Deja Vu

ZDNet記者蔡宜秀／台北報導 2009/04/03 19:40:02

面對大規模網路攻擊日漸興起，資安業者RSA認為根本解決之道是做好行為分析。

RSA大中華區技術顧問黃惠美今(03)日建議，企業如欲防堵大規模、組織性的網路攻擊事件，如日前廣受國內外媒體注意的鬼網(間諜網絡)，應從行為分析著手。她表示，其他資安業者提出的資料外洩防護(DLP)技術，僅能做到被動、事後的資料防護；唯有透過監管日誌(Log)進行的網路行為分析機制，企業才能主動偵測異常的網路攻擊行為，及早因應。

「以電子商務維運商來說，若其平日就有在監控賣家與買家的各項網路交易行為，如知道A賣家多是以什麼IP登入的等，那麼當A賣家有不正常的上線行為時，維運商即可防患於未然，」她舉例。

大規模網路攻擊事件頻傳，資安專家紛紛提出各種因應之道─不脫資料外洩防護範疇；但RSA卻有不一樣的看法。後者認為，資料外洩防護只是亡羊補牢的作法─避免機密資料遺失，網路行為監控才是預防之道。

「建議企業以行為監控著手而非盲目導入DLP的原因是，絕大多數的網路行為都是安全的，如99%的網路交易行為都無安全之虞，」黃惠美解釋，雖然DLP有助企業防堵有心人士外洩資料，但因安裝該類產品後，多會影響企業員工的日常作業，如限制USB存取資料等，因此，建議企業從導入可監控網路行為的工具著手，如RSA envision 4.0等。

「若企業有計劃導入DLP產品，建議企業先擬定資料保護政策、以此分類與分級既有資料，其後再導入相對應的DLP產品。」她說。

分析師有不一樣的看法。無論是用來防堵資料外洩的DLP產品，或者是透過監控IT設備日誌(Log)已落實企業網路行為監控，都算是治標而非治本。IDC企業應用資深分析師薛如珊指出，解決網路攻擊、詐欺的根本之道在於透過應用程式弱點掃描工具確保網路應用服務沒有弱點、沒有遭受到任何網路攻擊。

她進一步指出，由於有提供應用程式弱點偵測產品的廠商還很少，而且多半是從去(08)年下半季度才開始銷售該類產品，如IBM的Rational AppScan等，因此，導入的企業仍屬少數。「由於該類產品的售價不斐，比較有可能率先導入的企業，應該是政府與金融等中大型企業。」薛如珊說。