达友科技信息安全日总整理！给您最完整的信息安全信息～

勤业众信：抛弃产品导向思维，建构全面性企业信息安全防御策略才是上策

在企业面临转型挑战，以及网路威胁日愈多样化的今天，信息安全防线已从从自家门口向外延伸，从买产品救火到提升掌握情报、做好企业内部控制，早一步致敌机先。

勤业众信(Deloitte)事务所执行副总经理林彦良首先指出，新兴科技出现、消费者需求及监管压力的增加，促使信息服务快速进化。例如GPU业者转型发展人工智慧(AI)，现在的金融资料分析龙头最早来自云端服务，而Amazon、Apple等IT业者开始向数位金融扩张，金融业者也为了转型，逐步深化IT能力。

勤业众信(Deloitte)事务所执行副总经理林彦良

然后数位转型的同时，企业面临形形色色的网路威胁。例如车联网遭骇入控制煞车或门锁，骇客入侵连网医疗器材如断层扫瞄、核磁共振、雷射等以勒索病患资料，比特币交易商被骇损失近7800万美元，俄罗斯银行ATM 遭无档案恶意程式遥控吐钞，此外还有内部员工泄密、网路罪犯、竞争对手及国家发动蠕虫、勒索软体、分散式阻断服务(DDoS)、社交工程犯罪等攻击，威胁成倍数增加。

另一方面，攻击者已发展成更组织化、更专业分工的犯罪集团。例如2016年发生孟加拉中央银行被植入恶意程式、试图发动转帐攻击，差点转走10亿美元。经过研究，骇客对金融报表、SWIFT网路、转帐流程等银行内部作业掌握十分透彻。这显示骇客不再只是炫耀技术的捣蛋鬼，而是产业、技术、活动流程都有人各司其职的专业犯罪集团。令人担心的是，美国国安局、中情局的「攻击军火库」遭外泄后，今年5月间国安局的攻击程式就被骇客用以发动WannaCry，从医院、政府、到银行等全球数十万台PC被加密勒赎攻击。

数位转型面临的安全风险

有研究机构分析，未来一家大型企业平均有200名资安人员的需求。然而在成本限制下，很难有企业补到充足人手。因此，在威胁地景的变迁中，信息安全做得够完善的企业将能脱颖而出，而没有做好信息安全的企业则可能遭淘汰。但是我们需要了解，被动防堵已难以应付现今的网路威胁。

在进阶的安全防御策略下，企业必须提升威胁情资分析能力，了解攻击本质，包括对手是谁、具备何种能力、攻击对象、带来何种影响，并针对「Cyber Kill Chain」各个环节部署防护措施。完整的网路安全关键在建构四大核心功能。首先防护眼光应从原有的IT资产拉到企业360度数位风险的分析能力，根据企业本质、业务特性、地理区以及市场竞争环境，以及未来策略，评估可能风险，并且从管理机制及技术面建构良好控制。接著是合规遵循，利用科技，像机器学习、数据分析等，协助公司符合国家或供应链的安控规范，如原厂也开始要求台湾代工厂导入资料存取控制。并透过信息联防、跨业合作，掌握外部威胁情资、整合内部管理机制，最后则是参考国际实务设计提升企业对事件应变能力。像是NIST SP800-61、83或86标准，或是ENISA(欧盟网路暨信息安全署)标准，订出紧急应变措施，并定期实施攻防演练。

企业必须培养网路安全数位四大核心能力

今天，骇客和企业已然处在攻防的实力竞赛中，而唯有以更全面的眼光，建立数位风险分析眼光、强化情资、导入内部控制提升应变能力，并在攻击到前做好万全准备。

Forcepoint：以人为本才是企业营业秘密防护的王道

客户及营运资料外泄一直是所有企业的最大信息安全隐忧，而过去企业信息安全预算也大部份投入于防止骇客入侵或外部网路攻击。事实上，企业内部，即员工引发的资料外泄，才是企业最难防范、伤害最大的信息安全威胁。

台湾高科技制造业经常面临中国大陆业者挖角，藉由跳槽员工窃取重要制程或研发资料者的重大威胁，虽然我国有企业营业秘密保护法，然而自2013年以来，检调单位侦办了57件泄密案，仅27件起诉，仅2件判决成立，根本无法发挥吓阻效果。这使得营业秘密保护已成企业刻不容缓的需求。

