當前愈來愈泛濫、猖獗的 DDoS 攻擊,往往會造成企業關鍵基礎設施與服務的中斷,面對有著排山倒海之勢的各類型 DDoS 攻擊,企業頂多只能透過各種 DDoS 緩解方案,來盡可能地降低關鍵服務可用性所承受的壓力及傷害。但光靠 DDoS 緩解方案並不足夠,畢竟有許多駭客會藉著來勢洶洶的龐大攻擊波,而行入侵與竊密之實,SafeNet 亞太區資訊安全顧問經理伍尚池強調指出,唯有加密、身分驗證與金鑰管理機制的相互搭配,才能建立完善因應各類型 DDoS 攻擊的縱深防禦平台。
從資料保護面來緩解 DDoS
當前 DDoS 大致劃分成基礎設施層與應用層等兩種 DDoS 攻擊,目前比例上以前者居多,這是因為前者的攻擊門檻比後者來得低,即使對 IT 技術不甚了解的有心人,也可透過網路現成的惡意攻擊工具來發動諸如 DNS-based 之類的基礎設施層 DDoS 攻擊。伍尚池坦言指出,對於基礎設施層 DDoS 攻擊,SafeNet 解決方案可以著墨的地方不多,但面對應用層 DDoS,可藉由該公司高強度身分驗證方案,來有效降低 DDoS 攻擊的影響性。
他以 SONY PSN 遭駭事件為例表示,這起事件雖然一開始是以遭到 DDoS 攻擊而揭開序幕的,殊不知大流量攻擊只不過是掩護實質竊密行動的煙霧而已。換言之,過往一旦遭受 DDoS 攻擊,往往會耗費過多時間與精力在大流量的排除上,而忽略了更重要的資料保護工作。
長久以來,SafeNet 一直被視為能提供當前最全面性資料保護方案的專家,舉凡雙因素認證、資料庫加密、儲存加密、虛擬機器加密、檔案伺服器加密及金鑰管理等方案應有盡有,透過這些方案,便可有效確保資料安全。
再者,當前網路上並充斥著各種 DNS-based 攻擊,對此 SafeNet 透過 DNSSEC 數位簽章來確保 DNS 協定與 DNS 伺服器的安全,以及資料在傳輸過程中的不可更改性,進而有效減緩 DNS-based DDoS 攻擊的影響。伍尚池進一步表示,針對應用層反射攻擊,SafeNet 並提供專為政府與金融業者量身打造的應用層防護顧問服務,藉由更安全協定設計的建議及諮詢,讓 DDoS 反射攻擊的風險降低。
資料加密與情境式身分驗證的完美結合
整體而言,SafeNet 是以資料加密保護與身分驗證兩大系列軟硬體方案,來協助客戶有效因應當前各類型 DDoS 攻擊所可能帶來的資料外洩風險。其中在資料保護上,從各類型應用伺服器、資料庫到虛擬機器, SafeNet 都能提供相應的加密方案,即使企業系統或網路遭到漏洞攻擊,也能確保資料不會有外洩的疑慮。
但為了確保唯有具備合法權限的人才能存取加密資料,故需另外搭配高強度認證方案,對此,SafeNet 除了硬體令牌 (Token) 外,同時也支援可在任何品牌手機上方便顯現的軟體令牌。伍尚池強調指出,不僅如此,該公司並進一步提供以情境為基礎 (Context-based) 的身分驗證與存取控制機制,除了帳密結合令牌的雙因素認證外,該機制同時會依據使用者關於來自什麼地點、IP 位址及時間點等問題的回答,來決定適合的存取權限,這對應用層 DDoS 風險的減緩最具成效。
前不久,Amazon 因 Elasticsearch 分散式搜尋引擎軟體服務漏洞,而導致虛擬實體 (instance) 有遭到駭客劫持的風險,再再突顯出當前虛擬機器有淪為駭客殭屍網路成員的安全疑慮存在,對此,SafeNet 透過虛擬機加密與情境式身分驗證之雙重安全防護機制,便能有效減低上述風險的可能性。
隨著企業內部有愈來愈多重要軟硬系統、端點、網路或儲存裝置添增加密機制之後,任何一個金鑰外洩都可能引發關鍵系統與基礎設施出現惡意入侵與資料外洩的嚴重風險,因此金鑰管理便成為必須面對的重大課題。伍尚池表示,SafeNet 金鑰管理系統,透過金鑰管理互通協定 (Key Management Interoperability Protocol,
KMIP) 的支援,因而能夠相容連接不同廠商的資料加密方案,讓企業能夠輕鬆發揮各種金鑰與安全的集中管理效益。
正因為 SafeNet 同時提供軟硬加密、高強度身分識別與集中化金鑰管理方案,因而成為能提供當前最完善資料保護方案的安全商,並連續三年獲得 Gartner 身分驗證魔力象限領導者的殊榮。
構築資料安全的最後一道防線
隨著個資法正式實施後,台灣不乏有許多產業開始透過 SafeNet 各類資料安全方案,來因應法規遵循與資料外洩防護上的要求,其中尤以政府與金融業為然。除此之外,台灣政府、金融業、高科技產業與遊戲等軟體開發商也一直飽受各類型 DDoS 攻擊的威脅,SafeNet 久經市場驗證與肯定的加密、身分識別與金鑰管理三大方案,已然成為有效減緩 DDoS 攻擊威脅的重要組合搭配方案之一。
面對今後的資安議題與技術發展走向,SafeNet 仍會持續將重點放在加密、身分識別與金鑰管理三大部分上。伍尚池進一步透露指出,該公司已開始與 Amazon 等方案商合作,推出 Authentication as a Service 的認證雲服務,同時今後 SafeNet 三大資料安全方案不排除會走向以雲端服務等更便利的形式呈現。
伍尚池提醒指出,長久以來,資料竊取一直都是當前 APT、DDoS 或詐騙等各類型攻擊的階段或終極目標,也因為如此,透過加密等機制來為企業築起資料安全的最後一道防線,絕對是當前多層次資安防護機制中最重要的安全基礎。
資料來源:http://news.networkmagazine.com.tw/classification/security/2014/08/29/64311/
沒有留言:
張貼留言