Check Point第五代防護 全面阻止未知威脅入侵
- 張丹鳳/台北
-
隨著近年資安事件層出不窮,讓多數企業戒慎恐懼,紛紛強化資安投資;而涵蓋防火牆、入侵防禦、應用程式管控、Anti-Bot等多重機能的次世代防火牆(NGFW),便是企業佈局的重心。以Check Point觀點來看,NGFW可定義為第三代防護,仍奠基於特徵碼分析,擅長防禦已知攻擊,但若遭遇APT、勒索病毒等未知威脅,恐力有未逮;因此企業的防護思維亟需向前推進。
Check Point台灣區總經理劉基章指出,為了因應未知攻擊,資安業界早已推出沙箱技術,不再倚賴特徵碼過濾、而取決於Payload分析,此可歸類為第四代防護,目前導入該技術的企業比重約有一成;儘管第四代防護仍待推廣,但Check Point認為,肇因雲端、行動化、物聯網(IoT)、人工智慧(AI)等數位浪潮席捲,不論員工或裝置的連網行為皆大幅變化,企業單靠大型閘道、搭配沙箱技術進行防守,顯然並不足夠,所以該公司揭櫫第五代防護新概念,標榜憑藉Infinity全新架構,統一執行閘道、端點、行動、雲端的安全控管。
以統一安全管理,實現第五代防護
劉基章進一步說,伴隨IoT發酵,衍生諸如工業4.0等智慧應用,導致原處於封閉環境的系統或設備,例如工業控制系統(ICS)、資訊採集與監控系統(SCADA)等,都陸續連上網際網路,連帶讓駭客開始覬覷操作科技(OT)系統,無奈IT、OT資安防護內容有所歧異,以致無法透過既有IT防護系統來集中管制;然而Check Point的Infinity,則是唯一能兼管IT與OT的安全架構,譬如藉助其中NGFW達到實體網路隔離,藉以切開應用系統、使SCADA、Database、ERP、MES...等等重要系統都有各自疆界,縱使各別系統遇駭,也可將災難限縮至最小,另可運用SandBlast先進沙箱技術,抵禦APT等未知威脅。
具體來說,綜觀今後數位應用環境,不管是閘道、行動網路、終端裝置或雲端服務,皆可能成為駭客的入侵點,通通都是防禦破口,若企業選擇引進多套廠牌系統,針對這四大破口建立防線,容易產生諸多盲點,首先不同防護系統之間約有20%功能重疊,因而出現疊床架屋,其次每套系統皆有不同的原廠、SI與保固期限,意謂資安管理者必須學習多種技術,執行繁複的維運管理,這些複雜因子,都可能淪為風險。
透過第五代防護管理系統Infinity,企業可藉助常見的軟硬體配置方式,或是有助於將CAPEX轉為OPEX的服務訂閱模式,快速建立來自Check Point單一廠牌的防火牆、入侵防禦、NGFW、沙箱、雲端安全、行動安全等完整機能,且經由CloudGuard SaaS遏止駭客劫持雲端工作負載帳戶,從而化繁為簡,經由集中化機制統一管控眾多功能,擺脫疊床架屋疑慮。
藉助Compliance Blade,從容克服法遵挑戰
「資安是0與1概念,只要被攻破,所有努力皆白費。」劉基章強調,企業欲守護數位資產,就必須摒棄「差不多」的習性,切忌便宜行事引進防護功能不到位的產品。為了幫助企業戰勝駭客,Check Point提供許多獨特防護系統,如前面提到的SandBlast,是罕見內建「檔案內容清理與重建」(CDR)技術底蘊的沙箱,可透過威脅萃取技術,將第一封等待過濾郵件的巨集加以去除,以無害化純文字型式傳遞給使用者,達到最佳預防功效。
不可諱言,資安攻防是一場無休止的矛與盾戰爭,駭客總是設法磨利他的矛,意圖刺穿你的盾;換言之,隨著駭客技術精進,當然可能成功規避沙箱。有鑑於此,CheckPoint貼心提供多道防禦利器,讓駭客就算辛苦闖過沙箱這一關,也難展開後續攻擊活動;例如可裝載於各端點的Anti-Ransomware代理程式,一旦偵測到針對大量檔案加密的異狀,便可提前根據將被加密的檔案,進行快照與儲存,又或者像是硬碟加密方案,蘊含CPU層級的偵測技術,當有人企圖以夾帶毒害的USB插入ICS等關鍵系統,都可在第一時間予以剔除。
另值得一提,隨著針對行動裝置而設計的惡意App、惡意SMS短連結日益增多,加上惡意Wi-Fi AP威脅揮之不去,企業愈來愈難確認員工手機是否安全無虞,此時便可利用SandBlast Mobile防治這些行動威脅,避免惡意程式被帶入內網。此外因應GDPR、ISO27001等日趨迫切的法遵需求,企業可援引Check Point的ComplianceBlade,協助持續計算合規達成率,不斷執行最佳實務演練,將違規風險降至最低。