Forcepoint台湾分公司技术经理陈志远

但是，这说来容易做来难的事。Forcepoint台湾分公司技术经理陈志远指出，企业经常是资料外泄防御(DLP)、防火墙、入侵侦测／入侵防御(IDS/IDP)等各种安全产品都安装了，然而后果反而事件纪录太多。统计显示，中大型企业平均使用70种以上的信息安全工具，有的大型企业每天收到来自SIEM或DLP等信息安全设备的告警，高达50到100万则。此外，一般企业信息安全往往是由网管人员兼任，他们并没有分析信息安全纪录的专长。形成企业信息安全设备愈买愈多，然而资料防护愈来愈难，离职员工窃密的情况依然层出不穷。

陈志远指出，企业资料外泄的环节在「人」。由人导致的资料外泄包括粗心大意的内部员工不遵守公司规定程序，让外部合作夥伴轻易存取自己的网路共享硬碟；心生不满准备离职或具犯罪意图的员工心怀不轨，窃取公司客户资料或破坏公司系统；又或者是HR或财务部门员工不慎开启以「invoice」为标题的邮件附档而遭植入木马程式、甚至勒赎软体等。

根据Forrester一份安全报告，企业过去12个月发生的「入侵」案，其实有39% 是内部人事所为，其中26%是出于刻意滥用或恶意存取机密信息，56%来自企业内部使用者不慎误用资料。因此，防止资料外泄关键在于透过系统化的分析技术，看穿看似勤奋的员工背后的真实意图。例如一个平时经常出差，偶而将工作带回家做的程式设计师，暗中从国外IP登入，从档案伺服器下载大量客户名单，或是将资料库内容加以变造，或是平日远端工作的工程师，突然异常提升系统权限，并经常在下班时间登入系统，进而形成恶意内部威胁。

透过系统化分析技术，协助发现使用者真正意图

 

因此，一个完整的机敏资料防护策略，必须包含资料外泄防御(DLP)及使用者与网路行为分析(UEBA)，形成以人为本的全方位视野。以DLP的内容感知技术，辨识高风险的资料传输行为，掌握「谁」从「哪里」，透过「什么方式」取得「何种」资料。另一方面，Insider Threat提供的使用者行为稽核分析，自动学习并建立使用者行为基准，辨识潜在的异常行为，以及基于使用者行为的风险分析，同时透过整合多种资料来源，包括使用者行为的详细纪录、完整情境、甚至录影监控，找出高风险使用者。值得一提的是，ForcePoint Insider Threat的影像处理技术，可以在控制影像储存负载的前提下，提供事发前一小时录影，使犯罪行为的蒐证更为完整。

结合DLP及UEBA才是完整的机敏资料防护策略

藉由结合DLP及使用者及网路行为稽核，有助于企业早一步发现内部员工的异常行为或散漫的使用行为，建构资料防护策略或是阻止犯罪行为的发生，确保企业营业机密的永续安全。

BlackBerry：支援数位转型 提供物联网端到端企业安全防护

物联网(Internet of Things, IoT)时代来临，应用更多元，生活及商业流程更方便，却也伴随著不可避免的安全威胁，BerryBlack试图将企业行动安全防护推向物联网。

BlackBerry北亚区资深技术方案经理张英伟

BlackBerry北亚区资深技术方案经理张英伟引用Ericcson研究数据指出，到2020年全球连网物件总量将由2016年的64亿成长到208亿，速度高于智慧型手机。他表示，行动装置及物联网的普及，推动企业的数位化转型，然而也让企业面临转型威胁。根据研究，相对于网路设备和伺服器，用户和端点装置遭受入侵的比例逐年增高，导致重要资料外泄或系统入侵，是企业安全防护上最薄弱的环节。然而全面断网并非上策，也是不可能的事，因此如何能在确保企业信息安全，又维持行动用户的生产力及良好体验，就成为企业IT人员最重要的课题。

