NetFos 逸盈科技

中芯數據 MDR結合 SentinelOne 全方位防禦勒索軟體侵害與緩解資料崩潰災難

全方位防禦勒索軟體侵害與緩解資料崩潰災難。中芯數據MDR結合SentinelOne協助您達成：事前預防、事中偵測與阻絕、事後的資料還原．隨著惡意威脅行為者的複雜性和有效性不斷提高，勒索軟體的利潤也越來越高的情況下，勒索軟體對所有組織的威脅越來越大，其影響範圍超出了資安管理的範疇，甚至已經包括資安治理、運營、財務、客戶和公共關係等。如今，勒索軟體的日益流行及其潛在的破壞性（從學校停課到關鍵基礎設施受損，再到醫療保健服務中斷）引發了更廣泛的、可以說是姍姍來遲的關於如何應對這一全球普遍存在的威脅的討論。

話雖如此，防範並最終打敗勒索軟體首先要了解它是什麼、它如何以及為何發展，以及您的組織可以採取哪些措施來阻止它的發展。

什麼是勒索軟體？

勒索軟體是一種惡意軟體（malware），它利用資料加密向組織勒索大量贖金，一旦支付贖金，理論上將使用解密金鑰恢復對受影響數據的訪問和/或解密。當用戶使用諸如網路釣魚電子郵件或水坑攻擊之類的社交工程攻擊時，勒索軟體通常會在組織環境中獲得最初的跳板，（例如經由內部橫向移動取得的高權限帳號後，再繼續進行取得更多的跳板與立足點。）

在大多數勒索軟體攻擊的情況下，加密會限制對重要文件、系統和應用程式的存取，拒絕或未能支付所需金額可能會導致這些資訊資產無法存取使用，或有價值的資料洩露給網路犯罪組織。普遍接受的勒索軟體支付通常為虛擬貨幣。

什麼是勒索軟體即服務 (RaaS)？

勒索軟體即服務是一種商業模式，在這種商業模式中，勒索軟體開發人員以統一費率或分潤的向非技術買家出售完全成熟的勒索軟體變種，使他們能夠在沒有任何重要技能的情況下發動勒索軟體攻擊。這些交易通常在暗網上進行。

勒索軟體開發人員從 RaaS 模型中受益，因為他們不需要直接關注風險或尋找和感染目標的交易技巧。這種分工和技巧意味著具有不同技能和專業知識的犯罪分子可以聯合起來，使攻擊和 RaaS 套件更加高效和有利可圖。

儘管 RaaS 不是一種新的交付模式，但鑑於近期勒索軟體攻擊的普遍流行和“成功”、相對於可能的回報而言前期成本較低，以及 RaaS 中勒索軟體開發人員的可用性和質量不斷提高，它的受歡迎程度穩步上升市場。

如何防範勒索軟體？

它需要採取全面的方法來保持受到保護，包括端點保護、檢測和即時回應。中芯數據MDR利用在MITRE ATT&CK®評比上表現首屈一指的 SentinelOne Singularity平台，結合中芯數據最優秀的監控服務團隊，提供事前預防、事中偵測回應以及事後災難回復的最完整方案。如何做到最即時的災難復原？中芯數據結合SentinelOne的MDR服務，提供獨家技術的萬無一失方案，當遭受滅頂式的未知勒索軟體侵害時，最重要的資料保護與復原變成是當下最重要的作業，中芯數據MDR可以在端點遭受加密時，即時偵測到正在加密的動作並停止造成惡意加密的程序，同時馬上啟動即時資料復原，面對勒索軟體，可以從偵測、回應、到最後的資料搶救，中芯數據MDR才是您最需要的方案。

ExtraHop 助力消除企業網路的可視性盲點，逼使入侵者形跡敗露、無從藏匿！

"隨著入侵攻擊手法進化，近年時常可見駭客輕易跨過傳統邊界防禦、直接滲入受害企業內網，釀成可觀災情。使越來越多企業意識到內部環境分析的重要性，著手導入各類型「偵測與回應」（Detection and Response）解決方案；期初像是 EDR、XDR 等產品，或者 MDR 服務，相繼蔚為風潮。

然而近年 NDR（網路偵測與回應）展現後發先至氣勢，在全球市場的成長率節節攀升，風頭逐漸壓過 EDR、XDR 或 MDR。著眼於此，身為 NDR 領導廠商的 ExtraHop，決定攜手代理夥伴逸盈科技展開積極推廣作為，期望協助臺灣企業跟上 NDR 佈建熱潮，一舉破解隱含於企業環境的種種盲點，讓駭客難以繼續隱身在陰暗角落。

互補其他偵測與回應產品，破解企業環境的盲點: NDR、EDR、XDR 之所以不同，源自資料蒐集點的差異，如 EDR 取決於端點，XDR 取決於端點加上日誌（Log），NDR 取決於網路。至於 MDR意指 Managed Detection and Response，為專業托管服務性質，服務商透過用戶環境的端點、網路或日誌資料，協助進行事件辨識與判別。

NDR 能與其他偵測與回應產品形成互補，破解企業內部環境的盲點，」朱孟穎說，現今許多企業佈建印表機、網路攝影機、數位電話機等大量 IoT 設備，但無法為它們植入 Agent，也難以進行 Logging，因而成為 EDR、XDR 偵測死角；又或者，譬如金融業或電信業都將資料庫視為關鍵資產，基於穩定運行考量，不傾向安裝 EDR 或 SIEM的Log來耗損系統資源，避免衍生風險。此時便可利用 NDR 的網路側錄方式，再搭配機器學習演算法來監測企業網路中 User、Active Directory、Application、Database、Storage 之間所有互動，進而針對異常事件展開響應，避免上述盲點淪為資安破口。

