过去在网关端架设防火墙即能解决所有资安问题的时代已经过去,新的攻击途径、新的攻击类型层出不穷,信息安全的防护角度,也不得不必须从过去的分层各自负责,改变为进行联合防御。这样的联合防御在面对未知来源、未知方法的恶意攻击时,更显重要。新型态的攻击时间短暂、具备多重来源,但造成的影响巨大,缺乏一个高效能的资安联合防御解决方案,将无法辨认与及时阻止此类攻击。
HP 身为全球最大的 IT 供货商,为客户所提供的不仅是从网络到数据中心全系列的优质基础建设,更重视协助客户在IT建设完成之后做好维运工作,让网络运作、资安防护、管理维运 不再拼拼凑凑,庞大的IT建置经费能够真正发挥该有的效益。期能透过网络、资安与管理之一举到位与完美整合的解决方案,为客户找到真正有效且好操作的维运方式。
 
我们面对的资安工作
企业与组织所面对的资安工作与必须解决的问题包含:
• 阻挡IM/P2P/Facebook
-侵权问题
-占用带宽,导致重要的服务缓慢
-防火墙负荷不了
-员工上网行为控管
• 漏洞入侵与零时差攻击
-微软、Adobe漏洞ㄧ大堆
-零时差攻击满天飞
-计算机全成别人的禁脔
-安装木马,后门与间谍程序​
• Botnet与暴力密码破解
-计算机遭入侵成殭尸
-被利用来为非作歹
-暴力破解服务器密码
-IRC
• Web Application与数据库保护
-SQL Injection
-PHP exploit
-XSS ​
  
HP 统合网络、资安与管理之资安联合防御 解决方案
现今已有许多网络运作异常或服务器服务无法存取的问题起因于资安事件。欲发挥IT系统的效益,就必须掌握并控制网络里的每一个恶意行为,而优良且判断准确的资安技术正是可以协助网络维运的关键角色。 HP所提供的统合网络、资安与管理之资安联合防御解决方案,由省能之星HP Networking Switch设备担任基础架构;全球最佳的入侵防御系统HP TippingPoint负责资安工作;搭配方便易用的 Reporter事件分析及中文报表系统,提供业界最佳的网络、资安与管理统合的安全新架构,让企业与组织能轻易做好资安事件实时分析与防护。将可涵盖组织以下的主要需求:效能优异的网络;异常事件的立即反映与处置;员工上网行为规范;资安防护与重要数据保护;准确而有效的端点管理;因应个资法的Syslog储存备查要求;操作容易、报表清晰的中文接口操作系统;以及最重要的高投资报酬率。
 
图一. 解决方案之联合防御运作示意图
 
图二. HP TippingPoint 提供三大入侵防御功能
解决方案特点与效益
 
1.组织的上网行为控管
不当的上网行为除了影响组织生产力之外,P2P与IM软件传文件功能滥用的结果往往造成网络效能的沉重负荷、智能财产侵权甚至组织重要数据的外泄。而WEB 2.0的互动功能早已成为黑客向组织内人员散播恶意软件的方便管道,就在人们观赏微网志、部落格或是社群网站的同时,恶意软件已经悄悄植入用户的计算机,进行个资的窃取或是当成攻击他人的跳板。
全球首屈一指的入侵防御系统HP TippingPoint内建AppDV<应用程序数字疫苗>能办识数百种网络服务包括P2P、IM、串流影音、社群网站、在线游戏、VPN Tunnel/Proxy/远程联机软件、Web Mail等等,并可依据组织的管理政策实行阻挡、监控或是限频动作。采用新一代XLR网络芯片作为运算核心的HP TippingPoint IPS拥有优越的处理效能,能够让IT人员弹性的设定多个检查与管理政策在同一部HP TippingPoint设备上却没有效能问题。
 
2.零时差与漏洞入侵的防护
一个系统的漏洞被发现之后,该系统的研发原厂应立即修改程序,并发布Patch让使用者进行更新的工作以免遭骇。倘若研发原厂对漏洞修补动作响应时间太冗长导致迟迟无法提供Patch补丁给用户,而在这段空窗期间黑客已经制作完成恶意软件并且开始进行入侵行为,这就形成了<零时差攻击>,组织里的计算机系统将面临极高的入侵风险。
HP TippingPoint多年以来致力于全球各种重要系统的漏洞研究上,其中ZDI<Zero Day Initiative http://www.zerodayinitiative.com/>计划结合了来自各国千名以上的资安专家共同为漏洞入侵提出防御方案。以微软系统为例,从2006年到2010年为止,HP TippingPoint的DVLabs小组总共替微软找到73个漏洞(占总数359的20%),提供给微软作为修补漏洞的参考依据,微软在官网的Bulletin中更提及HP TippingPoint达109次,这个研究成果远优于其他竞争友商,所有建置HP TippingPoint IPS的客户能够最早最实时拥有防护能力,无须担心<零时差攻击>的危害,让IT人员有充足的时间慢慢研究 Patch 程序之软件兼容性,也无需担心定期维护时间未到无法执行 Patch安装重开系统的问题。
 
图三. TippingPoint 的研究成果发现微软系统最多的漏洞
 
3.暴力密码猜测攻击的阻止
常遇见的账号密码取得技俩,包括运用社交工程诈骗类型的钓鱼邮件(Phishing)以及发起巨量暴力猜测手段等。社交工程(Social Engineering)的防范之道在技术做法上可布建HP TippingPoint IPS,其内建的反钓鱼(Anti-phishing)过滤器可保护组织里的人员不会误连钓鱼网站。但当组织内有几部计算机设备遭植入恶意的暴力密码猜测程序,假借员工身份对AD系统发送大量认证请求,而导致诸多员工账号被AD死锁而无法登入网域使用网络资源,严重影响到组织的生产力时,要如何侦测到暴力猜密码的行为并予以立即阻绝是IT人员头痛的课题。
HP TippingPoint IPS可以持续监控网络中AD登入失败的行为,再透过自动学习机制了解组织过去的AD登入失败行为曲线,用来比对每一分钟的AD登入失败次数是否合理,只要一发现异常突增情况,将立即通知IT管理者,并呈现出攻击来源IP、名称、猜测次数以及在哪部网络交换机底下(如果该IP位于内网中)等信息。
除了实时分析功能,HP TippingPoint IPS亦提供方便好用的处置作为帮助IT管理者将这样的攻击瞬间排除掉,恢复组织正常营运。如果攻击来自外部,IT管理者可以下达阻挡指令到建置于Internet入口处的HP TippingPoint IPS上封阻后续的猜测行为;如果攻击是来自内部,则阻挡指令能够深入到HPN L2 Switch上,封锁该IP,避免恶意软件持续散播感染造成灾害的扩大,等同于作到端点防护的效果。此外,IT管理者也可以预设封阻时间的长短,系统将自动解除阻挡作为,大大减轻维运负担。
 