用户和端点装置遭受恶意程式入侵的比例逐年增高，是企业安全防护上最薄弱的环节。

BlackBerry深受各国商务人士喜爱，除了好用的手机键盘之外，绝佳的安全性才是最重要因素。BlackBerry软体平台提供端到端的行动防护，

Black Berry Unified Endpoint Manager为端点、应用、档案的统一管理控制台。透过整合BlackBerry各项安全产品，BlackBerry UEM能提供100%的安全监控，包括管理行动装置硬体及应用程式的MDM及MAM，BlackBerry Dynamics独家容器技术确保应用安全性，BlackBerry Workspaces提供数位版权管理(digital right management, DRM)，可完全掌控文控是由谁、何时、在哪、透过何种路径存取，又传给了谁，让企业可安心共享与协同文件档案，并藉由BlackBerry Enterprise Identity做好使用者的存取控管。

在端点设备方面，UEM 支援iOS、Android、macOS、Windows或Blackberry等作业系统，不论是企业端点设备，不论企业采用何种装置所有权模式，是自带设备(BYOD, Bring Your Own Device)、公司所有，个人使用(COPE, Corporate Owned Personally Enabled)，还是公司所有，公务使用(COBO, Corporate Owned, Business Only)的装置，都能涵括于BlackBerry UEM的安全管理之下。BlackBerry Secure则为支援各种物联网装置的云端安全平台，从笔电、智慧型手机到智慧眼镜、连网汽车、智慧零售到智慧医疗产品，都能获得防护。

BlackBerry软体平台提供行动端到端保护，支援几乎主要行动作业系统、容器应用、Microsoft 365文件及多种企业设备与所有权模式。

透过BlackBerry UEM控制台，IT部门可轻松进行设备、应用及文件管理，包括将应用分配给特定帐号、配置公司设备、管理BlackBerry Dynamics容器应用，以及针对文件套用DRM政策。它也支援Microsoft Office 365，因而能针对Word、Excel、PowerPoint套用企业安全规则。UEM援引BlackBerry在全球网路及资料中心管理的经验，适合要求严苛的环境，具备简单、集中化、具成本效益等优点，Active-Active高可用性模型减少硬体需求，实现最大正常运行时间，也提供SLA达99.9%水准的云服务。此外也提供API允许在UBM架构下介接第三方应用，支援未来业务需求。最重要的是，它丰富的策略控制可确保施行IT政策，并以仪表格和报表让IT一目了然掌握各种端点及应用的安全状况，协助IT监控及符合法规要求。

随著物联网时代来临，凭藉著BlackBerry过去在行动企业领域累积的经验，现今BlackBerry提供端到端的行动装置管理方案，并延伸到物联网装置上，让企业即使在恶意程式及资料窃取威胁层出不穷的今天，也能稳健向数位化转型。

Carbon Black：因应新型态恶意软体　迈入次世代防毒时代

骇客技术日益演进，近年恶意程式已经进阶为前所未有的无档案(fileless)攻击、勒赎软体，传统防毒防护破功，并促使整个产业迈入次世代防毒(next generation anti-virus)世代。

5月初一个周末内让全球超过20万台PC沦陷的WannaCry让人馀悸犹存，事实上，近两年信息安全界最重要的事件莫过于勒赎软体的兴起。根据FBI报告，2015年勒赎软体造成3.25亿美金的损失，而一年后，这个金额达到10亿美金。去年，每天平均发生4,000起勒赎软体的攻击，较过去整整增加3倍，过去12个月内至少有一半的企业曾遭到这类恶意程式危害。

Carbon Black亚太资深安全工程师Bernie Png并指出，近年网路威胁很重要的共同特徵之一是无档案(fileless)攻击。事实上，2015年有38%的网路攻击，是使用无害的PowerShell进行散布。年初已经有多个无档案恶意程式被发现渗透到全球40多家银行、电信业者及政府机构。这类恶程式是长期潜伏在RAM内，进而窃取资料或下载其他恶意程式，由于它并非以档案的形式存在，因而可躲过防毒软体的侦测。但有趣的是，众多防毒软体在AV-Test.org的测试结果上，却呈现接近100%的侦测率。

