SOPHOS NEWS: 新一代防火牆保護的問題
2018-01-09

新一代防火牆保護的問題

Firewall

       現代的新一代防火牆是專門為防禦如  WannaCry 和 NotPetya 所設計,但是這兩隻蠕蟲都是全球性的,散佈到非常多公司網路而未受監控。

       在這個過程中,一些組織發現了一個令人不安的事實:由於網路保護功能不足,部署不當,或者設定和管理程序過於複雜,新一代保護功能的能力可能會小於個別功能的總和。

       在我最近的文章《防火牆面對的問題》中,我解釋了為什麼對許多網路管理員來說,防火牆已不是他們以前一直可以信任的執法者。在本文中,我將著重討論新一代防護功能讓部分管理員失望的原因,以及可以如何補救。

 

WannaCry 和 NotPetya 如何散播

 

       企業通常會使用一些常見服務來實現所需的網路功能。如果這些服務中的弱點被利用了,則可能會產生可怕的後果。

       WannaCry 和 NotPetya 疫情蔓延到 150 多個國家,入侵企業網路、加密電腦和影響業務運作。它們使用的是 EternalBlue 漏洞,它允許在載有CVE-2017-0144弱點的Microsoft Windows SMB 服務上由遠端執行程式碼。

       SMB 通訊協定在企業LANs區域網路中無處不在,可以讓電腦發現彼此以便共用檔案和印表機等其他資源。如果在防火牆上開啟必要的連接埠或轉送到防火牆,它也可用於企業網路外部的檔案共用。

       Microsoft 在疫情爆發之前已經發布了 EternalBlue 修補程式,但是在許多系統尚未更新之前攻擊就發生了。

       在各個組織之間實施修補程序是一項相當浩大的工程,所以直到修補程序完全部署以前,攻擊者的機會一直都在。

       那麼,如何保護您的網路免於遭受這樣的攻擊呢?如果一個攻擊入侵您的網路,又應該如何阻止它擴散或橫向移動?

       答案是,進入新一代保護的時代。

 

為什麼下一代保護很重要

 

      勒索軟體通常會先進入一個網路,然後以幾種不同的方式散播:

  • 利用網路或系統弱點

  • 透過假的、有害或偷渡式的下載

  • 躲藏在 USB 磁碟機或其他儲存裝置

  • 躲藏在電子郵件附件或網路釣魚連結

 

阻止網路入侵攻擊

 

       IPS (入侵防禦系統) 技術是下一代防火牆的重要元件,它使用深度封包檢測來搜索網路流量以找出特定的漏洞利用,或是可能代表著攻擊的模式和異常情形。

       就像 WannaCry 和 NotPetya 所使用的 EternalBlue 漏洞入侵手法一樣,攻擊通常會使用惡意輸入來感染主機的應用程式或服務,目的是獲得足夠的控制權來執行如勒索軟體等程式碼。

 

阻擋檔案型的裝載

 

       雖然 WannaCry 和 NotPetya 會像蠕蟲一樣散播,但許多勒索軟體變種都是嘗試透過網路釣魚電子郵件、垃圾郵件或web下載進入網路。這些攻擊通常會使用社交工程手段來傳遞 Microsoft Office 文件、PDF 或包含惡意軟體​​的可執行檔。

       駭客已經非常善於躲避傳統的特徵碼型防毒偵測來傳遞這類惡意內容,使得沙箱技術成為web篩選和電子郵件閘道技術的必要元件。

       幸運的是,雲端型沙箱技術箱通常不需要任何額外的硬體或軟體。web和電子郵件保護引擎可以在閘道處識別出可疑檔案,並將其傳送到雲端的安全沙箱基礎架構,以觸發效用並監視其行為。

 

為什麼新一代保護讓人失望 (以及可以如何避免)

 

1.效能不佳

       所有的網路保護解決方案都不一樣。

       不同的防火牆 IPS 引擎效果差別很大:某些已經可以阻止 90% 以上的弱點、漏洞利用攻擊和躲避技術,而某些的成效還不到 25%。

       部分防火牆的每 Mbps 成本高,並會對網路性能產生難以接受的影響。

       幸運的是,如 NSS​​ Labs 的獨立測試機構每年都會對所有主要防火牆廠商的安全效能和性能進行徹底的測試。如需檢視哪些防火牆提供最佳的安全性和性價比,請下載《NSS Labs 測試報告》。

 

2.架設繁瑣

       現代防火牆在整合不同的防護技術方面做得非常糟糕。如果每一項技術都是一項樂器,那麼大多數防火牆聽起來就像是一個不協調的單人樂隊的聲音。每個樂器各自都會發出聲音,但整體效果是雜亂無章的噪音。

       妥善架設新一代防火牆保護通常包含個別設定防火牆規則、應用程式控制、TLS 檢查、沙箱、網頁過濾、防毒和 IPS。

       如果您想要確定已經應用哪些保護措施 (或是想要修改),則需要返回並重新走一遍這 7 個不同的功能設定。顯然地,這種複雜程度導致我們很難確認是否已經對特定使用者或流量類型套用了最佳的保護。

       這種作法複雜又繁瑣,而且風險很大。其實我們還有其他作法可以選擇。

       如需了解解決這個問題的其他更簡潔的作法,以及如何在單一畫面上輕鬆設定所有需要的保護,並且全面了解您的安全狀態,請下載《XG Firewall 解決方案簡介》

 

3.無效的部署

       IPS 和沙箱等防護技術僅在流量實際穿越防火牆時才有效,而且需要在管理流量的防火牆規則上套用適當的實施和保護政策。

       換句話說,如何分割網路並部署防火牆將對防火牆在現實環境中所提供的防護等級會造成巨大的影響。

       如需了解阻止最新威脅的防火牆部署最佳作法,請下載《防火牆最佳作法白皮書》。

 

英文原文連結

(本博文為翻譯本,內容以英文原文為準)

 

如有任何問題,查詢或意見請直接與我們聯繫:

電子郵件:pm@fairline.com.tw

電話號碼:02 2658 1818 Ext.214 聯絡人: 施 小姐

辦公地址:台北市內湖區瑞光路583巷32號五樓