首頁
1
最新消息
2
產品快報
3
整合身分竊取與自動防護,F5推出新一代網站應用程式防火牆4
顥弘科技股份有限公司 302 新竹縣竹北市成功十二街20號9樓
當企業在公有雲環境建置多種應用系統時,若要及早掌控當中發生的資安威脅態勢,Check Point推出了CloudGuard Log.ic的雲端服務,能夠直接分析相關的事件記錄,找出異常。  雲端安全防護近來成為網路安全設備廠商所極力發展的領域,例如,Check Point在去年2月推出CloudGuard系列解決方案,當時先發表了原名為vSEC的CloudGuard IaaS,另一套CloudGuard SaaS原本預計在第二季上市,但直到11月才宣布全面供應;以次世代防火牆著稱的Palo Alto,今年5月底也發表Prisma系列的雲端安全解決方案,當中包含了Prisma Access、Prisma Public Cloud、Prisma SaaS,以及VM系列的次世代防火牆產品。  巧的是,隔沒幾週,Check Point推出了一套雲端原生的威脅防護和安全智慧解決方案,稱為CloudGuard Log.ic,號稱能夠讓用戶在租賃的公有雲環境當中,查看每個資料流,並且稽查、追蹤相關的軌跡,以便掌握在雲端存放的資料及執行的活動,加速整體資安鑑識與調查的流程。  這套新發表的雲端服務,讓人聯想到Check Point在去年併購的Dome9,該公司旗下有一套資安威脅情報服務Magellan,主打脈絡感知(Context-Aware)的特色,操作介面也和目前的CloudGuard Log.ic相當類似,不過,根據我們向Check Point詢問的結果,他們表示,CloudGuard Log.ic在正式推出之前,的確暫時用過Magellan這個稱呼,不過,當他們在修正所有功能之後,重新思考服務的命名,而決定取為Log.ic,因此,CloudGuard Log.ic和Dome9是不同的產品。  話雖如此,從目前看到的CloudGuard Log.ic網頁操作介面來看,左上角顯示的品牌圖示,標明的是Check Point CloudGuard Dome9。  從目前Check Point主打的功能來看,CloudGuard Log.ic可以有效偵測雲端服務的異常活動,阻擋威脅與入侵行為,並且呈現具有豐富脈絡關係的圖解,協助調查公有雲基礎架構下的資安突發事件。  這套雲端防護服務是如何運作?它的核心是一套功能相當豐富的引擎,能夠從多種事件記錄來源,去執行資料的核對與整理,舉例來說,在 AWS的環境下,可接收Virtual Private Cloud(VPC)服務的網路流向記錄(VPC Flow Logs),以及CloudTrail(專司AWS帳戶治理、法規遵循、操作過程稽核與風險稽核的服務),能從流向記錄、負載平衡器,以及其他雲端原生的服務元件裡面,取得豐富的資訊,讓IT人員能夠掌握更多關於執行期間的事件細節,更精確地理解整個環境的現況變化,進而施行更為嚴格的資安政策。  未來CloudGuard Log.ic會支援其他公有雲服務嗎?Check Point表示,微軟Azure已經在他們規畫的藍圖當中。  除了收集與分析租戶在公有雲環境的事件記錄,CloudGuard Log.ic也能整合Check Point網路威脅情報平臺ThreatCloud(不需額外付費),從這裡獲得惡意IP位址清單,而能預防進階威脅。基本上,ThreatCloud目前存放了非常多的入侵指標(IOC),收集到的惡意雜湊值、網站及命令與控制中心(C&C)的位址,已經超過7.5億筆資料,而提供的行為特徵數量也高達1千1百多萬個,本身也引用了十多種外部的威脅情報餵送機制,並且經由Check Point本身的人工智慧引擎,執行整併、驗證的程序,以便降低誤判率。  在CloudGuard Log.ic匯集、處理資料之後,資安團隊與DevOps團隊能夠運用這套解決方案,縮短相關作業的時間,迅速完成突發事件的因應、威脅獵捕的執行、既有資安政策的審視等工作,並且能橫跨多個雲端服務使用者帳戶強制施行控管原則。  在雲端服務環境當中,用戶對於使用者、群組、角色所配置的屬性,CloudGuard Log.ic也會予以分析,以便後續進行追蹤,不論是跨網域的聯邦性事件(federated events),或是組態變更,都能逐一查明,並且交互關連到個體或角色上。  此外,CloudGuard Log.ic還能將這些處理妥當的資料記錄流,透過自身的連接器,轉換成具有高度脈絡關係的JSON格式,餵送到第三方廠商的安全資訊事件管理系統(SIEM),像是Splunk、ArcSight。  整合到第三方廠商的安全資訊事件管理系統(SIEM),像是Splunk、ArcSight、LogRythm,讓這些產品執行更進階的調查,使得用戶能從生命週期相當短暫的資料當中,挖掘出關鍵情報,並且培養安全態勢感知的能力。  若希望系統能主動提報具有意義的事件、狀態統計,以及流量分布,用戶也可以自行訂定條件與內容傳送排程,即可定期收到報告──可透過電子郵件的形式,或經由ServiceNow、PagerDuty、Jira等IT服務管理平臺來發送。  既然察覺了資安威脅,就要儘快著手處理與復原,CloudGuard Log.ic也支援自動矯正的機制,這裡使用了一種無伺服器框架,稱為CloudBot,僅需一個按鍵的部署方式,就能夠在接收到惡意活動的特定警示之後,讓整個列管的網路環境,依照預先設定的反應方式,自動觸發相關的矯正功能,例如,執行存取隔離,或是先套上標記,以利後續的調查。產品資訊Check Point CloudGuard Log.ic●原廠:Check Point●可分析的資料類型:AWS(VPC Flow Logs、CloudTrail、AWS Inspector)、網路威脅情報feeds(Check Point ThreatCloud)、IP位址信譽資料庫、地理位置資料庫●整合SIEM的作法:提供JSON格式的資料 http://www.howhung.com.tw/hot_322039.html Check Point推雲端情資分析,幫企業找出公有雲環境威脅 2020-11-30 2021-11-30
顥弘科技股份有限公司 302 新竹縣竹北市成功十二街20號9樓 http://www.howhung.com.tw/hot_322039.html
顥弘科技股份有限公司 302 新竹縣竹北市成功十二街20號9樓 http://www.howhung.com.tw/hot_322039.html
https://schema.org/EventMovedOnline https://schema.org/OfflineEventAttendanceMode
2020-11-30 http://schema.org/InStock $NT 0 http://www.howhung.com.tw/hot_322039.html