Carbon Black亚太资深安全工程师Bernie Png

另有骇客在网钓邮件附上具有恶意巨集的Word文件档，诱骗使用者开启文件。文件开启后启动巨集，执行PowerShell代理程式，之后开启后门，并与外部C&C伺服器建立通讯。这种手法也是前所未见的复杂、高明。

Png解释，现今的恶意程式运用特殊的组译器(compiler)，得以绕过特徵比对、反向工程、除错或沙箱技术的过滤。在网路上流通的1亿个恶意程式档，纵使传统防毒引擎侦测率高达99%，却仍然有100万个零时差(zero-day)攻击程式散布。此外，现在还有恶意程式即服务(malware as a service)，供骇客客制化想要的攻击程式，同时恶意程式也愈来愈高明，能采取多种攻击策略以适应不同目标环境，像是恶意URL、恶意文件附档及JavaScript附档等。然而传统防毒软体采用特徵比对及启发式演算法(heuristics)的检测方式，此类扫瞄技术特色是「一次判定后，永久放行(decide once, forget forever)」，已经无法因应变化多端的新式威胁，这显示传统防毒软体已无法有效防堵新式网路攻击。

次世代防毒采用TTP (Tactics, Techniques and Procedures)的防御策略。简而言之，是透过档案与程式行为的分析及关联比对，辨识出特定恶意程式活动轨迹。Carbon Black 的NGAV TTP分析结合信誉(reputation)、行为及攻击向量三个面向，而且不同于传统防毒一次性扫瞄，Carbon Black次世代防毒方案会长时间监控特定程式活动，不论是多层次混淆手法、将恶意程式码隐藏在可执行档合法档案内，或是无档案恶意软体利用Powershell掩盖非法行为的攻击，都能被辨识出来，并于第一时间加以阻挡。而Carbon Black云端深度侦测技术提供行为分析、机器学习、攻击模型、信誉评分、关系追踪(relationship tracking)，减轻端点分析的负担，有助提升端点防护效能及降低误判率。

有了智慧化次世代防毒配合鉴识／事件处置(Incident Response)及应用程式控管/白名单产品线，Carbon Black得以协助企业建构滴水不漏的端点防护策略。

Sophos：网路与端点联动的整合性防护策略

网路威胁愈来愈凶险而多样化，防毒业者要如何与时俱进？Sophos提出了网路与端点防护同步化的次世代端点防护策略。

Sophos台湾分公司资深技术经理詹鸿基

Sophos台湾分公司资深技术经理詹鸿基开宗明义提到企业信息安全趋势：威胁攻击数量及复杂性皆大幅增加。一来，随著信息设备从以前单纯只有PC和Client/Server，到现在涵括桌机、笔电、手机、平板、实体伺服器、储存设备、虚拟伺服器、云端，威胁攻击面数量指数级增加；二者，从以前的病毒，到现在后门程式、木马、蠕虫、零时差攻击、多型及变型病毒、记忆体驻留病毒，再到网路与端点整合攻击等，攻击比防御更为复杂。

在无差别攻击横行的今天，大小企业面临相同的安全威胁。

此外，过去以金钱为目的病毒多半锁定金融、电信、高科技制造等大型企业。然而以去年兴起的勒赎软体来看，无差别化的网路攻击已变成常态。中小企业面临安全威胁的机会和大型企业相同，信息安全也将成为所有企业的优先任务。更可怕的是，现在暗网上还出现一种勒赎软体即服务(ransomware as a software)，它藉由分润方式提供代管服务，甚至提供支援12种语言的使用者管理介面，用来检视攻击与赎金给付状况，还可以针对不同攻击对象设定资料赎金金额。任何人，包括不懂电脑的「小屁孩」也可以订制勒赎软体，使这种恶意程式为害层面更加扩大。

防范网路威胁，必须从攻击生命周期加以著手。它会经过侦察潜伏、程式筹载中加入后门程式及攻击程式、透过电子邮件或网页挂马扩散、开采系统软体漏洞以执行程式码、以安装在受害系统中。最后在受害系统上蒐集、变更资料或对档案加密，再和外部C&C主机连线以回传讯息或更新攻击指令。

