智慧型安全防護架構的全新思維

Please find the English language post from which this was adapted here: https://devcentral.f5.com/s/articles/f5-predicts-the-dumb-firewall-will-become-obsolete

根據Gartner預測指出，2016年之前，網路犯罪對金融面的衝擊性，會以每年10%的成長幅度發展，這全因行動協同平台與雲端服務帶動全新漏洞的層出不窮所致。另一項2013年網路犯罪成本研究則指出，2013年的網路犯罪成本相較過去提升78%，同時，解決問題所耗費的時間，也在四年內增加近130%。

由此可見，當前企業實有必要重新思考IT基礎設施的安全防護之道。然而，大部分企業組織仍然十分依賴網路防火牆、入侵防護系統或防毒軟體等傳統安全解決方案，這些方案多半仍停留在網路流量或系統活動中是否存在惡意行為的監控上。

事實上，當前威脅的一大風貌是由一系列不斷增加的潛在漏洞所組成，所以需要基於不論是家庭、組織或國家層級所能承擔之網路防護權責及能力，給予適當且精細的回應能力。除了網路連接性的大幅提升導致惡意軟體得以快速散播外，惡意程式本身不是更擅於躲避偵測，就是具備能將自身特徵隱藏起來的能力。如今大部分病毒在發送給受害者之前，具備能在數秒之內多次自我混淆變形，以確保防毒軟體無法偵測的能耐。

如今敏感性資料面臨全新安全威脅，除了流量規模有愈來愈大趨勢的各類型DDoS攻擊外，更有影響性偏及全球的OpenSSL「心在淌血」(Heartbleed)與Bash Shell「殼層衝擊」漏洞的出現。

前者讓全球採用OpenSSL加密機制的網站與VPN安全形同虛設；後者讓全球50%以上的Linux網頁伺服器，以及物聯網、嵌入式設備及老舊網路設備陷入有史以來最大的安全風險裡。透過這些全新威脅，駭客不但可以刼持設備，也能輕易竊得敏感性資料。事實上針對這兩個漏洞威脅，可以分別透過如F5 WFP(Web Fraud Protection)、SWG(Secure Web Gateway)，以及BIG-IP ASM來減緩可能的安全風險。

值得注意的是，單一防火牆或UTM裝置已完全招架不住當前企業所遭遇的大規模攻擊，所以IT人員應該意識到安全解決方案必須能夠在網路及應用層等多種層面上處理攻擊，進而提升縱深防禦的能力。

「當前存在的威脅，正成功穿越現今許多安全控管機制，」Gartner分析師暨研究總監Lawrence Pingree警告指出：「能將虛擬執行引擎當作惡意程式培養皿的進階威脅防護設備，無異是當前處理最新威脅的最有效方案。」

當網路犯罪變得更加精緻複雜時，「智慧型安全」就變得更加重要了，這也會帶動基於應用、位置或使用者等多種因素而能彈性且快速回應之安全機制的興起。在此要強調的是，今後不再有所謂一體適用的安全機制，最佳安全防護工具必須針對確切攻擊量身訂做。進一步而言，別再妄想既好、又便宜又快速的服務了，唯有具備因應不斷變動安全威脅與問題，而能在架構面不斷精進的安全機制才是當前最理想的解決方案。