图四. 解决方案提供自动学习分析机制,能了解组织过去AD登入异常的行为曲线,并快速找到攻击来源
 
4.数据库重要信息的防窃
数据库的窃取技术对很多懂数据库语法与架构概念的黑客来说进入门坎并不高,而且一但入侵成功其获利又会非常丰硕,因此让许多黑客争相投入这个领域, SQL Injection等型态的攻击占所有攻击事件的比例逐年遽增中,也就表示,IT部门迫切需要建立相对应的防护能力来防止来自黑客的数据库窃取行为。
HP TippingPoint IPS针对SQL Injection攻击提供相当完整而有效的保护,建议组织可将 HP TippingPoint IPS布署在前端Web Portal与存取服务的Client之间。
5.DDoS与服务瘫痪攻击的防御
DDoS可概分成两类:一是每个攻击端发送巨量封包,主要用意是侵蚀带宽与造成网络设备如防火墙、线路负载平衡设备与路由器等的效能负担;另一种则是集结众多攻击者一起发动服务请求,但是每一个攻击者仅送小量的方式,要求的目的通常是为了猜测账号与数据窃取,也可用来让服务器的CPU飙高导致服务停摆。
针对第一类的攻击型态,HP TippingPoint IPS透过Threshold的设定来制定每一个来源IP的可联机门坎,过滤超过合理值的巨量封包,达到保护的效果。至于第二种DDoS攻击类型则需要启动异常行为自动学习机制作为监控的法则。组织可能会面临到不同严重程度、不同型态的DDoS攻击,使用HP解决方案将可以有效抵挡DDoS,确保网络运作与系统服务的平顺。
DDoS攻击常见的内容与手法是黑客运用网军技术指挥多部计算机同时对组织的DNS发动不存在网址查询,造成服务响应缓慢,影响上网质量。过程中每部计算机仅发送少量请求,因此能够轻易规避使用分析系统的监控不被找到。HP TippingPoint IPS属于第七层的资安设备,能够深入分析各种DNS查询行为对DNS服务器所造成的影响。
HP解决方案防御这样的 DDOS攻击的处理流程是:HP TippingPoint IPS持续在网络中监控NXDOMAIN查询行为,分析系统根据过去的历史纪录比对后发现异常突增,实时发送讯息给组织的网络管理者,并显示出攻击来源IP、国别以及查询次数等信息,管理人员确认无误可以下达阻挡指令到HP TippingPoint IPS上,将所有攻击来源IP封阻在Internet入口处,DNS效能即回复正常,组织内上网浏览也即回复正常。整个过程从发生攻击那刻起到确定攻击手法与来源IP群,下达阻挡指令恢复网络运作仅耗时不需10分钟。
 
图五. 解决方案提供自动学习分析机制,能了解组织 DNS Query异常的行为曲线,并快速找到攻击来源

6. 内网端点防护
组织内网计算机管理一向是IT人员的头疼工作,有太多行动计算机可以进出组织、USB行动碟管控不易、无线网络与3G服务的普及等因素让组织内网计算机常常曝露在遭受入侵或是感染恶意软件的风险之中。许多IT人员会考虑使用NAC来加强管控,这个作法对于身分识别与连网设备的管控虽有其优势,但是IT人员却必须面对相当复杂的建置过程、人员教育、政策制定以及不断的调整,工作负担不减反增的情况比比皆是,而更严重的问题是:如果计算机遭植入恶意软件而操作这部计算机的用户又通过了NAC认证取得网络访问权限,后续发送的恶意行为对NAC系统来说是非常难以察觉的。
黑客攻击常见的内容与手法是发出巨量ICMP Fragmented Packets,同一时间对少数几个目标发动瘫痪攻击,导致目标组织之带宽消耗殆尽。 针对这样的攻击,HP Networking端点防护整合方案提供更好的方式来检查与管理内网的恶意行为。于HP TippingPoint IPS所提供的事件报表上,我们可以发现巨量ICMP Fragmented Packets来自于于哪些计算机,对哪些目标发动瘫痪攻击。透过报表行为分析系统,我们可以看见异常突增事件的出现。当发现这样的事件,IT 人员可立即执行以下二个阶段的处置作为:首先,在HP TippingPoint IPS上将ICMP Fragmented Packets行为从监控模式改成拦阻,在这些封包进入前先行滤掉,避免带宽资源遭占据;如有必要,下个动作可针对这些发动攻击的内部计算机进行端点阻挡,透过报表系统下达IP Base的阻挡条件到HPN L2 Switch上。
 
图六. 解决方案提供自动学习分析机制,能了解组织 ICMP Fragment 异常的行为曲线,并快速找到攻击来源

7.新版个资法的Log储存与中文报表
除了资安事件实时分析功能,HP统合之资安联合防御解决方案中亦提供Log储存与中文报表系统,具备以下多项优异功能:
• 自动侦测与接收多个来源的Syslog Data,接收能力达4,000/Sec
• 可输入多笔查询条件进行逻辑运算(or与not),条件内容包括事件关键词、IP、各项参数等,输入条件数无限制
• 可储存高达六亿笔Syslog Data
• 统计一千万笔Syslog Data的 TOP 1000报表仅需48秒
•支持报表Drill Down查询事件
• 动态呈现3D/2D多种图型式样
• 脱机报表设定自动寄送功能
• 支持数据库备份与回复功能
• 实时Dashboard呈现与全球IP的事件关联性
 

员工自携行动装置工作(BYOD)之安全控管

由于智能型移动装置的普及,使得许多企业减少了限制性策略,允许员工使用智能型移动装置,进行基本的连接,甚至开放到完全可以连接公司网络和公司应用程序。自携行动装置(BYOD, Bring Your Own Device)的应用已成为最有影响力的趋势之一,并且已经影响或即将影响每一间公司。而这个趋势需要彻底改变在工作场所使用设备的方式。
 
BYOD 意味着任意设备,任意所有权,在任意地点使用。企业需要一个更加完整的方案,这种方案需具有延展性,可用于解决行动性、安全性以及网络政策管理,进而在提供最佳体验的同时有效地控制管理成本,实现最大程度的节约。但是,BYOD确实在安全性和管理方面带来更大的复杂性,BYOD涵盖了企业行动性、安全性和协同合作解决方案的整合。

BYOD的最大挑战在于,针对多种行动平台的安全性和隐私权考虑,装置的广泛使用,则需要有全新的策略和方法来有效地控制成本。而根据IBSG的分析,只有14%的BYOD成本与硬件成本有关,其余的成本则来自于选择正确的管理方式和技术支持。
Cisco BYOD解决方案是一套全面的方法,能够有效地管理和控制自携行动装置的网络连接,提高自携行动装置的使用体验和工作效率。完整的解决方案提供了远程联机、无线网络控制器、安全、网络管理等所有必需的基础设施和基础架构,可帮助企业建立一个安全、高性能、支持更多设备访问的网络。
Cisco BYOD解决方案的特点及优势
★ 为任何设备提供安全的连接
★ 提供自助式的On-Boarding,无须管理者协助登记自携行动装置
★ 可集中地强制实施公司的使用管理策略
★ 整合了有线、无线、远程连接和移动性连接的统一解决方案
★ 提供使用者统一的联机体验
★ 提供高可见度的设备管理

公司对于员工自携行动装置的管理考虑
员工的智能移动手持装置可能用于业务和个人通话,可能同时安装了个人和与企业所需的App应用程序。当用户在个人下班时间使用个人网络时,以及在工作时间连接公司网络时,对于Internet的连接、档案分享和应用程序的使用上,可能需要订定不同的策略限制。
 
BYOD的设备辨识非常重要
传统上,一名员工只有一台桌面 PC 或笔记本电脑在网络上,或许还有一台 IP话机。而接受员工自携行动装置连接公司网络后,每个员工可能有三台、四台或更多设备同时连接到网络。许多设备有多种模式,能够从有线网络切换到 无线网络,再切换到3G/4G移动网络,对于公司的信息管理层面来说,拥有能够提供公司网络上所有设备的可见性的工具非常重要。Cisco BYOD解决方案能够识别设备和使用者,并根据设备和使用者来制定不同的策略选项,提供别具客制化的服务。例如,可以将使用公司受管理设备的员工,与在工作时使用自己的未被管理设备的员工区别对待。同样地,对于合作伙伴、访客、客户和其他分类(例如学生),可以根据不同的企业策略加以识别和对待,从而限制他们只能连接特定的服务,以及连接他们有权存取的内容。Cisco BYOD解决方案具备了良好的设备辨识能力,可以简化故障排除过程、并根据不同用户、不同装置、不同联机方式、不同连接时间,订定不同的联机限制策略。
Cisco BYOD解决方案包含了高性能与可靠的无线局域网络
Cisco提供了CleanAir、ClientLink和4x4天线设计等技术,改进了基本的RF效能,而高速漫游、无线网络QoS、无线网络VideoStream优化技术等,则提供了更好的应用程序体验。而由于无线网络连接的普遍,对其性能和可靠性的期望变得与对有线网络的期望相同,包括可靠的连接、连接带宽、应用程序响应时间以及日益增加的语音、视频和其他实时协作应用程序等。过去企业对于无线网络服务等级要求都只在于方便性,未来将会转变成和有线网络一样的服务等级要求,企业所使用的关键型业务服务,也将大幅应用在无线网络上。无线网络的的设计和运作,必须包含了高可用性、性能监看以及无线漫游等层面。
 