相關連結:https://www.ithome.com.tw/review/122611

因應各種進階威脅進逼網站應用程式的態勢,F5推出Advanced Web Application Firewall(Advanced WAF),能夠用於企業內部與雲端服務環境的部署
f5_proactive_bot_detection_main.jpg

今年4月,以應用程式派送控制器著稱的Networks,發表了新一代網站應用程式防火牆平臺,稱為Advanced Web Application Firewall(Advanced WAF),因應不斷演進的資安威脅之餘,他們也提供整合與獨立的解決方案,專門針對應用程式安全性的部分,來進行強化。

在Advanced WAF推出之前,F5原本就有網站應用程式防火牆的產品線,例如,BIG-IP Application Security Manager(ASM)的整合應用設備或是虛擬軟體版本,以及Silverline Web Application Firewall的代管服務、自助式服務。

那麼,最新推出的Advanced WAF與既有產品之間的差異何在?F5 Networks資深技術顧問許力仁表示,Advanced WAF是ASM的下一代產品,兩者的技術核心相同,不過,ASM面對的部分,主要是傳統的網站應用程式防火牆需求,而Advanced WAF著重在新攻擊威脅的因應。ASM的銷售與技術支援仍將繼續提供,未來,他們會推出升級使用Advanced WAF的授權方案,協助企業用戶提升防禦能力。

F5 Advanced WAF包含了多種安全機制,例如,網站應用程式保護、身分資料加密與DDoS防護等,能夠防禦的面向更為寬廣,像是機器人程式的自動化攻擊、API層級的攻擊、帳號密碼竊取、行動App安全強化,而在部署形式上,也支援資料中心、混合雲(Interconnect)、雲端服務(公有雲或私有雲)。

針對6種網站應用程式安全威脅,像是弱點與濫用、自動化攻擊、身分與資料竊取、低流量與緩慢型DDoS攻擊、API弱點(左側的部分),F5 Advanced WAF都提供對應的防禦機制(右側的部分),同時,在帳號填充、威脅活動掌握、裝置識別等三個層面,均整合了網路威脅情報服務,可保持更新,未來將以訂閱服務的形式提供。

圖中是F5現階段規畫的應用程式防護框架,當中包含了4大解決方案,分別是DDoS Hybrid Defender、SSL Orchestrator、Advanced WAF、Access Management,而後兩者是著重在網站應用程式攻擊的防護。

可偵測與防禦機器人程式的網路存取、帳號登入暴力破解,以及應用層DDoS攻擊、API攻擊

相較於其他同類型產品,F5 Advanced WAF的最大特色在於,能夠防護身分、帳密資料的竊取與濫用,並可針對網頁與行動環境下的殭屍程式,提供更完善的威脅減緩機制;在應用層DDoS攻擊行為的偵測上,它也能夠運用機器學習與行為分析,來達到高精準判斷;若要調整WAF的使用規模,它也提供相當強大的擴展能力。

