早前 WannaCry 和 Petya 兩款勒索軟件相繼在全球引起大規模攻擊,相信大家仍記憶猶新。除了勒索軟件已變成一種產業化的服務 ,Juniper Networks 安全方案架構師梁定康認為,自攜裝置和物聯網裝置的興起是這類攻擊能較易成功的主要原因,同時亦分享了目前企業在網絡保安架構上普遍遇到的問題和挑戰。
大部分機構系統存過時漏洞 網絡保安需求逐年遞增
近期勒索軟件 WannaCry 肆虐,令全球各地數百間機構大受影響,有報告亦指出只有不到 10% 的機構能檢測到勒索軟件的相關活動。而安全漏洞方面,80% 機構的系統存在高或嚴重級別的漏洞,然而大部分漏洞早於過去五年已公佈,換言之,黑客仍可利用多年來的常見弱點和漏洞進行攻擊。加上越趨普及的「勒索軟件即服務」(Ransomware-as-a-Service) 的模式,令掌握這類攻擊的門檻下降,相對地企業受攻擊的風險亦大幅提升。
談及網絡安全的趨勢,近日接受本網專訪的 Juniper Networks 安全方案架構師梁定康認為,產業化固然是近年特別多勒索軟件攻擊的一大原因,但要說這類攻擊為何能輕易地感染用戶裝置以及公司內部的網絡環境,他認為與近年自攜裝置 (BYOD) 以及物聯網 (IoT) 裝置的興起不無關係。
他解釋,員工允許自攜裝置在公司工作,無疑能有效提升生產力,但對網絡保安的潛在威脅亦不容忽視。以最常見的流動裝置為例,在公司時一般會有防火牆確保裝置免受影響,但員工離開公司後在外部網絡下載檔案或瀏覽網站均有機會感染惡意程式,當這些受感染的裝置再次進入公司網絡,若沒有足夠的防護手段,遭感染的裝置更會向其他裝置以至伺服器散播,內部的感染更令人防不勝防。
而物聯網裝置則是另一個日漸受關注的安全議題,梁定康指出,「不少公司都會裝有監視器和傳感器等連網裝置來收集數據或用作保安用途,而這些裝置內的小型作業系統卻未必有充足的保護措施,很容易就會被入侵。而這些裝置遭入侵後就會變成黑客的攻擊工具,用作發動各類攻擊或盜取資料,這種新的入侵渠道非傳統的防火牆或者保安思維可以考慮到。」他說,因此不少企業都要思考如何建立完善的網絡保安架構。
談到勒索軟件,梁定康指 Juniper Networks 發展的 Sky Advanced Threat Prevention 安全防護平台,就能做到檢查殭屍網絡 (Botnet)、命令和控制 (Command and Control, C&C)伺服器,利用不同的機制在雲端上作檢查。除了已知的安全威脅外,不少黑客亦會利用尚未公開的程式漏洞發動零日攻擊,甚至是針對特定組織或公司而進行持續性滲透攻擊,往往令企業防不勝防。針對該類型攻擊,Sky ATP 亦設有獨特機制作防範。
他解釋,Sky ATP 當中具備 Dynamic Analysis 動態分析功能,透過程式碼檢查機制,可分析接受到的外部通訊要求或程式當中是否藏有針對漏洞寫成的攻擊程式碼,配合沙盒 (Sandbox) 機制和機械學習 (Machine Learning) ,有助系統更準確、安全地分析未知程式。而早前爆發的 WannaCry 勒索軟件亦成功被 Sky ATP 偵測並攔截。
▲ Juniper Sky ATP 偵測出 WannCary 勒索軟件的加密惡意行為
▲ Juniper Sky ATP 中關於 WannaCry 的行為分析報告
SDSN 協調網絡設備 Juniper Networks 冀讓企業 IT 管理自動化
「勒索軟件的頻發攻擊,無疑令企業的防護意識已提高。」梁定康表示,很多時企業採用 Best of Breed (BoB) 的策略,選用不同品牌的最佳設備和軟件來組成一個不同層面的防護方案,這種做法無可厚非,但如何有效管理不同品牌的防護產品就成為企業的最頭痛的問題,畢竟需要更多的人力、資源投放去調教這些不同的產品,才能得到最好的效果。
傳統來說,企業內部網絡架構由網絡系統、終端裝置、伺服器到儲存系統等不同 IT 領域都有專門的保安專家廠商,可說由相關專家處理不同領域才是最好的。但問題是,正如球隊內即使每位球星,如果不能互相協調支援也無法發揮出戰力,梁氏指 Juniper Networks 的角色便正是協調者,提出軟件定義安全網絡 (Software Defined Security Network, SDSN) 的概念和方案使不同的保安方案能夠互通,讓 IT 管理人員更快速回應資訊保安威脅。
舉例來說 Juniper Networks 的網絡安全裝置發現有危險的惡意檔案正要進入公司網絡,除了能夠阻止之外,IT 管理人員也能中央管理其他保安方案,例如檢查公司內部有沒有電腦已受到該惡意程式感染、檢查電郵系統裡有沒有相同的惡意檔案正在散播等,甚至是直接與路由器和交換機等硬件直接溝通下達指令,隔離或封鎖受感染的設備,使不同品牌的保安方案不再各自為政,無疑企業處理保安事故有更簡單從容,而在 IT 管理上變得更為自動化,不用耗費過多資源就能做到保安層面上的統一管理。
不過梁定康亦提到市場很大,不可能有一間方案商能提供所有範疇的解決方案,讓企業的保安管理能自動化,無疑才是對企業和業界創造雙贏局面。他指 Juniper Networks 下半年的主要方向會和更多第三方的廠商合作,廣泛納入第三方方案商的硬件和軟件融入 Juniper SDSN 的架構,做到直接交換訊息管理,進一步發揮軟件定義網絡的優勢,同時亦會繼續上半年推出產品強化 SDSN 架構的方向。