提供自助式的 On-Boarding,无须管理者协助登记自携行动装置
Cisco BYOD解决方案提供了自助式接口,让用户的自携行动装置在第一次连接到网络时,可以自行进行注册。系统可对每个设备辨识,并对其加上个别标识纪录,后续以此设备进行的网络连接都可辨识并留下纪录。
 
提供安全的BYOD设备连接
透过X.509 数字证书、二元身份验证、Cisco AnyConnect客户端程序和 802.1x的组合,可以让各种设备安全地连接网络。而由于访问公司网络的设备具的功能比以往更多,企业难以完全评估、限定和批准每台设备,这可能开启了新的安全攻击媒介。例如,许多平板计算机、智能手机能够启用对等无线网络功能(网络分享功能)。如果一台经过身份验证的设备提供网络分享功能让其他设备连接,则未通过身份验证的设备和使用者可能通过与经过身份验证的设备的连接获得公司网络的访问权限。当笔记本电脑通过蓝牙与智慧手机连接时,也会发生相同的情况。面对使用数量不断增长的设备和功能,BYOD解决方案必须同时仍保持控制权,例如,必须自动禁用未授权连接设备上的网络分享功能。
 
提供有线、无线、远程和移动装置的统一解决方案
BYOD并非是一个单独的、需要例外去处理的解决方案,Cisco BYOD解决方案提供了一种整合的统一方案,设备在任何地方都可以连接到网络,其中包括有线网络、企业无线网络、公共无线网络和3G/4G移动网络,而且无论是在总公司、分支机构、家庭办公或是在移动远程工作人员的所在地,都可以连接到网络。而Cisco AnyConnect 客户端程序则为用户提供了统一的使用体验,无论他们是通过无线网络在公司办公室进行连接,还是通过3G/4G移动提供商以远程方式进行连接,这种体验都是一致的。
 
 

Cisco BYOD解决方案提供了统一管理策略
Cisco秉持「一个网络、一个规则、一种管理方式」的网络连接策略,提供所有必备组件以确保您的员工在任何地点使用任何设备都能获得别无二致的优异体验,能够全面满足各种设备、安全和业务需求的高性能解决方案。
 
一个网络
Cisco BYOD解决方案将有线、无线和3G/4G网络融合在一起。可以将有线和无线的策略和管理,统一到单一解决方案中。
一个规则
为了应对企业网络中移动设备日益激增的现状,企业必须集中制定连接规则,并能自动实施。Cisco身份辨认服务引擎(ISE)可在整个组织范围提供单一管理点,不再需要进行众多手动同步的流程。利用这个单一管理点,进行集中的网络连接管理策略(无论是有线网络还是无线网络)。
一种管理方式
为了支持网络中与日俱增的移动设备,企业需要能够提供单一入口点的解决方案,以解决网络连接和体验问题。Cisco BYOD解决方案提供单一工作流程,具备了集中、统一的管理接口。Cisco BYOD解决方案是根据用户而不是根据网络组件来确定问题所在,而智慧式的分析与解决过程,为将来的网络规划与升级提供有效的信息。
 
 

​上网控管与威胁防御

 除了使用传统防火墙与入侵检测设备(IPS)来保护企业降低来自Internet的攻击外,面对日益增多的恶意网站、隐藏在网站内的恶意链接与恶意软件(Malware)的防护与过滤,以及针对企业员工上网上网行为的管理、纪录、报表等完整防护与政策落实,一个整合式的安全装置是企业所需要的Web Security解决方案。

Web Security解决方案通常包含了基本的网页过滤(URL Filtering)及恶意软件侦测(Malware detection)功能,其他可整合的功能包含了诸如应用程序控管(Application Control)等。
我们所提供的解决方案包括:
‧Palo Alto新世代防火墙
‧Cisco IronPort Web安全匣道器
 
 
Palo Alto 新世代防火墙
 Palo Alto新世代防火墙以 App-ID、User-ID 及 Content-ID三项独家技术,让IT部门能看见及控制应用程序、用户及内容,将用户和装置(而不仅仅只是 IP 地址)整合到政策中。无论任何地点和装置,均可根据应用程序与用户身份建立和管理安全性政策,这种方法比单纯依靠端口和 IP地址来保护网络更加有效。
Palo Alto所提供的新世代防火墙解决方案以应用程序中心流量分类引擎为基础,监控所有端口上的所有流量,因此能对 1800 多种应用程序进行精准识别,不论使用何种端口、通讯协议、SSL 加密或规避技术都一样,让IT部门能重获应用程序的能见度及控制权。应用程序识别然后以Active Directory 用户或群组识别、应用程序、IP 地址、排程及其他条件为基础,来启动各种安全性政策决策。客户可藉由 Palo Alto Networks 的解决方案执行细微应用程序使用控制来重拾对网络的掌控权。
 
Palo Alto新世代防火墙提供以应用程序为基础的URL筛选
监控网络活动是保护企业网络免于多种安全及法务遵循风险的关键环节,但IT部门却常常在昂贵但效能欠佳的服务器式解决方案之间挣扎,阻碍了他们执行适当政策的能力。为保护网络并控制网络浏览活动,IT 部门需要具备下列特性的工具:
- 在不妨碍反应时间及使用者满意度的情形下监控网络浏览情形。
- 在在线且接近实时的情形下决定许可/拒绝网络浏览活动。
- 在没有过高成本或复杂授权条款的情形下可增加使用人数。
Palo Alto将世界级的URL数据库整合于防火墙产品内,以拥有能补强政策式应用程序能见度及控制能力的细微URL筛选控制。URL筛选引擎充分利用Palo Alto特定用途平台的优点,能在达到multi-Gbps 吞吐量速度的作业环境下,以单一授权支持无限的使用者。管理员可从单一管理界面部署政策,在不影响效能的情形下监控应用程序及网络浏览情形。
 
特点介绍
以URL筛选控制Web活动
提供对相关web活动控制的产品,而随附URL筛选数据库是App-ID所提供政策式应用程控的最佳拍档。针对应用程序及web两方的能见度及控制不足的缺失,企业才能在法律、政策、生产力及资源利用风险各个层面获得保护。

随附的URL数据库可将效能及弹性最大化
URL筛选是以随附的 78 类、2000余万笔URL数据库为基础。此一数据库可确保最大的在线效能及最小的延迟。藉由应用程控及URL筛选,可实施弹性的政策来控制员工及网络活动。
- 从 78 类及超过2,000万笔URL数据中挑选或从封锁列表及许可列表中新建具通配支持的客制化清单。
- 具备由User-ID所提供的使用者储存机制的特定群组式web浏览政策。
- 藉由许可对健康、金融、及购物等网站的加密存取并解密通到部落格、论坛、及娱乐等所有其他网站流量的方式,启用SSL解密政策。
客制化的URL数据库及分类
面对快速增加的一般URL以及地区性及产业性URL,随附超2,000万笔URL数据库可扩充以符合当地使用环境的流量形式。发现不在本地URL数据库分类内的URL时,防火墙可向存在云端上另一个1.8亿笔数据的URL数据库申请分类,此一URL随即存在本地另一个容量100万笔的URL数据库。除对数据库进行修订外,管理员亦可新建自己的URL类别,进一步改善URL控制以符合各自的需求。
可自定义一般使用者通知
要通知一般使用者他们想要浏览的网站不符企业政策时,您可有多种不同的选择来满足不同的需求。
- 自定义的封锁网页:通知使用者违反公司政策的网页,内容可包括企业标章、用户名称、IP地址、想要连上的URL及其分类。
- URL筛选封锁并继续:使用者要连上可能违反公司URL筛选政策的网站时,出现一个内含「警告但继续」按钮的网页,让用户在觉得网站并无不妥时继续进行。
- URL筛选覆写:要求用户正确输入密码来忽略阻断网页并继续浏览。
对网页使用的弹性及政策式控制
作为对于App-ID式能见度及控制应用的补强,您可将URL分类当作对政策的匹配条件。不同于政策仅能选择许可全部或阻断全部的强制性,作为比对条件的URL分类能许可例外式的行为,带来更大的弹性以及更细微的政策执行。URL 分类在政策比对上的应用举例说明如下:
- 对属于多个Active Directory群组的使用者,识别并许可对一般安全性政策的例外处理(例如,对全部用户拒绝连上恶意软件及黑客网站,但开放连结给安全群组的使用者)。
- 许可连上串流媒体类别,但以服务质量控制带宽的使用量。
- 防止对风险度较高类别的URL档案下载/上传(例如,许可连上不明的网站,但禁止对不明网站执行档案下载/上传,以限制恶意软件的传播)。
- 套用许可对金融及购物类别的加密存取,但解密并检查所有其他类别流量的 SSL 解密政策。
 