以往談到網路偵測，企業較為重視防火牆、Proxy、IDS/IPS 等邊界防禦系統，利用它們來分析縱向（南北）流量，雖不乏防護功效，但容易錯失發覺入侵者的黃金時間。假設攻擊鏈當中含有 A 到 Z 程序，依序代表駭客執行內部掃瞄、掌握關鍵資產，探索關鍵資產的漏洞、橫向移動、入侵、抓取資料…等步驟，最終 Y 到 Z 才是攻擊鏈的最後一哩，意指駭客往外拋資料；唯有走到這一步，防火牆、IDS/IPS才有機會發現敵人蹤跡。但從 A 到 Z 之間往往歷經數個月、數週或數小時，企業當然不樂見重點投資的防禦設備，竟然僅能守護從 Y 到 Z一小段，更希望及早掌握駭客入侵及橫向移動等行徑，因而需要借重內部網路的橫向（東西）流量分析來填補偌大缺口。

匯聚三大優勢，得以即時發現威脅、加速事件回應

時至今日，ExtraHop 憑藉旗 Reveal(x) NDR 產品，已在全球各產業建立廣泛客戶群。令人好奇 ExtraHop 擁有哪些獨特優勢，得以在競爭激烈的市場闖出一片天？

朱孟穎歸納三項因素。首先 NDR 是收封包的設備，如同人類擁有耳朵，聽得到企業網路流傳的訊息，但每個人對不同語言的辨識度與理解度，高低落差甚大。ExtraHop 能廣泛「認知」逾 75 種眾多網路協定，而非如多數廠商只能做到「識別」層次，猶如 ExtraHop 不僅能聽出有人講俄語、還可完全理解箇中語意。以資料庫應用為例，所有 NDR 產品均能識別「流量暴增」現象，但只代表統計學上的異常，不見得為資安事件；反觀 ExtraHop 24/7 收錄所有封包的 Metadata，並基於對眾多語言與協定的理解，深切掌握存取資料庫的所有用戶名稱、查詢哪些 Table 資料，及針對資料採取讀、寫或刪除動作…等一切細節，故能準確還原當初事件原貌，達到更佳的偵測與回應功效，將誤判機率降至最低。

其次 ExtraHop Reveal(x) 內建 SSL 解密專屬晶片，不需依賴第三方外掛，得以憑藉優異的吞吐效能解析加密封包內容，因而成功攔截諸多頑強的惡意入侵，如近期盛行一時的 PrintNightmare 漏洞攻擊便是一例。

第三，許多 NDR 產品重「D」而輕「R」，普遍缺乏完整的事件回應輔助機制，只是不停偵測、不停發警訊。ExtraHop 考量用戶接收到警訊後，仍需自行處理事件回應，故於 Reveal(x) NDR 內建分析平台，藉以迅速抓取眾多細部資料，以利用戶輕鬆快速地獲得完整佐證，精準判定該警訊是誤判、或真實事件。

附帶一提，ExtraHop 不論流量正常與否，都會全天候收錄所有 Metadata，並且長期保存。好處是萬一有新弱點被揭露，ExtraHop 不只如同其他友商，可保障用戶環境的當下安全，還能幫助用戶回溯反查過去數月的資訊，檢視當時有無設備對外連結惡意 IP，藉以根除駭客埋下的樁腳。去年底（2020）爆發 SolarWinds 供應鏈攻擊之際，ExtraHop 便協助許多用戶成功追查出潛伏許久的毒害。

逸盈科技除致力推廣與銷售 ExtraHop Reveal(x) 產品外，亦將憑藉長年代理資安產品累積的專業素養，一方面協助企業理解特定的資安知識，二方面則善用 ExtraHop 提供的 API、促成Reveal(x) 與第三方工具的整合，例如 Network TAP Switch、防火牆、SIEM、EDR/MDR 或網路存取控制（NAC）等，以發揮資安聯防效果。

事實上就有製造業用戶，曾利用 ExtraHop Reveal(x) 的機器學習演算法，成功捕捉到來自海外據點的 VPN 流量，從夜間至清晨依序執行內部掃瞄、橫向移動、侵入主機的可疑過程，研判風險偏高，故而發出即時告警，驅動 NAC 執行封鎖，讓潛在攻擊行動劃下句點，完美締造了網路偵測與應變的絕佳典範。"

Qualys 提供 Web 應用程序掃描應用程序的掃描

Web 應用程序掃描功能對於檢測這些漏洞至關重要，因為它們模擬 Log4Shell 漏洞利用的攻擊。為了幫助客戶保護自己免受這種威脅，Qualys 正在製作其 WAS 應用程序，該應用程序可掃描 Web 應用程序和 API 以查找 Log4Shell (CVE-2021-44228) 漏洞，免費提供 30 天，請訪問qualys.com/was-log4shell-help。

Qualys WAS 通過其先進的帶外檢測機制，可以準確檢測易受 Log4Shell 攻擊的應用程序。為了識別易受攻擊的站點，WAS 使用特製的有效載荷來模擬惡意行為者使用的相同攻擊模式。可以快速輕鬆地識別易受攻擊的站點進行修復，在攻擊者知道您已暴露之前就將其拒之門外。

Log4Shell 是在過去十年中看到的最令人震驚的漏洞，幫助組織應對這一前所未有的威脅也是中芯數據關注的重點。許多組織都在爭先恐後地尋找方法來檢測他們對 Log4Shell 的暴露情況。中芯數據將幫助安全團隊快速評估和保護企業的外部 Web 攻擊面，緊急採取行動。"

Cato 攜手國際一線電信商建置骨幹　打通全球據點傳輸瓶頸

"COVID-19疫情大流行起，驅動了全球企業數位轉型加速進展，即便是對雲端運算應用趨勢相對保守的本土企業，也開始願意把內部應用系統遷移部署到雲端平台，抑或是直接採用SaaS服務，讓居家辦公的員工得以順利執行工作任務。

至於網路連接性與安全性的疑慮，則可藉由Cato Networks自主研發的Cato Cloud，以雲端原生的方式整合網路應用加速與安全防護相關機制，來為隨處辦公或居家防疫的員工打造安心可靠的網路工作環境。