积极的安全防护必须要能有效拦截漏洞，除了1/10的已知公开漏洞外，还要尽速修补其他9/10的未知漏洞。这些漏洞遍及各种软体，从早期知名的Windows外，近年Adobe Flash及Java也是程式码执行攻击的热门目标。因此下世代防毒解决方案不再只有特徵比对能力，而是具备攻击预测、多向式高效防御、整合防护、中央控管及同步安全能力。

Sophos强调以次世代端点防护结合网路安全产品实现同步安全防护。

Sophos的次世代端点防护结合特徵比对、机器学习、信誉稽核及装置与应用程式控管进行事前防御，并以记忆体扫瞄、行为侦测、流量侦测达到事中与事后的防御。此外更加入了网路防护；藉由网页、电子邮件防护、沙盒、IPS、加密流量监测、进阶威胁防护及使用者身份验证等网路周界防护技术，和端点防护方案同时运作。

在Sophos保护的环境下，网路与端点间有Security Heartbeats技术保持连动，骇客在哪一个环节发动何种攻击，Sophos都能察觉、并以Intercept X加以拦截与封锁；任何单一端点遭受勒赎软体或蠕虫感染，独家的端点石墙围堵(stonewalling)技术能立即侦测并加以隔离，防止恶意程式在内部网路散布、蔓延到其他端点上，也能切断无线网路感染途径，无法经由AP散布到行动装置，同时藉由Sophos网路防护，确保核心伺服器及Web安全。

透过完整的网路防护与端点安全的整合联动，才能协助大、中、小企业在勒赎软体、进阶精准攻击不断演进的复杂网路攻击下确保企业长治久安。

Infoblox：万物皆联网，危机四处藏 -如何因应新世代的网路快速连接与DNS安全

传统上，防火墙、防毒是企业信息安全预算的重点，然而近年骇客已经将攻击目标转向新领域：域名伺服器(domain name server, DNS)，使受害范围更扩大。

2016年10月知名DNS服务商Dyn遭遇了大规模DDoS攻击。骇客利用僵尸网路透过上千IP位址发动DDoS攻击，致使大批代管服务包括Github、美国有线电视(CNN)及信用卡支付公司VISA网站无法使用或连线速度大减。2013年台湾发生渔船广大兴号遭菲律宾海巡队枪击事件，引发两国网民大战，相互攻击对方DNS及政府网站。这些事件都说明，DNS是新一代网路攻击目标。

研究显示，DNS已成DDoS第一大攻击目标

Infobox台湾、香港及澳门区总经理郑清平说明DNS何以成为骇客的新目标。过去10台中有8台DNS使用的是微软Windows Server或BIND等免费软体，然而免费DNS设定相当繁琐，每次部署至少都需要三道程序，包括伺服器、DNS及IPAM管理介面，70%没有自动化IP管理机制。如果发现有问题的DNS查询时，还得需要从微软Active Directory及DHCP抓取成Excel档案靠人工查询，相当费时。

Infobox台湾、香港及澳门区总经理郑清平

雪上加霜的是，网路上DNS攻击工具俯拾皆是，这也让DNS成为骇客攻击理想目标。

郑清平并举例指出使用免费DNS可能的安全风险。例如微软DNS为单机平台，无法确保每台都符合信息安全政策，因为防火墙无法弥补人为的DNS设定疏忽，致使骇客得以针对DNS主机进行区域转送(Zone Transfer)查询，取得组织整个网域及伺服器部署信息，藉此发动攻击。此外，骇客可能藉由发送经过变造、置入有害程式码的IP位址，造成DNS快取污染或中毒，绑架连向该DNS的流量到骇客设立的恶意主机上，或是设立假冒DNS主机进行中间人攻击。另一方面可防范DNS攻击的DNSSEC(DNS Security Extensions)设立相当复杂，且增加DNS伺服器本身的处理负载，也降低企业及服务供应商的意愿。根据台湾网路信息中心(TWNIC)的统计，截止2016年6月，台湾申请DNSSEC的数量也只有166件，显示普及度不高。

有鉴于DNS为目标的攻击愈来愈频繁，政府也开始在安全法规中纳入DNS检验。例如金管会在近日通过的《金融机构办理电脑系统信息安全评估办法》中，即要求检视网路封包是否有异常的DNS查询，比对是否为恶意IP、中继站或有恶意行为特徵。行政院资通安全管理处也从2014年开始针对DNS做信息安全情境演练。

