的系統或應用程式，大部份屬於非關連性或非核心業務，這些系統或AP的機密程度相對較低，在企業資源有限的情況下，資安防禦的優先順序自然就排得比較後面。

范梓芳表示，無論企業有沒有採用雲端技術，其對資安的態度都是以法規遵循為主，像銀行、壽險、證券、第三方支付等產業都有訂出安控基準，就會影響企業在資訊安全上的規劃與佈建策略，因此，政府有沒有落實稽核針對各個產業訂定的資訊安全規範，將決定企業資安防禦的力道與深度。

至於公部門則會著重在補強既有不足的部份，由於組織改造導致A、B級單位變多，像各縣市政府和學校都是B級單位，對網站應用程式防火牆、資料庫稽核的需求都有明顯增加的趨勢。

隨著IT技術成熟發展，企業導入的硬體設備和應用程式也越來越多，資安佈署也要努力跟上腳步，才能避免駭客入侵風險，因為企業與駭客間的資訊攻防戰是永不間斷的，而IMPERVA也會跟著企業需求變化不斷進化，從傳統資安設備到雲端解決方案，提供全面性資安服務。

亞利安科技 iMPERVA 資料庫網頁