Cato Networks 過去接觸的企業客戶，業主通常不傾向採用雲端平台，首要原因是認為不夠安全，拒絕把資料放在雲端平台之上。直到近期本土疫情擴散，大部分企業啟動異地辦公或居家辦公的工作模式，幾乎都是藉助防火牆提供的VPN來建立安全連線，登入到公司內網存取資源。為此，甚至連過去抗拒採用雲端服務的企業，也改變態度，願意把應用系統遷移到雲端平台，只把機敏資料保留在地端資料中心。

然而，遠端工作員工要存取總公司資料中心或虛擬私有雲（VPC）服務，員工皆得透過VPN驗證登入才可存取，不僅網路連接性可能遭遇傳輸瓶頸，亦欠缺完善的資安風險控管機制，一旦員工帳密被盜用根本無從查證。因此，網路連線品質與安全防護勢必要有所調整，才得以因應應用存取架構的變化。

善用雲端平台特性彈性擴增資源

現代工作者不僅需要高品質的網路連線，更須讓各式終端裝置具備完整的安全防護力，這可說是Gartner最初提出SASE框架的核心理念。始料未及的是全球COVID-19大流行衝擊下，意外加速了數位化發展腳步，SASE亦快速成為眾所矚目的焦點。

Cato Networks於2015年創立初期所研發設計的雲端服務，是以保障廣域網路傳輸品質與安全性為目標。大約也是在Gartner提出SASE資安框架後，異質技術領域的IT廠商才開始基於各自擅長技術推出SASE雲端服務，石漢成指出，相較之下Cato Networks的優勢在於已整合所有網路連線，可保證傳輸品質與安全。

他進一步說明，Cato Cloud部署範圍涵蓋了全球骨幹電路，可藉此讓用戶存取封包加速遞送。以往分公司外部據點必須自建部署SD-WAN、次世代防火牆、廣域網路傳輸加速、CDN服務等方案，Cato Networks則把現代企業網路與安全必備的技術予以整合，以雲端服務方式提供。

台灣防疫指揮中心宣布實施第三級警戒時，許多企業緊急啟用VPN並要求居家辦公的員工在裝置上安裝代理程式，才發現既有次世代防火牆的VPN授權數與效能皆不足，必須額外添購以因應所需。實際上，SASE雲端安全平台提供的機制已可協助，特別是過去VPN可能僅開放少數有差旅需求的員工或高階主管使用，如今全面實施居家辦公，可能有數百名員工得同時透過VPN連線時，藉由雲端原生技術打造的安全平台，因具備隨需擴展的優勢，可彈性因應使用量暴增的問題。

保證最高等級服務水準協議

採用Cato Cloud服務，既有地端建置的多層次防禦體系無須變動，只要對外網路接口建立IPSec VPN接取到Cato Cloud平台即可整合運行。反觀許多號稱同樣提供SASE方案的供應商，卻必須搭配地端硬體才可銜接到SASE雲端安全平台，石漢成強調，這可說是Cato Networks的重要優勢。

Cato Networks研發設計初期觀察企業採用雲端服務的數量逐年增長，例如Microsoft 365已逐漸取代地端的郵件伺服器、檔案分享伺服器，有感日後企業勢必會面臨到網路傳輸品質不佳與安全性的問題，研發方向即以加速遞送與增添防護機制為主軸。再加上COVID-19疫情影響，企業紛紛實施員工居家辦公防疫同時又要維持營運，面臨到VPN連線存取企業總部內網資源的資安風險大增，Cato Cloud平台正可展現價值，有效保障員工遠端工作效率。

Cato Networks的思維是把研發資源投注在雲端原生平台，並部署到全球各個重要的網路接入節點（PoP），假設是美國傳遞資料到台灣，網路傳輸可透過Cato Networks攜手國際Tier-1電信營運商合作建置的骨幹來進行加速，相較於部署在主流公有雲平台，更可保證網路傳輸品質。這也是Cato Networks強調可達到一年最多只斷線5分鐘、保證99.999%服務等級協議（SLA）的關鍵因素。此外，我們與主流公有雲平台之間亦有建立專線對接，讓企業用戶不論是VPN連線到自家資料中心或存取公有雲服務，皆可保障傳輸品質與安全防護等級。

打通傳輸瓶頸兼具保護力

基於全球佈建超過12萬台軟硬體整合的邊緣伺服器，部署Cato Cloud雲端原生平台，並且自主研發次世代防火牆、網頁安全閘道、入侵偵測防護、進階威脅分析、網路應用加速等機制，平均每天解析超過1TB的網路流量，藉此即時掌握在全球各地發生的最新攻擊活動，增進Cato Cloud即時辨識零時差攻擊的能力。此外，企業IT管理者亦可藉由統一介面控管網路連線狀態與威脅相關數據。

員工居家辦公，可下載Cato開發的App，就近連線接取到骨幹網路，再到雲端平台或登入自家資料中心，如此一來，已無須透過傳統VPN連接，不至於遭遇VPN漏洞攻擊或網路延遲，藉此降低潛在資安風險。

較特別的是，Cato Networks亦有提供地端部署的小型Socket SD-WAN設備，支援隨插即用（ZTP），只要接上網路與電源線即可自動連線到Cato Cloud平台，一旦經過分析比對發現企業總部或外部營運據點已經被滲透，惡意程式正在橫向移動，則立即觸發回應措施加以阻斷。

以台灣某大型零售業客戶為例說明，過去是採用的是MPLS專線，經常遭遇到網路傳輸瓶頸，影響廣告推播及部落格推薦，引進部署Socket SD-WAN設備後，除了可排除應用遞送延遲問題，同時也強化全台直營店或加盟主整體資安防護強度，以確保隨時隨地皆可防護。企業IT部門藉由Cato Cloud平台統一控管，依據終端設備環境、混合雲應用場景，配置控管措施，實踐新世代零售業的IT網路環境，以因應快速展店、強檔展期促銷、新品推廣等營業需求，整體IT架構可讓任何裝置，隨處皆可快速且便利地連結到企業網路。