将免费DNS升级Infoblox，具备可视性、简单操作等好处。首先它可整合微软 Active Directory，可提供 DNS 完整查询记录，包含IP、AD 使用者名称，防呆机制减少输入错误。而Infoblox Grid(网格技术)可以将各种分散部署的伺服器整合到统一的网格中，以网格管理器(Grid Master)进行集中管理，简化管理负担，连小学老师也能轻易操作。Grid备援技术也确保DNS服务不中断。

完整IPAM功能让管理员不用再以Excel人工检视IP轨迹

和手动管理化相较，使用Infoblox让用户建立新instance 时减少3倍时间，VM的配置比手动管理减少72%及的工夫，而VM追踪更是缩小为的1/24。此外，透过即时更新恶意网域名单，更能有效防范用户端连向骇客网站，并降低DNS攻击及DDoS攻击的风险，给了企业由Windows DNS/DHCP或免费DNS升级的最好理由。

Radware：DDoS攻击的了解及防御策略建构

分散式阻断服务(DDoS)攻击是企业长期以来面临的头痛问题，然而为了对资安人员而言，必须更进一步了解攻击者背后动机及攻击手法的转变，才能更有效建构防御策略。

Radware台湾区技术顾问黄柏森

Radware台湾区技术顾问黄柏森详细剖析了DDoS网路攻击目的及手法的演变。首先，过去攻击主要只是网路「小屁孩」们炫技的结果，现在的目的逐渐变成国家及商业竞争下的入侵行动，目的在窃取对方机密及造成损失，也有骇客想藉此宣传其DDoS即服务(DDoS as a Service)的威力。但是，排名第一的动机却是钱；网路勒索为目的DDoS在欧洲及亚洲尤其严重，例如今年初台湾多家证券商收到勒索信件，威胁支付7至10元不等的比特币，否则就会发动DDoS攻击，而且也确有10多家券商遭到800 Mbps至2 Gbps不等的DDoS攻击瘫痪下单网站。

现今DDoS包括网际网路线路阻塞、网路设备及伺服器瘫痪，以及重要应用服务的攻击。

其他趋势包括DNS跃居攻击DDoS的新兴目标，物联网装置被用于DDoS攻击，以及针对重要服务的应用层攻击。去年10月美国DNS服务商Dyn遭到大规模DDoS攻击，今年2月底美国一所大学也遭到来自包含路灯、自动贩卖机、网路监视器及摄影机等DDoS攻击，两者都是Mirai僵尸网路入侵物联网装置发出的巨大流量攻击的受害者。前者的DNS伺服器在史上最大DDoS攻击流量中被瘫患，后者则呈现新式DDoS攻击转变为小流量应用层、以及每次攻击短暂，但长时间的攻击趋势。它的攻击流量为每秒3万次呼叫，一共持续了54小时。

从这些例子可以看到，现在DDoS影响范围广泛，可能造成网路频宽阻塞、或是防火墙等网路设备，以及重要伺服器的瘫患，造成名誉及财务上的损失，没有企业能自外于风险。

Radware提供了多层次的防御阵容，包括作为第一道防线的的DefensePro攻击缓解设备、第2层的云端清洗服务可过滤2TB流量、能进行SSL流量加解密的应用传递控制器(ADC)设备、及Web应用防火墙(WAF)，此外还提供管理报表及紧急回应服务。DefensePro设备一台即能挡下400GB DDoS流量，搭载专用CPU能进行复杂运算提供行为分析。

Radware安全解决方案元件

黄柏森表示，和只以流量为过滤阀值的竞争产品不同，DefensePro除了能侦测并缓解流量冲击外，还会分析流量的TCP Flag分布判断其合法性，专利技术使其18秒之内即可产生攻击特徵码，了解是否为恶意攻击者、来源何处、采用何种攻击手法。复合式参数特徵码的智慧资料拦截技术可避免一般拦截IP位址作法误判、挡掉合法流量的机会。它还具备弹性的入侵防御(IPS)功能，可部署于小从200MB大到160GB的环境，适合不同等级的企业客户。透过多层次防护的建构，Radware可协助企业免于为了DDoS防御而必须投资大型设备。

