如何選擇網路應用層風險分析系統
企業或單位在選購相關系統時,可考慮以下幾個因素,首先是「全面的網路應用層風險辨識能力」。良好的風險分析管理系統應能辨認各種網路應用程式的流量與種類,若設備的應用層辨識力不足,則無法充分發揮風險鑑別的能力。應用層風險分析管理系統應至少能夠辨識以下類型的網路應用層流量:加密類Tunnel、Web類、檔案傳輸、郵件、P2P、IM、Streaming Media、VoIP、網路遊戲、股票證券、資料庫、網路管理等。
第二是「應用層加密行為的識別能力」,由於有越來越多的軟體運用各種加密技術穿梭於網路之間,像是常見的SSL與HTTPS,即可輕易穿透傳統的防護機制。因此好的應用層分析系統需要對加密軟體具備行為狀態的分析能力,能夠識別正常的、合法的網路銀行流量或不適切的加密tunnel流量。常見的資安威脅軟體譬如:無界、自由門、VPN Tunneling等,便是利用這些加密技術與CA憑證,企圖規避資安設備的管控。
第三是「地域性應用軟體的識別力」,全球各地因為語言、文化、潮流等差異,導致各不同地域所流行的網路應用軟體各有不同。好的應用層分析設備需要能就特定地域而發展的應用程式做迅速的解析辨識(像是台灣常見的便當狗.或正夯的微博),以有效管理特定地域所流行的網路應用程式。
第四是「應用層風險控制策略的全面性」,應用層的風險控制策略不應只有「阻擋」或「通過」,而應更具多樣性控制策略,方能符合各類組織不同的需求。風險控制策略應至少包括:針對特定IP/IP群組/特定應用程式/應用程式類別,進行:阻擋、限制頻寬、限制連線數、限制傳輸總量、甚至是保障企業關鍵業務用應用層的頻寬、最大頻寬、頻寬均分…等控制策略。
第五是「內網惡意行為的阻絕淨化力」,由於設備的部署點多為內部網段,因此良好的應用層風險分析系統應能同步執行與管控異常應用層的存取或阻斷式流量,譬如TCP SYN Flooding、TCP Port Scan…等,除發出警訊給管理者外,設備應可直接予以攔阻或抑止此行為,做到淨化網路惡意流量,提升網路傳輸效率。
建構完整應用層風險分析作業,良善的分析工具取得是需求起點,風險與威脅衝擊分析為任何安全防護的基礎,而安全政策(Security Policy)則是企業所有人員執行安全管理與防護的指北針。如何讓既有安全防護工具能落實與發揮加乘功效之關鍵,就是早一步識別單位內的風險所在。
此外,網路應用層Tunnel的問題,近來因為「社群網站」的興起,愈來愈多用戶使用這些加密式的應用層程式(利用Port 80 or 443),傳統防禦機制幾乎無法辨識這種第7層的網路行為,現今新型態的攻擊威脅,幾乎都是利用這些自行建立的Tunnel滲透進入。因此,惟有定期查核與掌握網路應用層風險狀況才能使企業得到最完整的安全保障。