 
Cisco IronPort Web安全网关 (Web Security Appliance,WSA)
产品介绍
Web流量所引发的安全威胁数量已达到传染性的比例。传统的网关安全防护已被证明无法适当反制多样化的Web-based恶意软件,让企业网络暴露于这些威胁所形成的风险中。根据业界估计,约75%企业PC遭受间谍软件感染,然而仅有不到10%企业有部署周边恶意软件防护方案。Web-based恶意软件的攻击速度、多样性与危害性,突显必须部署强固安全平台以防护企业网络周边安全的重要性。
除了Web-based恶意软件和间谍软件所构成的风险之外,Web流量也会让企业组织因为当的Web利用而必须面对法律与生产力风险问题。
IronPort Web安全网关是业界第一且唯一将传统URL过滤、声誉过滤与恶意软件过滤功能结合到单一平台的Web安全装置,帮助企业克服日趋迫切的挑战,确保并管控Web流量安全,这些功能强大的应用全整合在一个单一平台,而强大的管理和报表工具,提供了简化的管理、弹性与控制、以及政策和威胁相关活动的完整能见度。
特点介绍
创新安全平台提供领先业界的效能与正确性
IronPort Web安全网关在一个单一且整合的设备之,上结合多阶层恶意软件防护,协助企业管控和确保Web流量安全。这些防护层包括IronPort Web reputation Filters声誉过滤器、多重反恶意软件扫描引擎、以及Layer 4 (L4)流量监控器(Traffic Monitor : 侦测non-Port 80恶意软件活动)。
IronPort Web安全网关设计并建构第一个将这所有功能整合在单一安全网关设备之上的方案。IronPort Web安全网关也具备智能型HTTPS解密能力,因此所有相关的安全与存取政策都可以实施于加密流量之上。
高速Web Proxy
高速Web Proxy是维护安全和执行可接受之使用政策(acceptable use policy;AUP)的基础。支持深度的内容分析,成为正确侦测各种迂回且快速变化之Web-based恶意软件的关键。
整合L4 Traffic Monitor
整合的Layer 4 (L4)流量监控器以线路速度扫描所有网络端口,侦测和阻绝间谍软件活动。L4流量监控器藉由追踪所有65535网络端口,有效阻绝那些试图绕过Port 80的恶意软件。再者,L4流量监控器能够动态地将已知的恶意软件网域之IP地址,加入需要侦测与阻断的端口和IP地址列表。L4流量监控器藉由这项动态发现能力,以实时方式监控和移除恶意软件-纵使恶意软件主机试图改变IP地址以避开侦测。
提供最好的Web声誉过滤器,利用Cisco安全智慧运营中心(SIO, Security Intelligence Operations)提供强大的外层恶意软件防护。它可以分析超过50种不同的Web流量和网络相关参数,正确评估URL或IP地址的信任度。
Web Usage Controls
Cisco IronPort Web Usage Controls将业内最佳的URL过滤器数据库与实时动态内容分析引擎结合在一起。URL过滤器数据库能够提供强大的;对传统网络内容的覆盖功能,而动态内容分析引擎则能够准确识别“未登录网站(Hidden Web)”中90%的动态Web 2.0网页内容。
经过调整与配置,动态内容分析引擎能够准确识别在通常情况下受到封锁的内容分类。据Cisco分析,动态内容分析引擎比第一代解决方案或者完全依赖于列表的解决方案能多识别50%以上令人反感的内容,显著降低了Web 2.0流量带来的违规和违法风险。
Cisco的URL数据库包含65个URL类别,覆盖200多个国家并支持50多种语言,同时能够通过Cisco安全智慧运营中心(SIO, Security Intelligence Operations)每5分钟进行一次更新。
设备提供了丰富的策略控制功能,并整合了用户指令,适用于基于使用者身份的策略执行,同时能够灵活执行拦截、允许、解密、告警和监控访问等多种行为。
周边防护能力
IronPort Web安全网关结合革命性的科技,在一台单一装置之上提供多阶层Web安全性。
IronPort Web声誉过滤器是业界唯一包括傀儡网站防护、URL风暴侦测以及入侵过滤能力的声誉系统,保护用户免于遭受那些透过跨站脚本攻击(XSS)、跨站请求伪造(CSRF)、SQL隐码攻击或隐藏iFrames等方式发起的攻击威胁。
IronPort Anti-Malware System反恶意软件系统让IronPort Web安全网关成为市场第一个在单一且整合设备之上,提供多重反恶意软件扫描引擎的方案。
Webroot和McAfee的扫描引擎完全整合于IronPort Web安全网关。Webroot扫描引擎由Webroot一个威胁研究团队提供后盾,负责执行请求端和响应端的扫描。Webroot透过Phileas(第一个自动化间谍软件侦测系统)强化效率和涵盖;Phileas每天对数百万网站进行智能型的扫描,以辨识既有和新兴威胁。McAfee扫描引擎由Avert Labs(全球顶尖的威胁研究中心)提供后盾。McAfee数据库包括病毒和恶意代码,能够透过组态以执行病毒特征特征(signaturebased)和启发式(heuristics-based)扫描。
IronPort DVS引擎的设计目的是要提供一个整合的单一网关设备方案,搭载多重厂商的多重反恶意软件扫描引擎。它结合复杂的对象剖析和串流技术,为所有Web流量提供IronPort的完整AUP和安全功能。
IronPort Web Security Manager可供您轻易为每一使用者群组建立不同的政策。
IronPort Web安全网关透过声誉感知型(reputation-aware)SSL扫描,确保隐私和安全性,而HTTPS解密能力,让IronPort Web安全网关可以对HTTPS解密数据实施存取与安全政策。

完备的管理和报表能力
IronPort Web Security Manager安全管理工具为网关设备的所有存取和安全政策,提供一个单一且容易理解的检视方式。
IronPort Web Security Monitor安全监控器能够为企业网络内的整体Web活动提供高价值的监控能力,以及辨识和预防威胁。这些on-box和off-box报表提供了可供实行的行动信息以及历史趋势,而强化的报表功能则协助企业掌握违反政策与安全的活动。
IronPort Web安全网关的高功能报表工具提供完整的实时和历史Web流量报告,以及威胁活动与预防,达到前所未有的安全能见度。
多重部署模式为企业网络提供充裕弹性,包括可以部署成网络的转传代理(forward proxy)或透通地搭配L4交换器或WCCP路由器部署。IronPort Web安全网关可以组态成一个独立的proxy,或与其他proxy并存(例如在一个proxy阶层体系内,提供条件式路由、失败接管与负荷平衡)。
企业层级SNMP提供关键系统信息(包括硬件、效能与可用性)免干预监控与预警。
整合式认证:透过标准目录服务(例如LDAP或Active Directory)提供整合式认证,并且可以建置多重认证机制(例如NTLM或Basic),确保企业天衣无缝般的部署IronPort Web安全网关。
IronPort Web安全网关提供了完整的日志(logging)功能,协助追踪所有Web流量,包括良性和恶意流量。标准日志格式包括Apache、 Squid或Squid-detailed,并且可以指定客制化日志格式,以配合企业的日志政策。

 
 

资料外泄防护 Data Loss Prevention

当今,几乎人人都能共享、存取与散播无限的资料量。事实上,由于数据拥有庞大的威力,组织与企业也必须仰赖这些数据。同时,员工愈来愈行动化,而高速因特网存取、智能型行动装置与可携式储存设备的普及,也代表着「办公室」无所不在。因此,与过去相较,企业防止机密数据外泄的工作就变得更加困难。过去的安全措施主要目的在于保障网络,现在则应将重点转向保障数据本身。台湾已通过新版个人资料保护法,组织与企业对个人资料更要善尽保管责任,以免因个人资料外泄以致触法,因此组织与企业更需要一套整合式的数据外泄防护解决方案,以因应个人资料保护法的挑战。
完整的数据外泄防护 (Data Loss Prevention) 解决方案必须能够解决以下三个基本问题:
•您的机密资料在哪里?
•您如何防止数据外泄?
•这些数据的使用方式为何?
 