DDoS已是资安人员无法回避的网路威胁型态，了解骇客攻击手法、部署信息安全防御设备，并配合平日的防护演练，企业才能在DDoS攻击当道的时代全身而退。

达友：盘点2017年到18年资安人员最大痛点

今年内信息安全面临各种挑战，从后门程式、勒赎软体、DDoS、进阶精准威胁再到无档案攻击，再再足以让网站服务挂点或是客户资料外泄，而且往往波及数国及数百万台PC，资安人员无不绷紧神经。达友科技副总经理林皇兴盘点了2017年到18年资安人员最大痛点，并勾勒出达友科技提供的防护解决方案地图。

达友科技副总经理林皇兴

达友科技认为，今、明两年进阶精准攻击(APT)、资料外泄、勒赎软体、电子邮件安全、分散式阻断攻击(DDoS)及法规遵循是企业不得不面对的6大挑战。为了协助客户有效因应这些挑战，达友科技也分别引进业界最强大的安全解决方案，以适合各种规模企业的需求。

APT攻击面甚广，骇客可能冒充使用者的亲友或同事，从WeChat、Line传送恶意连结，害使用者连到恶意网站，以致被挂马攻击或下载不明软体，或是以电子邮件传送、并诱使使用者开启假冒的发票文件，因而遭植入后门程式使PC安全门户大开，小则窜改本机设定，大则与外部C&C伺服器建立连结，令骇客以PC为跳板入侵内部网路、取得关键系统存取权或窃取系统上的重要资料。为了建构APT纵深防御，达友科技引进ForcePoint的次世代防火墙确保网路闸道，以其电子邮件闸道方案确保邮件安全。而恶意程式快速演进，像是无档案攻击及勒赎软体，令传统防毒产品相形失效，因此在端点安全上，则主打Carbon Black的次世代防毒方案，运用其智慧鉴识技术进行档案行为分析，抓到光是传统防毒产品特徵比对无法侦测到的恶意程式并加以拦截、封锁。

从上网闸道、电子邮件及端点三方面著手，建构APT的纵深防御策略

内部员工已被证明是导致企业资料外泄的重要环节。内部员工可能是基于有意或无心过失，致使公司客户资料或商业机密外流。机敏资料要窃取成功，需三个条件满足：攻击者/使用者、可解出的资料、以及将资料外传携出的行动；只要任何一个要素防御成功，资料窃取就无法完成。为防止资料被解密，可运用BlackBerry Workspace及Sophps SafeGuard提供的版权管理(DRM)、文件加密及全硬碟加密。为不让资料被携出公司系统，可利用ForcePoint DLP实施内容侦测、存取控管、加密及轨迹纪录，也可藉由ForcePoint CASB及Sophos XG Firewall限制使用上网或不必要的app，像是不许使用IM、Dropbox、Web Mail或VPN软体及串流等。要更快速纠出犯罪的内部使用者，则可部署ForcePoint的UEBA及DLP产品，辨识出高风险员工，并以特权身份管理(Privileged Access Management)避免不当存取重要系统。

资料窃取三要素，任何一个要求防御成功，资料窃取就无法完成。

外部骇客则会以勒赎软体或是打挂DNS服务达到获利的目的。因应勒赎软体加密重要档案要求支付比特币的事件愈来愈频繁，达友引进Carbon Black的端点安全产品，包括智慧化次世代防毒、鉴识/事件处置及威胁猎捕，以及应用程式控管/白名单产品线，降低勒赎软体在员工电脑或手机内作怪的可能性。

近年来假冒DNS主机、DNS快取污染及绑架流量等手法层出不穷，免费DNS的效益已经荡然无存，Infoblox可协助企业防范新型态的DNS 攻击。最后，当两国骇客发动网路大战，或是骇客炫耀能力时，往往会发动DDoS攻击，瘫患政府、电厂或银行伺服器系统，Radware的多层次的防御阵容，为企业挡下巨大流量冲击，并能快速完成攻击分析，协助企业快速掌握敌情采取对策。

透过这些顶尖解决方案的引入，达友科技将可协助企业能在快速多变的信息安全挑战下长治久安。