為何您需要新一代防火牆的原因

為何您需要新一代防火牆的原因

技術的版圖持續不斷在演變，雲端運算、虛擬化與行動力，已顯著改變了組織營運的方式。在此同時，意外的威脅也從新的角度出現，使得安全專業人員在保護企業的資產時持續面臨挑戰。為了隨時搶在威脅之前做好準備，IT 採行新一代防火牆的時機已到。

由消費者主導 IT 持續性的趨勢，不僅促使員工採用行動裝置的現象劇增，也導致威脅的態勢不斷惡化。簡而言之，大眾對於工作方式的偏好，在短短幾年內已大為轉變。此改變也迫使企業 IT 領導者必須面臨眾多新進的弱點。例如，員工在咖啡館工作以行動裝置存取公司資料，已成為司空見慣的常態。這種情形暴露了明顯的弱點，尤其在面對現今複雜的攻擊矩陣時更是如此。駭客會多方位同時發動攻擊，在封包或應用之中隱藏惡意程式碼的作法也有更多新的攻擊手法。

由於威脅態勢不斷變化，防火牆市場也從簡單的可設定狀態防火牆，演進成為新一代防火牆。在 IT 領導者為當前安全問題尋求解決方案之時，新一代防火牆展現大有可為之姿。

Gartner 在 2009 年發表的《企業網路防火牆魔力象限》報告中，首次將新一代防火牆定義為擁有「整合式深度封包檢測、入侵偵測、應用識別及精細控制項目」。此外，透過第三方在實際威脅和網路負載情境中，遍及最受歡迎、也經常遭鎖定成為目標的企業應用，在強制執行的精細原則下，已核驗證實，新一代防火牆具有的入侵預防系統 (IPS)，效用與先前上市的產品不同。此朝向降低複雜度的走勢，在《Network World 2012 年網路態勢研究》也有所呼應，其中 51% 的受訪者將簡化視為 IT 頭號目標。『「企業正在努力強化整併網路基礎架構，以降低複雜度，」一家端到端安全解決方案的領先供應商，惠普科技企業資訊安全事業部，產品行銷總監 Jennifer Ellard 如此表示。「客戶希望所得到的入侵防範裝置能包含應用可見度，並可在同一機體內控制防火牆。」』

瞭解難處

當企業著眼於打造和強化未來的環境，以超越 IP 位址、連接埠和通訊協定對網路流量進行分類和控制時，有三大理由可以說明為何新一代防火牆正適合企業導入。

理由 1：應用存取。目前可在應用層級監視活動並採取行動的能力，比以往更加重要。根據惠普科技資安研究組織指出，安全機制遭破壞事件中，高達 84% 是從應用內的弱點趁勢而入。這就是駭客創新演進作法，從網路轉向 OS 環境再到應用的主要範例。談到程式碼開發依安全主導的需要日顯迫切，研究組織也重申具備應用層級控制的重要性。此外，僅保護系統的單一點是不夠的。通往資料的整條路徑都必須保護安全。路徑上若有任何弱點，整個系統都將變得脆弱，駭客能巧妙地發掘新路徑。「應用層級的控制十分重要，因為如此一來組織就能依照各項應用，設定使用者特定的原則，」惠普科技企業資訊安全事業部產品行銷經理 Martha Aviles 表示，「每個人都要求增加頻寬，又有更多應用在企業網路上執行。設置應用層級的控制，能夠舒緩箇中的一些困難點。」「新一代防火牆只需配備最新安全弱點防範工具，就能將流量局限於經過核准的應用，進而避免非必要的應用釀成風險」，Ellard 解說。「其附加價值，還能減少非必要流量對頻寬的耗用。新一代防火牆有能力掃描良好應用當中的各種威脅，連機密資料外洩也包括在內。」

理由 2：行動熱潮。應付爆炸性大量的新型行動裝置進入企業，只不過是安全專業人員所肩負任務的一部分。行動應用也正以驚人的速率成長。根據 comScore 2013 年 4 月發表的報告，智慧型手機用量，有 80% 是投注於應用當中。問題是，行動應用充斥著弱點。例如，根據 HP 2012 年度資安風險報告，受測的行動應用程式中，77% 展現出具有資料外洩的弱點。機動性的確對 IT 加諸新一層的安全挑戰。根據 Network World 的研究，48% 受訪者表示，支援日益增加的裝置對其所屬組織而言，在安全方面是重大挑戰，也是一大障礙。

「對大多數企業而言，網路越來越像充滿漏洞的瑞士乳酪，有行動員工登入，有雲端解決方案提供存取企業資料，又有遠端員工運用各種配置進行登入，」Aviles 表示。「目前行動裝置和遠端工作者日益增多，明顯帶來諸多挑戰。即使裝置或遠端需要安全防護，也不必與保護業務正常程序的方式大相逕庭。您可以保護網路傳輸。強化整併加上部署能力，就能輕鬆大有作為。」