2022 年 Acronis 網路威脅報告 發表了網路威脅預測

"Acronis 近期杜拜 Acronis #CyberFit 高峰會完美落幕，這是 Acronis #CyberFit 世界巡迴高峰會的第三站，Acronis 致力於為世界各界的企業提供網路保護。並發佈其年度 2022 年 Acronis 網路威脅報告作為活動的開始，對全球網路安全趨勢和威脅進行了深入審查。報告警告稱受管理的服務供應商 (MSP - Managed Service Provider) 面臨的風險尤其嚴重，他們擁有更多自己的管理工具 (如 PSA - Protective Security Advisor 或 RMM - Remote monitoring and management)，網路罪犯會利用這些工具來對付他們，從而愈來愈容易受到供應鏈攻擊。

2021 年主要趨勢及 2022 年預測

除了網路罪犯日益增長的效率以及對服務供應商和小企業的影響之外，2022 年 Acronis 網路威脅報告還指出：

• 網路釣魚仍然是主要的攻擊媒介。94% 的惡意軟體都是透過電子郵件傳送的 - 利用社交工程技術誘騙使用者開啟惡意附件或連結，網路釣魚甚至在疫情之前就已高居榜首。它仍在繼續快速增長：就在今年，Acronis 報告稱與同年第二季度相比，第三季度封鎖的網路釣魚電子郵件增加了 23%，惡意軟體電子郵件增加了 40%。

• 網路釣魚執行者開發新騙局，開始進展至通訊工具。這些新騙局現在主要針對 OAuth 和多重要素驗證工具 (MFA)，允許罪犯接管帳戶。為了避開常見的防網路釣魚工具，他們將使用簡訊、Slack、Teams 聊天及其他工具進行攻擊，如商務電子郵件詐騙 (BEC)。最近一次此類攻擊的例子是臭名昭著的劫持 FBI 自己的電子郵件服務，導致遭入侵並於 2021 年 11 月開始傳送垃圾電子郵件。

• 勒索軟體仍是大公司和 SMB 等的頭號威脅。高價值目標包括公共部門、醫療保健、製造業和其他重要組織。不過，儘管最近逮捕了一些人，勒索軟體仍是當今最賺錢的網路攻擊之一。Cybercrime Magazine 預測勒索軟體造成的損失在 2021 年底之前將超過 200 億美元。

• 加密貨幣是攻擊者最喜愛的工具之一。資訊竊取者和交換數位錢包位址的惡意軟體如今已成為現實。我們可以預料 2022 年會發生更多此類直接針對智慧合約的攻擊，會攻擊加密貨幣的核心程式。此外，針對 Web 3.0 應用程式的攻擊亦會愈加頻率，全新的和愈加精確的攻擊 (如閃電貸攻擊) 將允許攻擊者從加密貨幣集區中抽取數百萬美元。

全球網路威脅增加：中東地區對網路防護的需求日益增長

就網路安全而言，2021 年是有史以來最糟糕的一年，不僅對許多組織，對許多國家亦是如此，包括正在努力對抗全球「網路疫情 (cyber pandemic)」的阿拉伯聯合大公國。儘管他們盡最大努力，但正如 Acronis 最近的調查指出的那樣，阿拉伯聯合大公國仍有 25% 的人不使用任何網路防護工具。

惡意軟體仍然是一種全球現象，每個國家都必須與之對抗。回顧我們研究中的標準化惡意軟體偵測，我們發現台灣、新加坡、中國及巴西等國家/地區的偵測率超過 50%。不過，中東及非洲 (MEA) 地區在清單上的排名也相當高，阿拉伯聯合大公國為 38%、南非為 36%、沙烏地阿拉伯為 29%。

看到類似的遭封鎖勒索軟體攻擊的統計資料：阿拉伯聯合大公國在全球排名第 33，佔全球偵測的 0.3%，比 2021 年 10 月增加了 63%；而南非在全球排名第 30，佔所有偵測的 0.4%，比 2021 年 10 月增加了 64%。

雖然勒索軟體攻擊在中東及非洲 (MEA) 地區正明顯上升，但高惡意軟體偵測率可能意味著各國正在透過升級其偵測能力來加強網路防護。

「2022 年 Acronis 網路威脅報告」基於對攻擊和威脅資料的調查，這些資料由公司的 Acronis CPOC 全球網路收集，該網路會全天候監控和研究網路威脅。惡意軟體資料由全球超過執行 650,000 個執行 Acronis Cyber Protect 的獨特端點收集，這些端點可以是使用解決方案的服務提供商客戶，也可以是執行解決方案的企業。年底更新會說明針對 2021 年 7 月至 11 月間偵測到的端點的攻擊。

Acronis 也率先宣佈位於非洲 (奈及利亞和南非) 的兩個資料中心將於 2022 年第二季度開啟，這有助於實現公司開展的於兩年內在全球範圍內建置 110 個資料中心的計畫。

F5 NGINX 幫助您更好的使用開源軟體來運營企業效能與能力

"在當今競爭日益激烈的業務環境中，軟體團隊承受著盡快交付新的和更新的代碼與交付最具創新性的服務的壓力。同時，對基礎架構和應用程式的複雜攻擊的興起使得追蹤漏洞並儘快緩解漏洞至關重要，這是將十分困難與耗時。商業支援例如NGINX Plus訂閱服務可減輕維運負擔，使應用團隊可以專注於其主要任務—更快地交付代碼—同時使組織免受安全漏洞的侵擾。世界各地數以百萬計的組織使用基於開放原始碼開發的 NGINX 來為其網站和應用交付基礎架構提供支援。雖然企業對NGINX的依賴程度非常高，但令人感到驚訝的是，許多企業承認並未認真考慮運行具有安全漏洞修復程序的最新版本之重要性—例如常見漏洞和暴露（CVE）—但這在當今的Internet上變得已如此普遍。當然，僅考慮安全威脅防範是不夠的—企業需要定義明確的流程來追蹤漏洞，並在可取得後立即實施保護措施。就像使用開源軟體一樣，很容易低估由自己包攬全部工作會耗費多少時間和精力。的確，快速而輕鬆地保護自己免受安全威脅是商業支援軟體經常被忽視的優點。在此文中探討了保護開源軟體的挑戰，並說明了商業支援版軟體如何更快更輕鬆地緩解CVE和其他安全威脅。

