掌握內網與閘道端資料 持續監看潛在惡意行徑

GFW 為核心搭建資安鐵三角 簡單易上手即可保安全性

台北報導 - 2019年8月14日
-

 

在數位化的推展下,以往封閉場域開始增添連網能力,可便於大量資料的蒐集與遠端控管,甚至發展創新應用,問題是,惡意攻擊者亦可藉此管道滲透入侵,企業必須有所防範。 Fortinet 針對台灣企業的所需,整合旗下 FortiGate 、 FortiAP 、 FortiSwitch ,共同組成資安鐵三角解決方案。

Fortinet 業務協理趙超聖說明,以往 Fortinet 較著重 NGFW 於邊界防禦力,也就是 FortiGate 產品線,近年來逐漸延伸到內部網路,為有線與無線建立整合運行。在內網應用場域中的所有裝置皆須接取網路服務,不論是既有辦公室的筆電、平板、手機,亦包含網路攝影機等裝置,使得端點控管能力較以往更重要。 Fortinet 針對端點控管需求,把 FortiGate 變成控制器,統一納管交換器與無線基地台,成為資安鐵三角的核心。

資安設備管控有線 / 無線接取行為

在管理面,交換器與無線基地台本就可藉由 FortiGate 設計的網頁式介面執行統一控管,次世代防火牆機制除了偵查閘道端流量的進與出,同時可向下延伸到交換器與無線基地台。如此一來,所有經過有線 / 無線接取網路服務的裝置,都得接受 FortiGate 控管,才得以順利存取到所需的資源。

「 我們把內網與外網的安全整合在一起進行管控,即形成資安鐵三角,由 FortiGate 統一控管,同時可藉由蒐集取得的資料,建立網路拓樸圖,讓 IT 變得可視化之後,才可進一步偵測與判斷惡意活動,直接透過 Layer 2 予以隔離,也就是透過 MAC 位址來執行。」 趙超聖說。

不論是企業規模大小、是否為分公司,都可透過 FortiGate 整合交換器與無線基地台共同運行。 IT 管理者可透過網路拓樸圖,一目了然現有架構中的節點,並且透過 FortiView 網路流量監控與統計分析功能,點選特定節點查看詳細的資訊,包含主機名稱、 MAC 位址、 VLAN 編號、接取的交換器與連接埠、佔用的頻寬量與封包總數等 Layer 2 可擷取到的細節資訊,並且可依據 FortiGate 內建的威脅項目評分等級,檢查被標示為高風險的流量,追蹤到終端的資訊。

Fortinet 北亞區技術協理劉乙舉例,終端裝置可能因為中毒,不斷地嘗試存取未被授權的資源,因而觸發防火牆執行阻擋,並給予最高評分,經過加總後在報表上即顯示為高風險,此時 IT 管理者即可藉此掌握以降低損害。 「 其實 Fortinet 發展策略向來明確,也就是以擅長的資安領域為基礎,讓 FortiGate 角色成為網路架構中的靈魂。如今 Fortinet 則進一步把閘道端的資安技術往內部移動,結合 Layer 2 交換器與無線基地台執行回應,更重要的是,避免只基於 Layer 3 的封包檢測機制因無法發現封包內夾帶惡意代碼而被繞過。 」

Layer 2 層級隔離以免惡意程式繞過

具備了可視化能力,並能藉此釐清問題根源之後,接下來要處理的是執行回應。趙超聖以大學校區環境為例,園區中有許多行動裝置可接取無線網路,若其中某台網路設備流量突然間大增,佔用過多頻寬,此時管理者可藉由 FortiGate 操作介面點選查看導致流量大增的操作行為,並且搜尋該用戶的 MAC 位址或使用者名稱,即可查知接取交換器與連接埠,進而執行阻斷 IP ( Ban IP )位址、主機隔離 ( Quarantine Host ) 等動作。 「 若基於 IP 位址來執行,終端用戶可能會採取變更 IP 的方式恢復連線,此時可採用交換器與基地台相互搭配,基於 Layer 2 執行隔離來因應。這種做法可說是 Fortinet 較獨特之處。 」 趙超聖說。

劉乙進一步說明, Quarantine Host 與 Ban IP 兩者的差異,在於企業環境若只有 FortiGate ,搭配的是其他廠商交換器則無法指揮執行命令,只能做到 Ban IP ,也就是連線流量經過 FortiGate 當下予以攔阻。問題是,在內部交換器無法先行處置的狀況下,惡意活動可能在內網大肆擴散, Fortinet 才把回應執行的能力延伸到內網交換器與無線基地台,基於同為 Fortinet 旗下的交換器與無線基地台,執行 Quarantine Host ,直接命令連接埠停止服務。

前述大學校區的例子,可基於連線目標位址的網路服務名稱查看流量統計數據,亦可說是 Fortinet 資安鐵三角的特點。畢竟應用場域連網裝置眾多,必須要有一套工具輔助掌握所有裝置的完整資訊,以便於在資安事件或服務中斷時,讓 IT 人員得以有效率地排除問題。

