當前網路攻擊已到了空前複雜的局面,從大規模DDoS攻擊,到針對SSL網路協定弱點的「心在淌血」(Heartbleeding)與「貴賓狗」(Poodle)漏洞攻擊,以及讓老舊網路設備與新興物聯網(IoT)裝置同受其害的「殼層衝擊」(Shellshock)漏洞攻擊,無一不是震撼全球的可怕威脅。
但網路攻擊威脅尚不止如此,F5 Networks大中華區資深技術總監莊龍源指出,事實上運用傳統釣魚網站及中間人攻擊(Man-in-the-Middle, MitM)手法的網路詐騙,遠比上述威脅所造成的影響更為嚴重,只不過其被追新求快的媒體報導光芒所掩蓋罷了。
從DDoS、協定漏洞到應用漏洞的Web安全威脅
當前網路安全彷彿面臨戰國時代一般,不但各類網路攻擊紛至沓來,而且莫不一付來勢洶洶的模樣。打從歐洲非營利反垃圾郵件組織Spamhaus遭到史上規模最大的DNS反射攻擊以來,全球各地幾乎每隔一段時日就不斷連番上演規模日勝一日,且攻擊層面從網路層到應用層無所不包的巨量DDoS攻擊戲碼。
就在DDoS仍在全球各地大拉網路安全警報的同時,全球66%網站都在使用的SSL加密協定又分別爆出OpenSSL Heartbleed及SSL 3.0 Poodle漏洞,在全球各大組織疲於應付之際,超過50%以上的全球伺服器,又再度陷入嚴重程度比起Heartbleed及Poodle漏洞有過之而無不及的Shellshock漏洞風暴中。
面對上述三大漏洞,許多企業被動等待漏洞修補,莊龍源表示,過去許多企業認為直接在伺服器上建立SSL加密連線的做法很安全,但其實再也不是在網路上放一個單點設備就可行,而必須從網路層到應用層逐一做好完備的檢視與佈局才行。
莊龍源指出,面對兩波SSL協定漏洞問題,這次幾乎採用F5負載平衡方案的用戶都沒有受到影響,因為客戶可以自行或透過經銷商工程師,將SSL移交到伺服器負載平衡設備上,便能透過SSL加速技術,來進行SSL加密連線的控管,進而確保伺服器與瀏覽器之間SSL加密連線的安全無虞。
至於Poodle漏洞,透過拒絕TLS協定降級成SSL 3.0的政策配置,只消一分鐘就可以解決。即使是遇到非要採用SSL 3.0的企業網路環境,也可透過BIG-IP設定從內部網路連線者可以降級,外部網際網路連線者全面禁止的政策,也能杜絕Poodle漏洞攻擊的危害。此外,在Shellshock漏洞爆發當天,F5 DevCentral社群網站上立即便有專家貼出教導用戶如何透過iRule有效解決的文章。
網路詐騙才是頭號Web威脅
針對Web安全威脅大致分為兩種,一為針對企業,一為鎖定用戶。但時至今日Web安全威脅已然變得異常複雜,不但從DDoS到網路協定漏洞,再到應用程式漏洞攻擊應用盡有,而且攻擊層面同時涵蓋網路層到應用層。
莊龍源強調指出,事實上當前最嚴重的Web安全仍屬網路詐騙這個歷久不衰的骨灰級威脅,今年6月間便出現專門針對大型網路銀行的木馬程式Dyre,使用者感染Dyre的同時,會被植入包含全球目標銀行列表與BotID的設定檔。接著該木馬能透過各種主流瀏覽器來發動中間人攻擊,其不但可以透過瀏覽器擷圖方式來竊取銀行認證資訊,並會對特定銀行之間的連線交易進行監控。面對這樣的攻擊,即使採用多因素認證機制進行網路交易也束手無策
本機端安全方案與雲端安全服務的強力聯防
看到層出不窮、複雜已極的Web攻擊發展趨勢,再再突顯了傳統單一安全防護方案無用武之地的窘境,整合式的本機端(on-premise)安全防護方案與雲端服務才是今後確保Web安全無虞。
為了因應新興網路詐騙攻擊威脅,F5 Networks 2013年購併自Versafe旗下MobileSafe與WebSafe方案的整合作業,並建立完備的Web詐騙防護參考架構。如今舉凡網路層DDoS、SSL協定漏洞,到應用層DDoS與應用程式漏洞,在到Web詐騙等任何與Web安全有關的防護機制,全都整合到單一BIG-IP平台之中。
為了實現軟體定義應用服務 (Software Defined Application Services, SDAS)的概念,F5 Synthesis安全架構平台的建構,即為展現高效能服務交換背板(HPSF)效益的元件之一,除此之外還包括智慧服務編排,以及依據客戶實際狀況而打造的11種安全參考架構,。
客戶在多樣化的實體、虛擬和雲端方案之上支援越來越多應用。如何讓企業能在一個appliance設備規格內增加可延展的處理能力,同時保有on demand系統升級能力,F5透過Synthesis方案的強化設計,讓企業更輕鬆的交付應用服務,而無需仰賴單點方案或孤立的資源以支援商業應用,真正達到安全性、加速與可用性的應用服務。 |