理由 3：環境不斷演化。目前的駭客攻擊已與前些年不同。進階持續攻擊 (APT) 的數目日增，目標已從大型企業，擴增到存有駭客眼中寶貴資料的任何企業。這一點從 Network World 的研究當中可明顯看出：84% 的受訪者表示，正在全力尋找更好的方式來防衛 APT 這個頭號安全優先事項。同時，企業系統中容納的資料層級也達到空前的狀態。雖然這些資料讓企業有能力做出有力的決策，卻也成為吸引人的目標，將越來越難以監控。

如此不斷演變的局面，本身便有眾多挑戰在其中。企業肩負使命，必須在無邊界的網路、持續性的威脅和企業風險的環境中，監視威脅和風險。為了跟上攻擊者的步伐，IT 需要有能力收集、儲存和分析無邊界網路中，任何系統的任何記錄或事件資料。此外也必須能夠與系統事件、流程資訊及使用者和應用活動建立交互關聯，協助解答企業內已發生或正發生的一切「何者、何事及何時」。

成功途徑

根據 Network World 研究顯示，轉為使用新一代防火牆的企業，已不再以管理連接埠為優先事項而將管理應用平台和人員視為首選，研究報告中有 80% 的受訪者目前正運用、部署或積極了解所需項目。

然而，尋找合適的過程對經常已負荷過重的 IT 部門來說，恐怕是複雜又壓力頗重的差事。幸而已有經過實證的步驟可供 IT 領導人依循評估，以採納新一代防火牆。

步驟 1：了解企業的需求。無論是應用平台或是新一代防火牆，解決方案唯有滿足組織的個別需求，方能算是成功。因此，首先務必花時間明確地識別需求。考量要點應著重於管理功能、部署的簡易與速度、採購成本、IT 組織支援能力，並且能與既有安全和網路基礎架構整合。

「並非每家公司都能從相同的防火牆獲取效益，」Ellard 解說道。「企業必須密切留意總持有成本。就算購買一套價格低廉的產品，還得檢視 IT 人員的管理負擔才行。需要聘請多少位全職員工，才能確保得到想要的結果呢？大多數的企業擁有的資源有限，因此務必努力尋找解決方案，能夠同時提供管理能力與複雜度的適當組合，以便保護組織，又達到最佳預算運用效果。」

考慮易用性時，必須探討這套解決方案是否能支援當地與中央的管理項目，能在設定後於自行運作的環境內作業，同時擁有利於長久使用、易懂且可自訂的儀表板。

「新一代防火牆要能成功，也應當以可靠度為核心重點，」Aviles 表示，「惠普科技已將可靠度深植我們新一代防火牆的核心，開發基礎即為惠普科技新一代 IPS 引擎，創下 99.99999 %網路正常運作時間歷史紀錄。

Aviles 也提到：「我們的延遲和內嵌部署都很低，其連續威脅防護的安全效用，包括每週的 HP Digital Vaccine Labs [DVLabs] 更新，展現了惠普科技協助對安全的承諾扮演著實際功效的角色。截至目前，惠普科技已有遍及有線和無線裝置，超過 7,400 個防堵弱點的篩選器。」

步驟 2：改善安全態勢。在當今的環境中部署新一代防火牆時，能與惠普科技企業資訊安全產品事業部這樣擁有經驗豐富，提供端到端解決方案的夥伴並肩攜手，將得到可觀的價值。

「從研究的角度解決弱點和應對威脅態勢的環境，我們一向都是居於領導地位，」Aviles 說道，「換言之，安全智慧的層級明顯更高。例如，我們擁有 HP DVLabs，網羅數位疫苗研究專家，致力於持續建立弱點的篩選器。惠普科技還有一群「白帽」(White Hat) 安全研究專家，領導著 HP 零時差計劃 (Zero-Day Initiative)，專心致志於識別問世的弱點。

運用端到端的方法，是企業在當前環境下成功防禦的最佳辦法。畢竟，企業與政府正面臨資訊技術有史以來最具威脅性的局面。中斷性運算趨勢大幅提高了生產力與企業靈活度，卻同時引入眾多新的風險和不確定性。

HP Security Intelligence and Risk Management (SIRM) 平台，以市場領先的產品 HP ArcSight、HP Atalla、HP Fortify 及 HP TippingPoint，讓企業能夠採取主動措施以防護安全，其整合資訊交互關聯、深度應用分析和網路層級防禦機制，能將完整安全計劃的元件統一，降低全企業的風險。

資料來源: HP ESP白皮書 /為何您需要新一代防火牆的原因

標籤 : 懇懋科技, HP, NGFW