擬定開源漏洞處理政策

儘管所有開發人員都以為他們編寫了完美的代碼，但沒有任何軟體可以避免錯誤。開發人員希望在開發過程中能將大部分的漏洞檢測出來並加以修復，然而仍然避免不了最糟的情況，這些漏洞未被檢測出，並且被惡意用戶加以利用。尤其是當開發人員從多種開源工具、編程語言和平台構建應用時，錯誤的後果會更加複雜。

開發人員需要分別檢查每個組件，並且為其驗證為無錯誤的。在開源軟體中發現錯誤時，重要的是要有一個定義的策略來驗證，測試和修復它們。而開源軟體政策至少應包括三個過程：定期審查和測試、跟蹤漏洞並在內部報告、即時修復漏洞。

漏洞披露與補救

發現安全漏洞後，須按照標準的事件序列進行披露。第一步是向軟體的作者或供應商提交詳細報告。報告者和作者共同決定如何以及何時公開此漏洞，通常是常見漏洞和披露資料庫中記錄的形式。按照慣例，作者有90天的時間在公開之前解決問題，但有可能協商更多的時間。

作為開放源代碼軟體的提供者和商業軟體的供應商，NGINX 積極參與報告和補救過程，以解決影響商業產品和免費開源產品的CVE和其他漏洞。NGINX Plus 是基於開源版 NGINX，並且致力於為商業版客戶提供企業級支援和流程標準。這些標準包括與客戶的服務水準協議（SLA），這些協議規定了針對核心軟體，相關軟體模組和受支援的模組的修補程序必須遵循的錯誤修復和測試過程。SLA幫助客戶實現法規遵循，從而最大程度地降低遭受漏洞利用的風險。

NGINX 開源的另一個缺點是，許多第三方技術都將其改寫並嵌入到其產品中。這些技術的提供者擁有自己的發現和修補軟體漏洞的過程。正如後續討論的那樣，在為開源版NGINX發布的修補程序與為第三方技術發布相應的修補程序之間，有時會有相當大的時間差。

免受漏洞侵害的五個方法

前文提到，商業支援版軟體經常被忽視的好處是，它如何使客戶更快更輕鬆地保護自己免受漏洞侵害。處理開源軟體中的漏洞可能比許多人認為的要耗時得多，因此成本也更高。下面以NGINX Plus為例討論讓訂戶可以更快、更輕鬆地解決漏洞的五種特定方法。

一、主動通知用戶有關修補的信息

開源 NGINX 和 NGINX Plus 的安全修補發布時，會透過電子郵件主動通知 NGINX Plus 客戶。此外還建置了一個部落格，公告了大多數修補程序的發布情形。但由於NGINX開源用戶無法被直接聯繫上，必須自行密切注意CVE和其他漏洞資料庫以及定期檢視該部落格。

二、即時協助受攻擊用戶

當F5客戶（包括NGINX Plus訂戶）成為攻擊的受害者時，F5安全事件回應團隊（SIRT）將會提供即時幫助。SIRT可以快速有效地緩解攻擊並讓用戶恢復正常運行。即使在攻擊停止後，他們仍將與用戶合作檢測事件以減少對企業組織的整體危害，而且可以了解、預測和阻止未來的威脅。

三、強化應用程式保護

NGINX App Protect 是一種企業級網頁應用程式防火牆（WAF），具有F5的20年安全經驗，並已作為NGINX Plus動態模組進行了部署。它藉由特定於應用程序的保護來增強第7層安全性，以防止後端應用伺服器中更多的CVE，可使訂戶強化應用安全。

四、支援基於 JWT 和 OpenID Connect 身份驗證

即使沒有需要修補程序的特定漏洞，複雜的身份驗證協議也有助於防止駭客攻擊企業用戶的應用和基礎架構。除了NGINX 開源中可用的方法之外，NGINX Plus 還支援基於 JSON Web 令牌（JWT）和 OpenID Connect 的身份驗證，適用於 Web 和 API 客戶端。

五、訂戶立即獲得修補

如報告漏洞中所述，當漏洞影響 NGINX 軟體時，通常會在將其作為 CVE 公開披露之前得到通知。預先警告使原廠能夠在公開披露之前準備修補，並且通常在披露當天（或在某些情況下，在幾天之內）發布修補。該修補程序以修補二進制檔案的形式提供給商業支援版客戶。開源用戶可使用更正的源代碼或被支援的作業系統的修補二進制檔案，但是如上所述，原廠無法直接通知他們。

利用或嵌入 NGINX 開源程序的第三方技術可能不會在漏洞披露之前就意識到該漏洞。即使他們這樣做，過往的經驗是他們的修補程式可能比 NGINX 修補程式滯後幾個月的時間。這是可以理解的，尤其是對於通常由志願者維護的開源軟體而言，但是在該漏洞公開暴露並受到駭客利用之後，它會使企業的基礎架構不受保護。

例如，在2018年秋季發現了兩個有關 HTTP/2 漏洞的CVE（CVE-2018-16843和CVE-2018-16844）。作為回應，原廠對NGINX Plus R16和NGINX開源1.15.6應用了安全修補。流行的OpenResty軟體建立在NGINX開源之上，它於2019年3月3日首次發布了包含這些修補的發行候選版本—距離NGINX修補整整四個月。然後，基於OpenResty構建的解決方案通常需要花費更長的時間來修補其代碼庫。

