思科主動式網頁安全防禦解決方案
- 闞大成
-
台灣思科業務開發經理 張志淵先生
不管景氣多差,企業對於網路安全的因應之道仍然絲毫不能怠慢,否則,一旦資訊安全處現漏洞,隨時可能為企業帶來龐大的災難,台灣思科業務開發經理張志淵指出,尤其近幾年來網路攻擊模式,逐漸從攻擊網路架構層轉而攻擊網頁,以侵入企業資料中心(Data Center)竊取企業機密資料以及客戶資料,因此,就算許多企業正在進行IT預算縮減,但是,對於網頁安全防禦的投資,絲毫沒有減少。
網頁攻擊盛行,政府、產業皆重視
由於現在企業可以直接在網頁上開發出各式各樣的應用程式,因此,如今有高達66%的駭客攻擊與網頁有關,張志淵強調,現在的駭客與不法之徒,喜歡藉由網頁攻擊,竊取個人資料,然後進行一些不法之事,因此,就算企業建置功能再強大的防火牆,也無法防堵駭客藉由攻擊網頁竊取企業資料庫裡的資訊。
根據開放Web軟體安全計畫於2007年提出的報告指出,2007年十大網頁AP安全性問題,包括跨站腳本攻擊(Cross-Site Scripting)、注入弱點(Injection Flaw)、惡意程式執行…..等。張志淵解釋說,其中位居首位的跨站腳本攻擊簡稱XSS,其攻擊手法為,駭客利用網站上允許使用者輸入字元或字串的欄位,插入HTML與Script語言,因此,當其他使用者上網時,瀏覽器會主動下載並執行惡意程式,然後進行攻擊。根據思科所作的資訊安全檢查與統計,發現高達80%的大型網站沒有針對XSS做防護,也難怪近年來網站攻擊事件層出不窮。
有鑑於網頁安全受到全面威脅,目前,全球各國政府陸續制定出個人資料保護法(簡稱個自法),張志淵說,台灣個資法也預計在今年三讀通過,如果順利明年就會進入輔導並實際執行,未來,如果企業發生客戶資料外洩,不只商譽受到影響,還將遭受罰款。
政府之外,產業本身也高度重視資料保護,尤其許多人因為使用線上交易,而導致信用卡資料外洩,然後遭到盜刷,這對銀行業帶來很大損失,因此,由VISA、MasterCard、JCB在內的五大組織所制定出支付卡產業(PCI)資料安全標準,目前美國已經開始實施,亞洲各國也將在今年開始執行,未來,各行各業在進行支付卡交易時,都必須遵守支付卡產業(PCI)資料安全標準所要求的步驟,有效控管內部與外部資料洩漏的風險。
防堵網頁漏洞,企業要怎麼做
張志淵進一步強調,基於個資法與PCI資料安全標準,使得各行各業莫不積極尋求可以降低網頁遭受攻擊機會的網頁防禦產品。很多技術人員可能會質疑,要防堵網頁遭到入侵,只要不斷修正網路語法如HTML,就可以完成,為什麼還要購買設備產品呢?張志淵解釋說,根據經驗法則,每1000行程式碼(Code)平均就有15個安全問題,每一個應用程式至少會有1525萬個Code,如果修復每一個漏洞要6個小時,可以想像企業要自己修補網頁漏洞,要花多少人力與時間。
「還不如把這些時間,放在開發新的IT應用與服務上面。」張志淵說,用人檢查Code,還不如直接藉由硬體來完成,反而一勞永逸。他以思科的資訊安全產品為例指出,思科資安產品分成四大塊,分別為End Point安全、網路安全、資料安全與應用程式安全,其中資料安全與應用程式安全就可以完善解決資料外洩問題,而在應用安全方面則是藉由網頁應用程式防火牆(Web Application Firewall;WAF),來防堵攻擊的發生。
藉由簡單的使用者介面以及容易管理的介面,思科提出WAF相關解決方案。雖然現在許多廠商提供的安全產品也都強調有WAF功能,但是,張志淵強調,防護不能只做到網路的3~4層,至少要防護到第七層的封包內容過濾。因此,思科的WAF具備可對後端伺服器及應用程式錯誤訊息,進行客製化遮蓋,也可以支援使用者自行客製化過濾規則。
此外,有鑑於PCI將在全球被廣泛重視,再加上10大攻擊事件會持續更新,因此,思科WAF在軟體上的功能,則包含PCI防護,確保企業有按照PCI流程執行網頁安全,並且將10大攻擊事件列上來,如果有新的攻擊,也會不停進行更新。