图一. Symantec Data Loss Prevention 可解决三个基本问题
 
Symantec Data Loss Prevention 提供一套整合式数据外泄防护解决方案
当今,几乎人人都能共享、存取与散播无限的资料量。事实上无论数据储存与使用的地点为何,Symantec Data Loss Prevention 都能提供一套整合式数据外泄防护解决方案,搜寻、监控与保护机密数据。且无论用户是否连上企业网络,此解决方案可为端点、网络与储存系统上的机密数据提供全方位的防护。透过大幅降低风险,就能赋予组织与企业全新的信心,展现遵循法规的能力,并保护品牌与智慧财产。
Symantec Data Loss Prevention 数据外泄防护可提供以下四种类型之功能 :
 

图二. Symantec Data Loss Prevention 提供四种类型之功能
 
​1.搜寻
• 无论数据储存在哪里都能找到
• 建立机密数据盘点列表
• 管理数据清除工作
2.监控 :
• 了解数据如何被使用
• 了解内容与上下文脉络
• 掌握整个企业的透明度
​ 3.保护 :
• 可检视是否有违反政策的状况
• 主动保护数据安全
• 防止机密数据流向组织与企业之外
4.管理 :
• 在一套整合式平台中,为整个企业定义统合的政策
• 矫正并报告资安事端
• 同时精确地侦测内容 
 

解决方案特点与效益

图三. Symantec Data Loss Prevention 解决方案涵盖足够的威胁面向
1.搜寻 : 无论机密数据储存在哪里都能找到
您知道...
• 哪些文件服务器和数据库包含了暴露在外的机密数据?
• 哪些笔记本电脑和桌面计算机存放了机密数据?
• 哪些人未经授权存取您的机密数据?
 
随着组织与企业内的数据量持续增加,负责数据安全性的团队可能也愈来愈不清楚机密数据存放在哪里、或是哪些人存取了这些数据。无论机密数据储存在企业的任何一个角落,采用Symantec Data Loss Prevention 数据外泄防护解决方案都能找到。利用该解决方案,组织与企业就能解决付款卡产业数据安全标准 (PCI DSS)、数据盘点与数据分类等重要问题,以展现遵循法规的能力、降低风险并保障其品牌及商誉。
 
关于「搜寻」的能力,Symantec Data Loss Prevention包含以下的组件与功能 :
Symantec Data Loss Prevention Network Discover :
能利用涵盖范围最广的企业数据储存区 (repository),迅速找出暴露在外的机密数据所存放的位置,包括:文件服务器、数据库、文件与记录管理系统、电子邮件储存区、以及网页内容和应用程序。
Symantec Data Loss Prevention Data Insight :
可追踪档案使用情形,协助识别暴露在外之机密数据的拥有者以采取解决步骤。
Symantec Data Loss Prevention Endpoint Discover :
可扫瞄储存在端点上的机密数据,包括笔记本电脑与桌面计算机,以便盘点、保障或迁移这些数据。
 
采用 Symantec Data Loss Prevention,您可以搜寻:
•储存在 Microsoft SharePoint 和 SQL 数据库中的信用卡号码和个人身份证号
•储存在企业内的个人身份信息 (Personally Identifiable Information,简称 PII),以提供稽核人员盘点报表并展现遵循法规的能力
•所有不当存放的持卡人与磁条数据,为 PCI 稽核做好妥善准备
•存放于企业内不必要的老旧或过时机密文件
•在文件服务器上共享的原始码或计算机辅助设计图(CAD)
•约聘人员笔记本电脑上的价格表
 
2.监控 : 监控机密数据如何被使用
您知道...
•您的机密数据被传送到何处?
•哪些机密数据由笔记本电脑被传送出去?
•无论是否连上企业网络,员工是如何使用机密数据的?
 
由于组织与企业愈来愈仰赖高速网络和行动运算,以便更轻松地共享与存取信息,因此,负责数据安全性的团队可能也愈来愈不清楚哪些机密数据离开了企业、以及员工无论是否连上企业网络时,是如何使用这些数据的。采用 Symantec Data Loss Prevention数据外泄防护解决方案,组织与企业就能监控机密数据在端点是如何被使用,以及这些数据透过网络传送至何处。此解决方案能协助确保员工从办公室或家里有效率地工作,同时也能确保企业贯彻公司的数据安全政策。
 
关于「监控」的能力,Symantec Data Loss Prevention 包含以下的组件与功能 :
Symantec Data Loss Prevention Network Monitor :
会检测所有的网络通讯,例如:电子邮件、实时通讯 (IM)、网页、FTP、P2P、以及一般常见的 TCP,以监控机密数据是否有违反数据安全政策的情形。
Symantec Data Loss Prevention Endpoint Prevent :
可监控被下载至本机硬盘;透过电子邮件、实时通讯、网页或 FTP 传输;复制到 USB、CompactFlash、SD 或其他抽取式媒体装置;刻录至 CD/DVD;复制或贴上;透过打印屏幕功能撷取;或者是以电子化方式打印或传真的机密数据。

采用 Symantec Data Loss Prevention,您可以监控:
•透过及时通讯传送内含合并与购并机密信息给合作伙伴透过网页邮件寄送产品计划给竞争对手被复制到 USB 或其他抽取式媒体装置的客户名单
•内含个人身份信息 (PII) 的电子邮件,以便自动导向,进行加密透过托管电子邮件安全服务传送的电子邮件,包括赛门铁克托管服务 MessageLabs
•复制到本机硬盘的原始码
•优先加密内含客户机密数据的笔记本电脑
•以行动装置传送、内含机密数据的电子邮件
•刻录至 CD/DVD 的产品设计文件
•打印或传真给竞争对手的价目表
 
3.保护 : 保护与防止机密数据外泄
您知道...
•如何预防您的数据透过网络或端点流向公司以外的地方?
•如何保护储存在您网络上的机密数据?
•如何强制执行数据政策,以改变员工的行为?
 
与过去相较组织与企业在防止机密资料外泄的工作已变得更加困难。过去的安全措施主要目的在于保障网络,当今的方式则应着重于保障数据本身。采用 Symantec Data Loss Prevention 资料外泄防护解决方案,企业就能掌握违反政策的情形,利用自动隔离、迁移和支持政策导向的加密功能,主动保护数据。Symantec Data Loss Prevention 能同时在网络与端点主动拦截,预防机密数据不当地流向企业以外的地方,能协助确保将风险降至最低,自动强制执行数据安全政策,并且让企业改变员工的行为。
 
关于「保护」的能力,Symantec Data Loss Prevention 包含以下的组件与功能 :
Symantec Data Loss Prevention Network Protect :
能透过由存放的地点加以隔离、复制、移除、应用企业权限管理 (Enterprise Rights Management,ERM) 或加密,进而自动保护储存的网络数据。
Symantec™ Data Loss Prevention Network Prevent :
会主动防堵违反数据安全政策的网络通讯,依照条件移除内含机密信息的讯息,或导向加密网关,以便安全地传送。
Symantec™ Data Loss Prevention Endpoint Prevent :
可拦截透过电子邮件、实时通讯、网页或 FTP 传输;复制到 USB、CompactFlash、SD 或其他抽取式媒体装置;刻录至CD/DVD;复制或贴上;透过打印屏幕功能撷取;或者是以电子化方式打印或传真的档案。
 
采用 Symantec Data Loss Prevention,您可以:
•建立自定义政策,将您选择的档案加密或 ERM 功能套用到不安全的产品设计
•触发端点安全动作可在用户尝试将机密数据不当复制到 USB 时,锁定笔记本电脑
•利用自动寄送信件和显示在屏幕上的注意事项,教育员工信息安全政策
•保障机密数据,避免存放在未经授权的地点
•防止内部产品价格表公布在合作伙伴的 Web 入口网站上
•防止客服中心代表透过电子邮件寄出信用卡号码而违反 PCI DSS
•防止员工将原始码复制到 USB 装置上
•防止员工将数百万个机密 CAD 设计图刻录至 DVD
 