有時，漏洞的狀態不清楚，或者軟體提供商不認為有必要安裝修補，即使該修補構成了潛在的攻擊媒介也是如此。舉例來說，2020年，最廣泛使用的開源WAF軟體ModSecurity發生了這種情況。OWASP CRS 團隊發現，ModSecurity v3對正則表達式進行全局匹配的方式可能導致團隊認為這是拒絕服務漏洞（CVE-2020-15598）。Trustwave自己維護ModSecurity，但該組織對這種行為被認定是安全問題表示懷疑，並拒絕發布修補。

該 WAF 是 NGINX 再加上動態模組建立的，NGINX 團隊認為 CVE-2020-15598中描述的行為具有導致 DoS 漏洞的潛在可能，並於2020年9月發布修補。正如在發布修補的部落格中的解釋，開源ModSecurity的用戶（包括NGINX開放源代碼用戶）必須自行決定是應用 OWASP CRS 團隊的修補，還是堅持使用Trustwave未修補的軟體並實施其建議的緩解措施。

資安思維的變化及透過 Nutanix Flow 增加安全性

「縱深防禦（defense-in-depth）」很容易概念化，因為它基於易於理解的結構，例如物理位置或內部與外部網絡，並通過在以下位置添加檢測和控制來創建分層邊界邏輯入口和出口點。隨著現代應用程序的分佈式特性以及公共雲和混合雲的包含架構，這些邊界不再容易定義。根據「零信任」的安全概念，定義邊界將重點轉移到應用程序上，並使用戶圍繞新邊界制定策略。零信任消除了「我們與他們」和「內部與外部」。它假定攻擊可以來自任何地方，因此最好的防禦是將網絡通信和授權限制為應用程序運行所需的內容，而不是依賴於對位置或來源的信任。

身份在最終用戶計算中的作用

Flow 是用於 AHV 虛擬化環境的網絡安全產品。它使用微分段來保護在 Nutanix 上運行的應用程序和虛擬網絡。在過去的幾個版本中，我們添加了特定的增強功能來解決遠程工作人員的 WFH 問題，並使 Flow 中管理策略的整個過程更簡單。

身份一直是最終用戶計算（虛擬桌面或DaaS）的焦點)，其中桌面或應用程序通常鏈接到特定用戶或組。在 AOS 5.17 中，我們添加了一項稱為身份防火牆 (IDFW) 的功能。IDFW 允許 Flow 策略合併用戶身份的附加上下文。考慮創建 Flow 策略以根據用戶身份將虛擬桌面限制為一組端點的能力。例如，在平面網絡上使用單個桌面池，可以創建一個策略，不僅可以阻止桌面到桌面的通信。這還可以提供獨特的網絡策略，將承包商限制為特定應用程序，並且可以根據員工在目錄服務中定義的角色來控制他們對網絡或應用程序的訪問。以這種方式定義的政策的好處是，隨著角色或就業的變化，它允許網絡策略自動適應。無需在桌面解決方案中手動重新配置或更改用戶配置。

確保與可重用組的策略一致

Flow 中的策略模型基於使用標籤或類別對端點（例如，Web 服務器、數據庫、中間層應用服務等）進行分組的概念，以努力降低動態虛擬環境中策略更新的複雜性和需求. 在虛擬機管理程序的虛擬環境中具有端點標識符（IP 地址）的上下文，並且這些標識符可以動態更改（DHCP、網絡移動、添加網絡接口），根據分組的 VM 編寫策略。除了使用類別之外，Flow還允許使用服務組來表示單個別名下的一組端口和協議，並允許使用地址組來對非虛擬端點或參考地址範圍進行分組。這極大地簡化了非虛擬外部端點（例如客戶端、企業網絡和裸機）的編寫策略。

使用 Flow Security Central 進行計劃、監控和審查

除了通過組和類別簡化策略之外，我們最近還通過添加 Security Central 擴展了 Flow 功能。Security Central 是 Fl​​ow 的一個包含功能，它是一個安全操作和分析儀表板，其關鍵功能是提供虛擬機流量可見性。Security Central 獲取網絡流數據並構建 VM 到 VM 流量的交互式可視化。這種可視化提供了一種更簡單的方法來獲取網絡流量的上下文並就 VM 的分類或分組做出決策。

安全和混合雲

關於使用混合雲模型來確保企業可以為其應用程序獲得最佳的本地和公共雲操作模型的討論有很多。許多組織在考慮混合雲時普遍關心的一個問題是如何確保其安全策略在所有位置保持一致。對於混合雲，Nutanix 提供集群，允許將我們的平台部署到今天的 AWS 實例和不久的將來的 Microsoft Azure 上。Clusters 的偉大之處在於它與在本地數據中心運行的 Nutanix 平台相同，並且包括使用 Flow 實現網絡安全的選項。當所有位置都通過 Prism Central 進行管理時，好處是所有位置都可以使用類別和安全策略。 

與合作夥伴一起增強安全性

雖然我們相信 Flow 可以涵蓋大量網絡安全用例，但在某些用例中，不僅需要對網絡和應用程序進行分段，還需要檢查網絡中允許的流量。無論是出於監管目的，還是作為防禦勒索軟件的綜合戰略的一部分，添加基於網絡的威脅情報的能力都是一個有價值的選擇。Nutanix Flow 支持這種基於策略的第 3 方虛擬安全設備服務插入，以提供對何時何地應用額外檢查的精細控制。

Gartner® 在 2021 年度超融合基礎架構軟體魔力象限™（Magic Quadrant™）中將Nutanix 再次評為領導者！可以連續獲得認可 可歸因於 Nutanix 擴展和增強超融合基礎架構(HCI)軟體功能，實現數位化轉型和客戶高滿意度，過去6年獲得90分的平均淨推薦值(NPS)。