威脅指標引擎分析自動觸發執行防護

前述是偵測發現問題設備時的手動操作處置, Fortinet 資安鐵三角亦具備威脅入侵指標 ( IoC ) 自動隔離,搭配 FortiAnalyzer 平台所蒐集的終端用戶日誌,主動觸發執行。趙超聖說明, FotiGuard 全球威脅情資中心會持續不斷地蒐集全球攻擊事件相關資料,再轉換以服務方式發布到各個設備平台, FortiAnalyzer 則可透過威脅入侵指標引擎,識別具有威脅性的 IP 位址、網路名稱等情資。

 「 以往發生資安事件會採用 SIEM 平台來協助事後處置, FortiAnalyzer 即為 Fortinet 所提供的 SOC ,但並非僅被動接收通知後解決問題,而是在尚未釀成鉅額損失之前主動出擊,把災害降到最低。 」 劉乙說。

FortiGate 較偏重的則是事中偵測機制,至於可能即將發生的惡意攻擊並非 FortiGate 所擅長。若終端用戶瀏覽到最新出現的惡意網站, FotiGuard 威脅入侵指標引擎已經有所掌握,但是 FortiGate 尚未能識別,此時即可把相關日誌送到 FortiAnalyzer ,基於該引擎持續蒐集外部威脅情資進行分析。直到發現日誌中有連線到最新惡意網站的行為,此時必須立即進入事後處置階段,也就是把分析後的結果傳送通知 FortiGate ,即可觸發執行預先設定的隔離、封鎖動作。在 FortiGate 操作介面中,已設計提供自動化功能,讓 IT 管理者依照資安事件處理程序,在偵測發現終端裝置遭受感染時,選擇執行的回應措施,同時發送通知給 IT 管理者。

以往製造業的 OT 環境毋須接取網路,根本不具備資安方面的意識,在 Fortinet 協助部署防護措施後才凸顯出許多問題,例如不應該有溝通行為的主機之間出現頻繁存取,抑或是 OT 環境中的設備不斷地嘗試連線到網際網路的主機。諸如此類的潛在威脅行為,在尚未發生災害前往往不會被重視。一旦內部工廠著手轉型成數位化應用場域,勢必難以迴避資安威脅,現階段必須盡早基於簡單且直覺的操作介面,建立可視化與控管措施,才可為未來應用奠定安全基礎。

文 / 洪羿漣  < 全文轉載自網管人 >
https://www.netadmin.com.tw/netadmin/zh-tw/viewpoint/90A7390D6AB3494588E3AC314A09FCB8

關於 Fortinet ( www.fortinet.com/tw )

Fortinet (NASDAQ: FTNT) 致力保護全球大型企業、服務供應商和政府組織,為客戶提供完整的智慧型安全防護,以因應日趨擴大的攻擊範圍,並滿足無邊界網路在今日與未來造成的效能需求。唯有 Fortinet 的安全架構能提供滴水不漏的防護,並解決網路、應用程式、雲端和行動環境中最嚴苛的安全挑戰。Fortinet 的安全設備出貨量在全球排名第一,並深受全球 40 多萬名客戶的信任。更多有關Fortinet的資訊,請至 Fortinet官方網站Fortinet部落格,或是 FortiGuard實驗室

Copyright © 2019 Fortinet, Inc。保留所有權利。符號 ® 和 TM 分別代表 Fortinet 公司、其子公司及相關企業的聯邦政府註冊商標和普通法商標。Fortinet 的商標包括但不限於 Fortinet, FortiGate, FortiGuard, FortiCare, FortiManager, FortiAnalyzer, FortiOS, FortiADC, FortiAP, FortiAppMonitor, FortiASIC, FortiAuthenticator, FortiBridge, FortiCache, FortiCamera, FortiCASB, FortiClient, FortiCloud, FortiConnect, FortiController, FortiConverter, FortiDB, FortiDDoS, FortiExplorer, FortiExtender, FortiFone, FortiCarrier, FortiHypervisor, FortiInsight, FortiIsolator, FortiMail, FortiMonitor, FortiNAC, FortiPlanner, FortiPortal, FortiPresence, FortiProxy, FortiRecorder、FortiSandbox, FortiSIEM, FortiSwitch, FortiTester, FortiToken, FortiVoice, FortiWAN, FortiWeb, FortiWiFi, FortiWLC, FortiWLCOS 與 FortiWLM

所有其它提及之商標各歸其擁有者所有。Fortinet 並未獨立驗證本處第三方機構所做之聲明或認證,亦不為此處任何聲明背書。即使本文載有相反規定,此處任何內容均不構成 Fortinet的保證、擔保、契約、具約束力的規範或其他具約束力的承諾,也不構成與具約束力的承諾和效能有關的任何意向指示。此處的規範資訊可能僅屬於某些環境。本新聞稿可能包含涉及不確定性和假設性的前瞻性聲明,例如與技術發佈有關的聲明等。我們透過 www.sec.gov 送交給美國證券交易委員會的文件中提及的情況變化、產品發佈延遲或其他風險可能會導致結果與本新聞稿中明示或暗示的結果有重大差異。若不確定性獲得實現或此類假設證明為不正確,結果可能與此類前瞻性聲明與假設所明示或暗示的結果有實質差異。所有非歷史事實以外之陳述即可視為前瞻性陳述。Fortinet 沒有義務更新任何前瞻性聲明,並明確聲明不承擔此義務。