图四. Symantec Data Loss Prevention 之组成模块与组件
 
4.管理 : 管理与强制执行整合式数据安全政策
您知道...
•如何在整个组织与企业内自动强制执行您的数据安全政策?
•如何赋予您的业务单位保护其数据的能力?
•如何改变员工的行为,以强化数据保护的观念?
愈来愈多的组织与企业正面临强制执行 IT 安全政策的挑战。 由于分散各地的工作团队愈来愈多,而且员工通常会在企业网络以外工作,因此很容易就会出现不符合内部规定的不良业务流程。Symantec Data Loss Prevention Enforce Platform 能让企业在整个企业内管理与套用整合式数据安全政策。
 
在全方位的管理控制台中,Enforce Platform 可让企业一次完成政策的定义,然后在所有地方均强制执行该政策。Enforce Platform 是专为业务使用者所设计,在违反政策的矫正与报表方面非常容易使用,因此管理该解决方案所需的人力资源就能减至最少。它先进的侦测技术能透过整个企业规模的内容和相关内文,确保最高水平的正确性。如此就能协助企业防止机密资料外泄,并维持最低的整体持有成本。
 
关于「管理」的能力,Symantec Data Loss Prevention 包含以下的组件与功能 :
Symantec Data Loss Prevention Enforce Platform :
能在集中化平台中,针对侦测、资安事端矫正流程与自动化、制作报表、系统管理和安全等功能,有效管理所有通用的防止数据外泄政策。
 
利用 Symantec Data Loss Prevention,您可以:
•由单一控制台管理政策,并且在整个组织与企业的网络、端点和储存设备上部署这些政策
•保持最新的法规状态、轻松自定义政策,以及交换政策以与其他使用者分享最佳实务准则
•角色导向的控制台存取功能让业务单位可管理其数据保护政策
•利用主管仪表板 (executive dashboard) 展示降低风险的成效
•将资安事端数据导出到任何应用程序或报告系统,包括企业安全管理仪表板和安全信息事件管理系统,以执行资安事端关联和企业报告
•利用精确的侦测技术以及易于存取完整资安事端信息的功能,减少矫正资安事端的成本
•在端点上透过电子邮件自动实时通知用户,以加强认知并教育使用者
•让使用者以其母语建立政策、管理及响应资安事端以及执行完整的系统管理,所提供的语言达 25 种,包括简体中文、日文和法文
 
 

​​网站应用安全防护

透过网站进行电子商务交易已成为因特网应用之趋势,但对照这些年来有关于网站的资安事件,却都是以应用层面的漏洞居多,也就是说,这些应用层面的安全问题,就是因不当的程序撰写方法所造成的漏洞。在资安人员无法顾及应用程序内容的安全问题,而程序开发者又只管将程序功能写好,却无法了解应用程序内所可能产生的安全漏洞情况下,网站正面临了许多传统防火墙或入侵检测防护系统所无法保护的应用层次攻击,该如何确保网站能正常营运,免于因为网站应用程序的漏洞而受到攻击,并进而避免后端数据库之数据外泄,将是网站应用的面临的重要课题。
 
图一.应用程序防火墙保护层次差异示意图
 
iMPERVA 网页应用程序防火墙Web Application Firewall解决方案
iMPERVA SecureSphere提供全系列之数据安全防护解决方案与产品线, 针对网站安全应用需求,我们提供 iMPERVA 领先业界的网页应用程序防火墙(Web Application Firewall, WAF)解决方案,来保护网站应用免受攻击与数据破坏。
 

图二. iMPERVA 数据安全防护解决方案架构示意图

iMPERVA SecureSphere WAF 通过 iCSA Labs WAF 认证,具备以下的特点与效益 :
 
•监控和保护网站应用
iMPERVA SecureSphere 采用多层次攻击关联性检查确认 Correlated Attack Validation 和多重安全防护机制来提供最安全的保护,可防御众多种类的应用程序攻击,有效防御 Open Web Application Security Project(OWSAP) 历年所公布之 ToP 10 应用程序攻击。透过执行 HTTP 协议验证,可以防止包括缓冲区溢出、恶意编码、HTTP 伪装以及非法服务器操作在内的协议滥用。针对网站服务器弱点、中继软件弱点和平台弱点中的已知攻击,以 iMPERVA 应用防护中心(ADC) 提供超过 6,500 个特征码来提供广泛的保护。 iMPREVA SecureSphere还可以透过检测和识别网站蠕虫独特的特性组合,来抵御零时差网站蠕虫攻击。此外,iMPREVA SecureSphere检查网站服务器响应信息以识别潜在的敏感数据泄漏。除了报告在应用程序中何处发现了敏感数据外,还可以选择阻止这些信息从网站泄漏。
 

图三. iMPERVA WAF多层次关连性攻击检查确认机制示意图
 
•符合 PCI 6.6 资安稽核的需要
iMPREVA SecureSphere包含 300 个以上内建之报表,可自动符合法规要求。提供业务相关报表,因此工程、业务单位主管和 PCI 稽核员可以按各自的特定要求查看相对应的报表。
 
•透过动态建模(Dynamic Profiling)技术,达到自动化的维运安全
iMPREVA SecureSphere 准确实施网站应用安全措施需要了解无数不断变化的变量,包括 URL、参数、表单域和 Cookie 等。 iMPREVA 已申请专利的创新性动态建模技术可自动建立所有网站应用组件的行为模型,并设定可接受使用者行为的基准。透过建构应用使用情况的准确行为模式或是「白名单」,动态建模简化了监控和安全规则设定的工作,不需要大量手动设定和调整。此外,还持续自动检测有效的应用修改并将其纳入到应用行为模型中。
动态建模还可以产生应用的完整行为模型报表,其中包含真实使用情况统计信息,可用于稽核实际应用使用情况是否符合预期。
动态建模提供应用程序用户追踪功能,能自动获取网站应用的使用者名称并将所有后续的会话行动与这个使用者名称的关系关连在一起,因此能够按使用者监控、实行政策和进行稽核。
 
•提供低延迟、高效能与企业级的管理和报表功能
iMPREVA SecureSphere 提供每秒数 GB 的传输量、数万次的事务处理量,同时还能将延迟时间保持在低于秒毫的等级。可提供业界所有 WAF 中最多种之建置部署选项,并支持分布式部署方式,可以进行扩展以保护大型或分布式数据中心。此外,并支持广大范围的高可用性选项,以提高 WAF 系统之高可用性。
iMPREVA SecureSphere 集中实时展示页面,提供一个高阶的系统状态与安全事件图形,可以方便地对告警进行搜寻、排序,还可以直接将其连结到相对应的安全规则。提供丰富的图形报表功能,管理者能够轻松地了解安全状态并符合法规需求。
 

图四. iMPERVA WAF 建置部署选项示意图
 
 

​​​数据库安全防护

对企业与组织而言,数据库存放着各式系统的关键数据,数据库对外必须防御资安攻击与数据窃取,对内则需要防护具存取与管理权限者的存取行为与数据外泄风险,此外还须防范内部而来的资安攻击,因此要想强化数据库安全,须通盘考虑内外风险与部署。此外,因数据库遭窃取而导致数据外泄的事件层出不穷,企业部署数据库安全管理机制有其必要性,在加上台湾已正式施行新版「个人资料保护法」,企业与组织在因应新版「个人资料保护法」的挑战时,也必须考虑评估数据库安全稽核与防护的解决方案,以确保存放于数据库中的个人资料安全,并能做好数据库稽核与举证工作。
 
通常企业与组织于数据库稽核会面临到以下的问题 :
● 现行数据库环境及状况?
-- 到底有哪些数据库?
-- 存在哪些安全弱点?
●数据库被存取的状况?
--人 : 哪些人会存取?
-- 事 : 执行过哪些指令?
-- 时 : 时间点?
-- 地 : 来源IP? 用什么应用程序?
-- 物 : 存取哪些资料?
● 要制订哪些稽核政策?
● 该怎么呈现稽核结果?
● 除了稽核之外,是否能更进一步对数据库存取设定安全政策? (告警或阻断)

iMPERVA SecureSphere 数据库安全稽核与防护解决方案
以iMPERVA的数据库安全稽核与防护解决方案而言,从监控(Database Activity Monitoring,DAM)、防火墙(Database Firewall) 到用户权力管理(User Rights Management for Databases,URMD),以单一管理平台提供完整解决方案,企业可依照需求开启模块使用,可在不影响网络架构以及既有网络效能的前提下达到数据库安全防御。
 