ExtremeCloud IQ 雲端服務提供統一控管平台

企業逐漸接受統一控管平台以雲端服務方式提供，主要因素不外乎看重自動擴展，以及應用服務的負載平衡。當流量進入時，可以導向特定的環境，讓閒置的系統先行升級或安裝修補更新，完成之後再替換，如此一來，最終用戶根本感受不到異狀即可完成全部更新作業。

無線網路控制器改由雲端服務提供的另一項好處，是部署模式變得簡易，無線基地台只要有能力接取網際網路，即可以簡單的方式配置完成。以前無線網路部署必須先設定完成DHCP與DNS服務的參數值，無線基地台才能尋找控制器的位置以進行註冊，如今則是每個無線基地台的作業系統已嵌入連線註冊網址，只要接取網際網路即可自動向所屬控制器站點報到。對於IT部門而言，上線啟用的步驟變得更為簡易，自然相當歡迎，問題在於是否要開放管理平台上雲。

IT網路環境區分成內網與外網，傳統觀念是沒必要把內部網路交換器、基地台的控管平台部署到公有雲環境。隨著無線網路供應商開始提倡實體控制器部署在雲端平台，企業實際採用後發現基地台只是上傳行為與狀態資料，而非使用者彼此交換的檔案，才慢慢打消安全疑慮，接受控管平台由雲端服務來提供的運行架構。

實體網通架構逐階段演進到微服務

網通廠商因應企業IT演進的腳步，第一代發展的是韌體虛擬化版本，不論是部署在地端或雲端的IaaS環境皆可；第二代則是增添多租戶架構，可提供代理商藉此服務不同中小企業客群，或是跨國企業自建控管全球外部據點，但萬一使用量過高遭遇效能瓶頸，必須執行橫向擴充計畫時，勢必得離線增加記憶體、處理器、硬碟等資源，此時就無法避免會有中斷時間。

或許廠商可選擇把功能經過拆分後，啟用多台虛擬主機運行單一功能，藉此排除效能瓶頸，此時就得考驗程式碼撰寫品質，有可能其中一個元件故障就會導致服務停擺。這種方式雖可解決擴充性問題，卻不代表可靠度因此得以提升。

ExtremeCloud IQ的微服務架構協同主流公有雲服務供應商例如微軟Azure、AWS、Google等，藉由雲端平台本身具備的優勢來提供負載平衡、容器環境自動擴充能力，只要應用服務支援微服務架構，即可把元件部署在容器環境中整合運行。讓微服務架構全部運行在容器化的叢集環境，可基於資源池的方式簡單地擴充，或在偵測發現故障時立即啟用新的節點，藉此保障服務的可靠度。

網路維運下一步智慧化排除問題

IT基礎架構持續改變，連帶著授權模式也大不相同。就 Extreme Cloud 收費來看，可區分為Connect、Pilot、Co-Pilot、Auto-Pilot四個等級。最基本是免費版的 Connect，著重於設備控管，不需任何訂閱服務，即可透過 ExtremeCloud IQ 統一監看有線／無線網路設備。 Extreme 整合 Aerohive 後發布XOS韌體的交換器，以及VOSS（併購Avaya取得）韌體的交換器，甚至是WiNG無線基地台，都可以透過 ExtremeCloud IQ 執行監看。

Pilot 主要是針對基礎架構控管實踐自動化部署，例如網路設備架構轉換成 Fabric，不需要逐台下指令執行，可以透過雲端平台控管操作。特別是資料中心的網路環境，基於併購取得Brocade產品線SLX，具備Insight Architecture技術能夠在交換器上啟用虛擬主機，呼叫EFA（Extreme Fabric Automation）軟體來執行部署與配置。

Co-Pilot 主要用於客戶發現問題時，藉由 ExtremeCloud IQ 內建的ML Insights功能，輔助快速地排除。內建的機器學習能力（來自Aerohive的技術）可基於交換器、路由器、無線基地台設備所蒐集的資料運行演算分析，建立自動化機制。亦可增添 NAC（網路存取控制）機制，不需要自己啟用RADIUS伺服器，運用雲端控管平台上所提供執行即可。

ExtremeCloud IQ 關鍵在於機器學習演算分析與人工智慧應用，不僅可即時偵測到問題，並且當下就自動執行處理，立即回應異常狀況，保障IT服務不中斷。

Gigamon 工控（OT）資安威脅 無所遁形

隨著工業控制和 SCADA 系統與內部 IT 網絡的連結應用被廣泛使用，IT 與 OT 之間的界線變得越來越模糊。我們發現在 OT 環境中要進行安全風險控制極為困難，除了 OT 專屬協定及內容無法透過常見的資安設備辨識外，工控網路設備的介接節點數量極多，或透過 SPAN 的方式將會有降低網路效能及掉包的疑慮。現行IT/OT管理者在規劃資安防禦策略時，為達到 Zero Trust 的原則將 OT 網域全網覆蓋，又將面臨預算經費的挑戰。

Gigamon 提供了兼顧安全與效能的可視性方案，以 TAP 將全網節點的流量進行複製，完全不消耗網路設備的效能，再由NPB (Network Packet Broker) 設備將全網流量收容並進行篩選後，提供給 OT 安全專屬設備，有效降低設備安全的負載及投資。

Gigamon OT Security Promotion 收容 North-South/East-West 流量，一台工具設備即可監看各處流量，降低資安、維運、稽核等工具設備資本支出。透過實體 TAP 進行旁路式 100% 流量複製，隨插即用無須設定，提昇 IT／OT 資訊整體架構穏定運作與擴充彈性。

Zscaler 零信任交付平台，助企業從容實現資安數位轉型

近兩三年來，「零信任」躍居資安領域熱門焦點。深究其因，在於企業IT環境出現轉變。從前企業環境猶如城堡，員工、用戶、數據及應用服務全在城堡內，與外面世界是隔開的，依靠護城河或士兵執行防護；反觀今日，Internet 已成企業商務的一環，使得企業內的裝置不只接觸內部應用程式或數據，也密集接觸外部網頁。

