如今的網路環境變化速度非常之快,各種類型的攻擊層出不窮,只依賴防
毒軟體已不足以提供充分的防護機制,縱深防禦已經是各企業或組織團體
的主要共識。透過從網路端的防火牆、
IPS(
入侵防禦系統
)
SIEM(Log
Management System)
還有最近非常受到關注的
APT
解決方案
(
註:進階持
續性滲透擊
Advanced Persistent
reat, APT)
企業因應各自的需求建置不
同的防禦系統,但是資安事件的新聞報導並未因此而減少。美國第
2
大零售
Target
2013/12/19
在官網對外證實系統遭到入侵,後續的事件處理分
析結果顯示,
Target
的資安防護設備其實在系統遭到入侵之前,就已經偵測
到攻擊,但因資安管理人員的疏忽,未及時處理,最終演變成大型資安事件,
損失難以估計。
另外,今年
5
月的一則資安新聞,賽門鐵克資訊安全部門資深副總
Brian Dye
在某次受訪中提到,目前防毒軟體最多僅能阻擋一半以下的病毒攻擊,同時
認為透過防毒軟體完全阻擋的時代已經消逝,未來將以減少因攻擊造成損失
比例為目標。
Brian
特別提到賽門鐵克旗下防毒軟體最多僅能有效阻擋
45%
病毒攻擊,但針對未知或變種病毒攻擊方式,例如目前有越來越多偽裝正常
程式、存取流程的攻擊模式,讓防毒軟體越來越難以在第一時間內辨認,因
此即便防毒軟體功能再強,也難免無法避免演化速度更快的病毒攻勢。
一、對抗入侵攻擊的三個階段
駭客的攻擊會造成各種資安事
件與大量損失,但是每次的攻擊其實
都有區分為幾個階段,攻擊發生前、
攻擊發生中及攻擊發生後。每階段都
會有不同的政策與應變方式,如圖一
所示,當攻擊的事件發生前,各企業
定會利用各種資安設備進行偵測與阻
擋。但攻擊若穿透資安防護設備後,
資安事件即處於攻擊初期階段,此時
面對
APT
威脅,只有防禦足夠嗎?
SourceFire
更需要的則是能夠盡早發覺問題,並
快速針對攻擊狀態進行反應。而最後
一個階段,其實也是非常重要的階段,
圖一 資安事件狀態圖
173
Technology Forum 2015
雲端
資料
BYOD
與資
網路