图一. Imperva Database Security Solutions 包含以上之 Solution 组件
数据库监控用以解决数据库稽核需求,可将数据库存取行为记录下来,以提供事后追踪和举证;数据库防火墙可协助企业制定安全政策,提供事前告警与防御能力;而用户权力管理则可用来区隔使用者,还可将权限管理的数据提供合并管理,作为稽核报告使用。也就是说,用户权力管理可用来确保「对的人存取对的数据、执行正确的行为」。
 

图二. Imperva Database Security Solution 组件之功能
数据库安全管理须留意部署架构是否可能影响现有网络环境,以及是否损及数据库存取与运作的效能以及稳定性。iMPERVA以网络网关设备型态提供数据库安全解决方案,企业与组织可依照网络环境与需求选择功能模块以及部署型态,符合弹性部署且不影响网络效能,举例来说,数据库监控可采以监听侧录的方式部署,不须更改网络设定;而数据库防火墙则建议企业采以在线模式(inline)较能发挥立即防御效果。 iMPERVA的数据库防火墙采以穿透式在线桥接(inline bridge)部署模式,或者也可选择在Client端安装轻量化代理程序(agent),两者皆不会影响现有网络架构以及数据库存取运作效能,且可以单一管理平台统一控管各项模块机制,对于企业而言控管也较为简单且安全。
 

图三. Imperva Security Solution 完整部署 Example
 
iMPERVA SecureSphere 数据库监控网关 对数据库活动了如指掌
企业与组织在因应新版「个人资料保护法」的挑战时,基本上可优先考虑采用数据库监控(Database Activity Monitoring,DAM)的解决方案,以监控稽核数据库的存取,并可提供数据库存取的轨迹数据,以利稽核与举证。以下即针对 iMPERVA DAM 的解决方案,进一步介绍与说明。
iMPERVA SecureSphere 数据库监控网关Database Activity Monitoring (DAM) 解决方案,透过实时监控和事件分析来稽核和保护数据库数据,可帮助企业:
» 取得完整的数据库活动细节
» 利用灵活的视图和稽核分析使稽核数据容易取得
» 产生对数据库攻击和欺骗性活动的实时告警
» 建立数据安全与遵循法规周期
» 自动化与集中化的数据库稽核与报告
 
无以伦比的数据库可视性
SecureSphere Database Activity Monitoring (DAM) 使您能深入了解并保护所有主流数据库平台 (包括 Oracle、MS-SQL、IBM DB2、Sybase、Informix、MySQL 和 Teradata)。SecureSphere DAM支持所有数据收集方法并提供最灵活的部署选项。SecureSphere DAM可部署为 non-inline 网络监控设备,同时配合轻量级 Secure Sphere Agent,还结合了内建数据库稽核工具,也可以采用混合组合的方式工作,因此透过它可了解所有活动类型的情况,包括本机特权活动。它建立了一套详细、独立的数据库活动稽核记录,并可以防止篡改。集中管理服务器可对多个分布式 Gateway 和 Agents 进行集中管理。
 
iMPERVA DAM解决方案特点与效益
采用市场领先的iMPERVA SecureSphere 数据库监控网关 DAM 解决方案, 能协助您全面了解数据库活动。SecureSphere数据库监控网关解决方案能为关键数据库平台提供同级产品最好的自动化稽核和安全保护,透过探索和评估、持续稽核和有效的衡量方法来帮助企业了解其数据库活动和存在的风险状况。
 
iMPERVA SecureSphere 数据库监控网关 DAM解决方案 具备以下之特点与效益 :
 
1.探索和弱点管理
数据库探索和分类
SecureSphere可确保企业能够保护所有敏感数据并区分其优先级。基于整个网络的探索可了解数据库服务器间的数据。基于数据库包含的数据类型对数据库进行分类可帮助企业对应所发现的服务器并区分其优先级,从根本了解哪些服务器属于法规监管的范围。
广泛的弱点评估
SecureSphere包含一套完整的平台评估测试、RDBMS弱点评估和最佳做法,这有助于企业纠正和控制其数据库的设定配置并实现整体弱点管理策略。这些评估测试会与 Imperva应用防护中心 (ADC)研究小组的最新研究保持实时更新。
用户权力管理(URM)
可选URM附加功能提供汇总,查看和分析在数据库系统上过度和睡眠状态的用户权力。
 
图四.Imperva DAM 之 User Right Management 功能
 
智慧行为评估
行为评估是一种独特的方法,可以使您了解用户和应用程序实际上是如何存取和操作数据库的数据。SecureSphere构建一个用于分析与报告的全面使用行为模型,该模型提供详细的活动信息,如时间/日期、来源/目地、用户、用户端应用程序等,该模型还可用于发现异常活动。
 
2.自动稽核和安全保护
SecureSphere包含一套完整的预设稽核与安全政策,可以迅速监测任何数据库的环境。这些规则基于“黑名单”和“白名单”安全模块,这些模块可透过Imperva 已申请专利的动态建模(Dynamic-Profiling)技术以及 Imperva ADC不断更新的研究成果得以持续更新。动态建模(Dynamic Profiling)技术可持续自动检测并纳入有效的更改,使管理员不必再手动新增和更新包含了成百上千个数据库对象、使用者和SQL查询的冗长白名单。
 
3.持续稽核与分析所有数据库流量
详细稽核并持续实时监控所有数据库的操作可为企业提供每个事件处理的详细稽核记录,包含:「何人、何时、何处和如何及做什么」。SecureSphere撷取所有数据库活动,这些活动包括 DML、DDL和DCL活动、查询活动(SELECT)、对储存程序、触发程序和数据库对象的修改以及SQL错误和数据库登录活动。SecureSphere还监控(还可选择稽核)数据库响应以确保不会泄漏敏感数据。
 
管理安全对策和更改
SecureSphere实时监控数据库活动并检查各种操作系统、协议层及SQL层的数据库攻击。透过详细的行为更改稽核可以准确的针对欺骗性活动、数据库修改以及攻击进行告警-发送实时告警、分配后续任务以及确保变更的控制。

独立的监控和稽核
作为一个独立的监控解决方案,SecureSphere不需要启用自身稽核工具,也不依赖DBA来执行和维护。SecureSphere利用网关设备来监控网络流量,利用轻便的SecureSphereAgent来撷取本机活动并消除问题点。这种非入侵式的混合体系结构可确保稽核的独立性与职责的分离。

防止篡改的稽核记录
SecureSphere监控详细的稽核数据,将其储存在一个安全的外部硬件储存设备中,可透过只读的方式来存取。基于管理和安全使用的目的,该储存设备中使用以角色为基础的访问控制(RBAC)。为了确保稽核数据的完整性,还可以对其进行加密。

验证及控制特权数据库活动
特权用户、DBA负责管理和维护数据库,他们需要更高的权限来存取系统资源。全面了解特权活动和实时告警功能,可以确保只有得到授权的应用程序和用户才能存取敏感数据或执行对数据库架构及内容的变更。
SecureSphere轻量化Agent可消除盲点,确保全面了解和保护所有网络与本机特权用户的操作,这些操作包括数据定义语言(DDL)命令、数据控制语言(DCL)命令、数据操作语言(DML)命令和 SELECT。监控特权用户的活动对于全面保护数据库免受内部欺诈和泄漏以及外部攻击是非常重要的。

4.简化法规工作
交互式稽核分析
通过交互式稽核分析可以全面了解所稽核的活动,这可使不了解技术的数据库稽核人员只需点几下鼠标即可从几乎所有角度分析、关联和查看数据库活动,从而简易识别可能隐藏了安全风险或法规问题的趋势和模式。

同级产品最佳报表功能
SecureSphere提供内建的图形报表,可以很方便地报告受稽核事件,这有助于评估风险并应对法规要求。特定报表用于展示SOX、PCI和其他数据隐私法规的符合情况。排程自动生成报表、发送PDF或HTML格式的结果以及与 SIEM、问题处理系统和其他第三方解决方案的整合简化了业务处理。