換言之，如今用戶與數據已非「足不出戶」、而是無處不在，尤其在數位轉型浪潮推進下，員工經由Internet運用Web App或SaaS服務的頻率節節升高，所以每個人、每台裝置都變得不可信任。在此情況下，企業有必要實施更嚴密檢查，因而極需強化資安架構的靈活性，也就是不論是應用服務、網路或資安，通通都必須邁向數位轉型。

因應此變局 Zscaler基於雲服務模式提出「零信任交付平台」（Zero Trust Exchange；ZTE），期望借助SASE（Secure Access Service Edge）平台協助企業達到零信任效果，同時還能簡化資安建設的複雜性。

憑藉 SASE 的靈活簡化特質，完美實踐零信任

假使企業為了滿足新的零信任需求，因而疊加新設備，只會製造更沈重的管理壓力。因此企業在實施零信任時，務求先找到對的方法、對的解決方案，確保能順利執行零信任；否則企業最終可能因不堪負荷，選擇衝刺數位轉型、索性犧牲資安。

Zscaler 建議企業不妨先看 SASE。SASE 是近年Gartner倡議的新概念，意指企業在打造資安建設的同時，務必跟上數位轉型步伐，切莫為了推動資安建設而遺忘簡化。建議企業莫再將所有建設置於地端，應放上雲端，越靠近使用者越好；且儘量用單一原則達到 SWG（Secure Web Gateway）、CASB（Cloud Access Security Broker）、DNS、ZTNA（Zero Trust Network Access）及Remote Browser Isolation等功能。而包含數位轉型、SASE 與零信任之間，有著極為緊密的關係。

資安轉型的兩大重點，一是靈活、簡化，只因若僅是將一堆新產品疊加到各個裝置或端點，反倒拖累數位轉型節奏；另一是提升資安防禦，而關鍵正是零信任。他認為唯有奠基 SASE，才能真正在靈活與簡化基礎上，搭建新的零信任資安建設。

零信任加主動防禦，將攻擊面縮到最小

Zscaler ZTE 主要以三大原則進行佈建。第一是零網路連線，主張用戶獲得防火牆、Sandbox 等保護的過程，不必像從前將Internet流量送回企業內部，而是直接把流量送往 Zscaler 雲端資料中心，即可迅速得到企業等級的防禦功效。此外，企業也應該從提供「網路式存取」改為只提供「應用程式訪問的權限」給用戶，降低外部網路對企業內部帶來的風險。第二是零攻擊面。傳統企業員工上網時，皆會用到企業專屬的公網地址，形同企業在 Internet 世界留下痕跡，導致有心人士利用這些痕跡規畫下一步攻擊行動；不僅如此，過去企業提供遠端連線、讓外面同仁存取內部應用，往往需要借助VPN，造成 VPN Gateway 曝露於 Internet，也容易成為駭客的攻擊線索。然而用戶一旦經由 Zscaler ZTE 上網，只需利用共享IP即可、不會留下企業的痕跡，即使外部員工欲連回公司存取應用，也由 Zscaler 雲端資料中心進行橋接，意謂企業不再需要將 VPN Gateway 曝露在 Internet。第三為零穿透式的連線。Zscaler ZTE 是雲端 SASE 平台，沒有效能瓶頸，可好整以暇針對每條連線執行掃描，亦針對SSL連線進行解密，將其中內容掃瞄清楚後，再決定是否允許下載或上傳。在上述三大原則下，Zscaler 創造 Zscaler Internet Access（ZIA）、Zscaler Private Access（ZPA）、Zscaler Workload Protection，以及 Active Defense 等四大服務元件，幫助企業達到零信任並簡化資安架構。ZIA 意在讓傳統企業地端資安建設走向雲端化，實踐方式在於提供一個平台、一個管理介面，迅速體現完整資安功能，使企業不需管理眾多硬體，更不需考慮繁瑣的升級議題，此外 ZIA 具有強大處理能力，可一併達到傳統地端設備無法展現的功能，例如除了提供 URL Filtering、Firewall、IPS、Sandbox 等基礎功能外，也提供地端設備所做不到的網路層DLP功能。

至於 ZPA，則可呼應 Gartner 推廣的 ZTNA 概念。它與傳統 VPN 大不相同，係因採取零信任設計思維，以 Zscaler 雲端資料中心做為零信任交付平台，不論企業的使用者、資料中心都透過 Zscaler 進行連線。當 Zscaler 接受到連線請求，會先檢查應用訪問權限，若確認無誤，便指示安裝於企業內部的Connector來滿足該連線需求；在整個連線過程，企業不需向使用者提供任何 IP 地址，完全以應用訪問權限為管控依據，也就是說使用者只能在權限範圍內造訪應用或數據，無法恣意遊走企業內網。談到 Workload Protection，ZSCALER 一方面搭配 ZPA，進一步在應用程式到應用程式、雲端到雲端之間實施權限控管；另一方面則透過為伺服器上的每一個程式建立 Zero Trust ID（ZTID）和機器學習，準確的利用白名單管控伺服器之間的連線。最後一個服務元件 Active Defense 主動防禦，亦與 ZPA 互為搭配，強項在於「欺敵」，擅於製造許多偽造的攻擊路徑，一來分散駭客注意力，二來當駭客誤闖假路徑的同時，企業可同步進行蒐證，藉機分析過往資安政策的盲點、及早自動修正企業裡不同資安系統的設定，順勢將威脅消弭於無形。總括而論，Zscaler 期望提醒企業四件事。第一，數位轉型會帶來新的資安挑戰，所以需要進行資安轉型。第二，僅透過單純的零信任改造措施，仍難跟上數位轉型步伐。第三，企業須找合適方式實行零信任，如 SASE 就是很好的切入點。最後，SASE 不代表可幫助企業達到零信任，只因有一些 SASE 方案重點僅在「簡化」，只是把傳統防火牆、Proxy 放上雲端，但在技術上並無太多突破，不足以實現零信任，所以企業選擇 SASE 時，務必小心評估。"