這套解決方案的推出,讓F5在網站應用程式防火牆的雲端服務版本上,能夠與企業內部環境部署的版本一致,具備進階安全機制,例如:OWASP網站應用程式十大漏洞的防護、機器人程式的偵測與阻擋,以及透過按鍵加密來杜絕鍵盤側錄行為;還能結合機器學習與行為分析,提供延伸的應用層DDoS攻擊行為的發現,以及對於所有應用系統的矯正。

針對目前網路充斥著各式各樣的機器人程式活動,對於網站應用系統的系統的影響越來越大,OWASP組織也在今年2月公布20大自動化威脅(OWASP Automated Threat,OATs),包括了服務阻斷攻擊(DoS)、網頁內容擷取,以及帳密破解、帳密填充(Credential stuffing,俗稱撞庫),而F5 Advanced WAF目前的作法,則是透過Proactive Bot Defense(PBD)的功能來因應,當中運用了指紋辨識與挑戰/反應的互動機制,搭配其他的行為分析技術,能從網路連線的層級來偵測與阻擋,強化辨識與減緩這類異常活動的能力,降低對應用系統的影響。

        

面對惡意機器人程式的網頁存取行為,F5 Advanced WAF內建Proactive Bot Defense(PBD)的防禦功能,能阻擋可疑的瀏覽器存取請求,以及針對跨站存取請求來允許或拒絕,並且搭配網址白名單,如下圖左。而這項機制也會搭配機器人程式特徵碼(Bot signature),如下圖右,管理者可針對惡意與合法的機器人程式,設定阻擋與對應處理機制。特徵碼資料庫會隨著ASM攻擊特徵一起更新。有了這些資料,瀏覽器就可以產生分數,並且自動採取接下來的動作,像是轉交給網站伺服器、提示CAPTCHA的驗證碼來確認對方是否為真人,或是阻擋。

網站資料外洩事件頻傳,再加上許多人都習於在不同網站使用相同的帳號、密碼,有心想要冒用使用者身分的人士,往往會透過這些外洩的資料來嘗試網站登入,而在因應這種攻擊行為的做法上,F5 Advanced WAF提供了Credential Stuffing Mitigation的機制,運用比對身分資料庫的方式,防護這種由多個來源發起的分散式暴力破解帳密手法。
在相關的防護設定上,管理者可在F5 Advanced WAF的網頁管理介面當中,根據三種暴力破解帳密的情境來調整組態(一般、固定來源、分散來源)。

 

為了提升行動應用程式對於自動化攻擊的防護能力,F5 Advanced WAF也提供Anti-Bot Mobile SDK的整合,並且可透過應用程式白名單、行為分析、安全cookie驗證,以及App強化等多種方式來施行。

而F5 Advanced WAF之所以能提供這樣的功能,主要是搭配了Appdome提供的行動整合平臺Appdome for F5 Anti-Bot Mobile,即可在無需撰寫、修改任何程式碼的狀況下,完成相關設定,進而快速保護行動應用程式,使其免於受到機器人程式和其他自動化攻擊的侵襲。

目前Appdome for F5 Anti-Bot Mobile支援的主要功能,包含行動機器人程式的偵測、破解裝置的偵測、憑證綁定、中間人攻擊的偵測,同時,也提供應用程式的各種融合處理,像是模糊(Obfuscation)、竄改防護、總和檢查碼(checksum)驗證、應用程式完整性掃描。

F5 Advanced WAF整合的Anti-Bot Mobile SDK,是特別針對行動App的機器人程式防護機制,是ASM和Advanced WAF的選購功能。而這套SDK運用了白名單的管控方式,基於嵌入式的軟體封裝(內含App程式碼)來建立信任,並且回應Advanced WAF的網頁cookie檢查。
不過,有別於一般的SDK的使用,需仰賴開發者將SDK和用戶本身的程式碼結合起來,F5在這裡是和Appdome合作,透過他們的雲端平臺來執行混合(fuse)的作業,無需手動整合程式碼,而且僅需幾分鐘內即可完成設定,如上圖。

    

在設定Anti-Bot Mobile SDK之前,管理者需至F5 Advanced WAF管理介面上,從應用程式安全的行動應用項目啟用保護,如圖左。
接著到Appdome的雲端平臺上,將這套SDK設定到行動App當中,企業僅需上傳該應用軟體的IPA檔或APK檔(不需原始程式碼),然後在身分服務當中,選定F5 Anti Bot,填入所要保護的主機URL網址、綁定的憑證雜湊值,如圖右。若需要額外的保護功能,這裡也可以啟用防除錯、防竄改、總和位元檢查碼驗證。接著,則是進行數位簽章簽署的設定、完成App的混合。

 