数据库的风险管理
SecureSphere大大减少了有效地管理数据风险所需的工作。集中展示的页面和详细的图表有助于企业减少防止数据遗失和信息泄露的管制工作,同时降低非法存取和欺骗性活动的风险。
 
5.灵活的部署、较低的总体建置成本
灵活的部署模式:网络、Agent、内建稽核或混合模式
SecureSphere提供最简易的部署选项,包括透通的网络监视、轻巧的Agent监视、自身稽核收集或混合模式。这种非侵入性的体系结构使企业能够以任意方式混合部署,以满足客户特有的拓扑和需求。
 
效能和可扩展性
SecureSphere提供实时的保护和完备的稽核功能,可以很容易地支持任何环境,从中小企业到大型企业,这是其他数据库防火墙解决方案无法与之相比的。

集中管理
SecureSphere提供对SecureSphere 网关的集中管理。这使大规模SecureSphere部署的效率更高。甚至对最大型的企业也支持阶层式的规划管理。
 
图五. Imperva 提供 DAM 弹性之部署方式
 
 

​​​轨迹资料保存与稽核

随着企业的不断发展,并持续追求改善作业效率与环境,企业纳入越来越多样性的系统与软硬件解决方案,当企业各部门成员所使用的应用程序与各种系统的活动不断增加的时候,监控与管理应用程序跟系统所产生的日志与事件,以及如何分析跟萃取这些庞大的数据,便逐渐成为企业最大负担。
 
此外,面对「个人资料保护法」,企业是否能在现今复杂的IT环境与庞大的数据量中有效与精准地检索出稽核数据做为举证,也是企业选择解决方案的重大考虑因素之一。
Novell Sentinel Log Manager 是 Novell 威胁应变中心架构中的日志收集与管理系统,其功能可以协助管理者快速收集各式装置、系统或是应用程序的日志数据,并根据其保存之日志数据,提供快速的事件全文搜寻,管理者可在极短时间内,搜寻并产制相关异常行为的日志数据,不管该异常行为所涉及之日志数据范围有多大,Novell Sentinel Log Manager 都可以胜任其快速搜寻之任务。
 
Novell Sentinel Log Manager可为数据库、操作系统、目录、防火墙、入侵检测/预防系统、防毒应用程序、大型主机、Web 与应用程序服务器提供各种数据收集器,可统一收集与集中化管理设备与系统的日志记录,并提供实时性的数据搜寻与报表产制,可快速的利用管理者所需的数据范围进行过滤与分析,对许多应用程序与装置,提供高事件发生率处理、长期数据保留、区域性数据汇总,以及简易搜寻及报告等功能。
 
Novell Sentinel Log Manager产品特色如下:
★ 日志保存之不可否认性与行为轨迹稽核
★ 弹性的日志保存原则
★ 优于其他竞争产品的 EPS 率 (>10K eps) - 采用高效能MQ架构
★ 单击即可建立自定义报告 (独特的报告制作-利用鉴识轨迹制作报表)
★ 透过 UDP、TCP 及 SSL/TLS 支持 Syslog
★ 支持 NAS / SAN 储存装置以供封存之用
★ 顺畅地报告及查询在线与封存的数据 (支持中文关键词全文检索)
★ 完整的档案稽核功能:整合NPUM完整记录与监控 Windows 与Unix 档案异动
★ 可整合 Novell Sentinel 及其他 Novell 法规相符管理平台
★ 非封闭式单元格式,可提供弹性极大的整合度
 
Novell Sentinel Log Manager架构:
 
安全、高效能且弹性的日志收集
Novell Sentinel Log Manager 除了能提供 Syslog UDP 日志传输收集外,也支持透过更安全可靠的 TCP 及 TLS 协议传送的 Syslog,包括验证和客制化认证支持。Novell Sentinel Log Manager可自动侦测不同的事件来源类型,并具备通用Syslog 收集器,可收集 Syslog 原始日志数据,并可利用全文搜索功能,进行日志数据的关键词搜寻与分析。
Novell Sentinel Log Manager 内建独家高效能讯息总线 (Message Bus) 技术,可提供高速日志收集,保证日志数据收集不遗漏且不会重复,并可保证每秒事件收集处理效能超过 7500 EPS。Novell Sentinel Log Manager 支持 High Availability (HA) 高可用性架构,可弹性扩充事件处理效能。
 
在线与归档数据的查询与报告
多数日志管理系统因为本机储存空间有限的关系,所以部分日志管理系统具备有日志数据归档 (Archive) 功能,但日志归档后的日志时间范围,就无法经由查询找到该时期的日志数据,甚至报表也无法产制了。Novell Sentinel LogManager 支持在线数据与脱机数据的搜寻与产制报告,不需先将归档资料挂接后才能搜寻与产制归档数据或报表,进而大幅简化并加速法规遵循作业,并且可有效节省在线储存装置成本。
安全具高成本效益的布署架构
Novell Sentinel Log Manager 是单一整合性架构,与大部分的记录管理解决方案不同的是,不需另外连接至另一台收集器装置、数据分析装置,或专属的数据归档储存装置,相对减少了解决方案的成本及复杂性,相对的,更可利用Novell Sentinel Log Manager,轻松布署高可用性或负载平衡 (HA/LB) 架构,无需购买额外的硬件,且有效达成日志数据处理效能。
 
简易、轻松管理的操作接口
Novell Sentinel Log Manager 运用 Web2.0 技术,提供直觉式、简单易用且响应迅速的操作接口,带来优越的用户体验。您可以轻松透过该接口来检视数据、搜寻日志数据,并发现潜在问题,管理者除了可以利用简单易用的搜寻语法外,更可利用任何关键词进行日志数据全文检索。
Novell Sentinel Log Manager Web 管理接口也可让您设定数据收集、进行报告产制排程及管理报告样板、建立数据保留规则,并可设定数据过滤并实时触发行动的规则,可触发的行动种类包含电子邮件警示、传送 SNMP 陷阱、写入档案或甚至将事件传送至 Novell Sentinel进行实时处理。
 
实时事件统计分析画面
 
单键报告功能
虽然大多数的记录管理工具内含报告模板,但这些模板在未经延伸设定和客制化的情况下,通常只是综合性报告或是统计型报表,对于管理者与面对稽核角度的检视,都是毫无用武之地的。而这往往需要花费大量心力,才能将这些范本用于处理不同的数据分析情境或产生实用的报告,以符合特定法规遵循或稽核要求。
Novell Sentinel Log Manager 采用数据索引及单键报告方法,能大幅简化用于稽核与法规遵循作业的报告产生程序。使用以 Lucene 为基础的强大搜索引擎, 您只要输入需要报告的准则,Novell Sentinel Log Manager 就会传回一份足以满足许多基本法规遵循和稽核需求的简易结果清单。
这时只要单击鼠标,这些结果就会自动格式化为报告形式,以最常见的法规遵循及稽核报告所需的特定字段和参数来显示结果。您也可以客制化或建立您专属的格式化模板。
Novell Sentinel Log Manager 提供独家技术 Event Taxonomy,管理者可利用已经自动分类事件属性的特别字段进行过滤,例如: Virus、Worm、Trojan、Backdoor、Authentication Failure 等具备高度稽核与分析面向的威胁种类,管理者可利用 Event Taxonomy 字段进行快速过滤,并马上产出适合管理者的详细报告,或是符合稽核的综合性报告。
 
弹性且优化的数据储存
许多记录管理厂商使用专属的储存系统。这种方法除了大幅增加储存成本外,也造成对厂商报告及搜寻工具的倚赖。此外,在未将归档数据迁移回厂商的装置前,您也无法分析归档的数据。这些限制致使资料的修改状况难以获得证明。
Novell Sentinel Log Manager 将收集的记录数据储存在标准储存系统上,并采用国际公认密码模块 SHA-256 进行事件数据储存来确保记录完整性。
为了将储存需求降至最低,这套解决方案会自动以 10:1 的比例来压缩数据。Sentinel Log Manager 可轻松连接至SAN 或 NAS,以增进并扩充归档储存容量。
Novell Sentinel Log Manager 除了提供完整的储存技术外,亦提供储存容量预估功能,可依据目前事件收集量来估算存储器还可储存多久时间,并在存储器到达使用比例告警阀值时通知管理者。