https://newera17031.activehosted.com/index.php?action=social&chash=19de10adbaa1b2ee13f77f679fa1483a.2906&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=19de10adbaa1b2ee13f77f679fa1483a.2906&nosocial=1

觀點

2015安全防護新走向(系列一)

2015 / 02 / 08
編輯部
2015安全防護新走向(系列一)

    就像Windows XP現在都還找得到身影一樣,傳統防火牆會被淘汰的說法不知道被唸了多少年。但不可否認的,面對當前手法細膩且錯綜複雜的安全威脅,傳統防火牆的確有捉襟見肘之勢。對此F5 《2014預測》指出,隨著網路犯罪越來越複雜化,傳統防火牆將變成無用武之地,而智慧型安全性將越來越趨重要。這將促成一種新安全技術的興起,能夠根據像是App、地點或使用者等因素而能彈性的回應。最後,人們將針對攻擊特性而開發量身定製的正確工具。所以今後安全性將不再是「一體適用」。

    趨勢科技《2015年暨未來預測》也同樣認為地指出,傳統防火牆與整合威脅管理(UTM)將逐漸式微,這是因為APT與目標式攻擊的手法不但複雜而且極具針對性與客製化,傳統安全防護機制根本無法發揮作用。

    不論如此,透過前單元所介紹的各種新興安全威脅與發展趨勢來看,當前企業的確有重新審視既有安全防護機制、政策與思維的必要性,以下就讓我們一同檢視當前有哪些值得關注的安全新思維、新做法與新技術。

本文將分為兩系列來探討當前有哪些值得關注的安全新思維、新做法與新技術。

安全委外需求大興
    為了有效因應APT與目標式攻擊等深具客製化複雜攻擊手法的安全威脅,趨勢科技在其《2015年暨未來預測》中認為,具備自我安全防護能力的可攜式或雲端代理式解決方案的需求將逐漸興起。

    2014年Fortinet《全球安全普查報告》也持類似見解指出,安全委外管理服務的比重有日漸增加的趨勢。該報告針對1,600名大型企業IT負責人進行調查發現,有四分之三的決策者認為防火牆、IPS及郵件防護非常適合委外,同時,身分認證、APT沙箱與DDoS減緩等也開始加入成為委外安全服務的新選項。只有少數IT部門管理人員認為即使最先進IT安全功能都不適合委外。

    該報告中有9成的資訊長接受調查指出,不斷增加的威脅頻繁度與複雜度,讓安全工作變得比過去12個月更加困難,同時大規模IT安全攻擊與國家安全醜聞成為全球新聞焦點,使得決策層級在IT安全事務上的壓力、危機感與參與度大增,並進而帶動企業安全重要性的大幅提升,關注度甚至躍升三分之一,並超過其他業務計畫。此外,90%的IT負責人因為日漸興起的資料隱私權疑慮與安全巨量資料計畫,而被迫關注新的IT安全投資,並重新評估安全策略。 

    該報告同時指出,當前企業會移轉至安全委外管理服務的影響因素,並非導源於成本與資源考量,而是對於持續在線、高效能、無所不包且安全之基礎設施的需求。再者,有5成受訪者認為日漸增加的網路威脅管理複雜度與擴展性,是促使企業走向委外的最大關鍵因素。其次則為不斷增加的資料隱私權挑戰、實現更佳安全金融模型與足夠熟練內部資源等因素。

    總而言之,在對法規遵循、主管IT風險意識、進階持續威脅等需求的帶動下,將安全功能委託給安全委外服務供應商(MSSP),已成為當前企業的關鍵策略。

軟體定義服務架構正夯
    根據F5《2014預測》指出,隨著網路犯罪變得更加複雜化,並從多重角度攻擊不同裝置,因此單一用途的安全裝置將被高功能的多用途裝置取代。再者,企業期望能在任何裝置上提供快速而可靠的使用者經驗,自然也是高功能多用途裝置被寄予厚望並成為市場當紅炸子雞的原因之一。

    F5並認為,物聯網的興起勢必產生更高的網路流量與資料流,進而帶動「社交智慧」的需求,面對更有效率的資料與服務協作需求,過去應用交付已不敷所需,於是軟體定義應用服務(Software Defined Application Services; SDAS)遂應運而生。


<圖>F5軟體定義應用服務示意圖。

    不僅如此,企業在強調安全性的同時,也不能讓安全成為一種效能負擔。進一步而言,終端使用者期望擁有高效能,但安全性不能變成一個瓶頸。同樣的物網網安全,也必須在此高彈性與可程式化的全新應用服務交付架構下,才能發揮最佳作用。總之,F5 SDAS的目的在於讓應用擁有智慧,如此一來,便可以全面進入到自我優化、自我加速和自我維護安全的新境界。

    Palo Alto Networks大中華區銷售總裁徐湧指出,面對當前日漸多元化的安全威脅,企業應該打造軟體定義服務架構以為因應。該公司所謂軟體定義服務架構,具備自動部署新一代安全服務,以及同時防禦已知與未知威脅的能力,並藉由虛擬化和安全環境之間的資訊共享,來減少人為配置錯誤,進而實現不同信任級別資料中心的安全應用,同時建立橫跨資料中心南北向與東向西流量的防護政策。

即將刊登: 2015年安全防護新走向 (系列二), 敬請期待。