內建應用程式層級的欄位加密技術,可以在網頁存取過程當中,保護使用者所提交的密碼

在使用者身分的保護上,F5 Advanced WAF提供了一套名為DataSafe的特色,能夠運用應用程式層級的欄位加密技術,企業即可在不需修改網站應用程式的狀況下,獲得動態加密網頁內容的能力,藉此保護敏感資料,例如使用者在瀏覽器輸入的密碼,並且預防惡意軟體發動的瀏覽器中介攻擊(man-in-the-browser attacks),以及針對用戶端環境的攻擊與擷取行為,例如,鍵盤側錄程式。

針對採用瀏覽器中間人攻擊手法(Man-in-the-Browser)的惡意軟體,F5 Advanced WAF提供了應用程式層級的加密機制來因應,稱為DataSafe。這項技術會在用戶端置入資料模糊化的JavaScript,使他人無法直接讀取內容,而且這種防護無需安裝應用軟體,即可處理表單擷取的攻擊方式。
基本上,DataSafe提供了應用程式欄位層級的加密,能夠防護帳號、密碼,以及各種資料,使用者在瀏覽器輸入的資料會被自動加密,並且維持加密狀態,直到由DataSafe解密、安全傳送到應用程式為止,比起現有SSL/TLS傳輸加密的作法更深入,可對抗用戶端的這類擅自存取的攻擊。

 

在F5 Advanced WAF的設定當中,DataSafe隸屬於資料保護之下,從這裡我們可以看到,管理者可以啟用應用層加密,以及各種進階保護功能,像是Ajax全程加密、HTML欄位內容混淆、防鍵盤側錄、失竊帳密識別,考量的層面相當周到。

提供行為式的服務阻斷攻擊防禦機制

若要防禦應用層的阻斷攻擊行為,F5 Advanced WAF也有這類型功能,稱為Behavioral DoS(BADoS),系統會針對網站伺服器端的狀態、負載,進行持續監控,並且採用機器學習和資料分析的方式,動態描繪異常流量(效能降低或是流量暴增尖峰狀態)的樣態、建立對應的特徵碼,再以此實施精準的偵測與阻擋。

針對應用層的服務阻斷行為,F5提供了基於行為的分析機制,使Advanced WAF能夠透過資料呈現的行為特徵,自動防護與減換異常的HTTP流量。系統會運用機器學習與資料分析來剖析流量,並且持續監控伺服器的狀態與負載、異常,以便精準偵測與減緩攻擊行為。

支援多種雲端平臺

對於私有雲、公有雲等平臺的支援,也是F5 Advanced WAF一大特色,透過可移植到不同環境的應用程式安全方案,企業能在微服務與容器的場景當中運用。

而且,企業可充分運用這裡提供的自動化安全政策,在AWS、Azure和Google Cloud Platform等雲端服務環境當中,藉由易於使用的雲端樣板,縮短部署新應用系統的時間,同時能基於業務優先順序來擴充內部與雲端基礎架構,毋須根據不同環境或雲端平臺,來建立個別的部署模式。

在採購形式上,F5 Advanced WAF提供多種使用授權模式,除了永久、訂閱、按使用量計費等,還可基於每支應用程式來支付,以便適用於雲端服務與資料中心的環境。

就公有雲服務環境而言,許力仁表示,F5提供的網頁應用程式防火牆有多種選擇。

首先是租用ASM或是Advanced WAF的虛擬應用設備,企業也可以在上面租用虛擬機器,搭配自行準備的ASM或是Advanced WAF虛擬版本授權。此外,在AWS的市集當中,還有兩種特別的解決方,其中之一是F5 WAF Solution,結合了ASM和BIG-IP Local Traffic Manager(LTM),是由F5和AWS研究推出的產品項目,而另一種則是F5 Rules for AWS WAF,是以AWS本身的網站應用程式防火牆服務為基礎,而由F5提供規則的雲端服務產品,有別於F5自家的ASM和Advanced WAF。

不過,從上述三家與F5合作的公有雲服務的市集來看,目前(2018年5月中)尚未提供F5 Advanced WAF的服務租用選項,許力仁說,未來,用戶本身若是若具備ASM或是Advanced WAF,即可在雲端服務租用的虛擬機器上,使用新功能(但F5 BIG-IP系統平臺需為13.1.0.5以後的版本),不需受限於雲端服務廠商與F5的合作進度。

F5 Advanced WAF支援多種採購模式,可因應不同用量(永久、訂閱、根據每套應用系統的虛擬版本(Per-App Virtual Edition)、企業大量授權,以及兩大雲端服務)與場景,而在管理模式上,也支援多種選擇,像是用戶自行管理、自助式服務,以及由F5來代管。對於技術支援與服務的部份,該公司也提供了安全突發事件應變小組(SIRT),以及WAF服務等兩種選擇。



上一個 回列表 下一個