Archive

Posts Tagged ‘防火牆’

駭客帶動全球IT經濟!2016全球資安開支將達816億美元

September 5th, 2016 No comments

駭客帶動全球 IT 經濟!2016 全球資安開支將達 816 億美元

駭客帶動全球 IT 經濟!2016 全球資安開支將達 816 億美元

駭客攻擊雖然會令受害者經濟上出現損失,然而卻為資安廠商帶來了更多收入,難怪曾經有業界人士說過一個陰謀論:「很多駭客攻擊及病毒,其實都是由資安廠商製造出來的,目的就是增加資安設備的盈收」。

儘管以上說法未有實質證據,不過 2016 年全球資安開支仍高達 816 億美元!近日一份由 Gartner 公佈的報告便指出,2016 年全球資訊保安產品及服務開支將達 816 億美元,較去年上升 7.9%。

顧問及資訊科技外判服務是現時資訊保安的兩大支出項目。Gartner 預料直至 2020 年底,保安檢測、資訊科技外判服務及數據洩露防護(data loss prevention,DLP)增長將最高。

在亞太區,2016 年資訊保安產品及服務開支將達 179 億美元,較去年上升 8.9%,並在 2020 增至 256 億美元。大中華區的 2016 年資訊保安產品及服務開支將較去年上升 11.1% 至超過 33 億美元,並在 2020 達 56 億美元。

防禦性保安的增長將維持強勁,因不少資訊保安人員均傾向購入防禦性保安措施。與此同時,安全信息與事件管理(security information and event management,SIEM)與安全網頁閘道(secure web gateway,SWG)等解決方案,亦開始發展至支援「偵測及回應」模式(detect and response)。Gartner 預料至 2020 年,機構將集中於偵測及回應方案,令全球安全網頁閘道市場維持 5 至 10% 增長。

現時機構持續面對的僱員及人才短缺問題,將令更多資訊保安開支投向服務性項目。機構無力部署、管理和使用有效的技術和工具組合偵測威脅,並回復至原先的良好狀態,因此產生需求,令偵測及處理託管服務(managed detection and response, MDR)冒起。

面對針對性進階威脅及內部威脅,機構更束手無策。隨著越來越多新興 MDR 供應商瞄準中端市場,Gartner 預計這些服務將推動大小機構的資訊保安開支增長。

Gartner 全球資訊保安預測報告的其他預測如下:

直至 2018 年底,防火牆的平均售價將按年上升至少 2 至 3%

隨著市場對於頻寬的需求及裝置數目增加,雲端及其他服務供應商所提供的高端設備需求亦相應增加,推動市場發展。儘管供應商之間的競爭繼續為價格帶來壓力,但企業、服務供應商及網絡規模機構(web-scale organizations)正趨向使用規模更大及更昂貴的防火牆。因此,雲端服務供應商所採用的大型防火牆將繼續成為廠商的主要收入來源。

至 2018 年,將有 90% 機構使用最少一種綜合數據洩露防護(DLP)軟件,較現時 50% 為多

部分機構使用 DLP 軟件,以遵守條例、保護知識產權,以及確保數據透明並監測數據。機構亦使用新的解決方案改善現有的方案,新增範疇包括用戶身份及行為分析、影像分析、機器學習(machine learning)以及數據配對技術(data-matching techniques)。

至 2019 年底,公共雲端的採用將僅影響防火牆開支少於 10%,但影響將於 2019 年之後加大

儘管軟件即服務(Software as a Service,SaaS)的採用正在增加,但於未來三年,它對防火牆開支的影響不大。Gartner 於 2015 年進行的調查顯示,只有 16% 受訪的首席資訊總監視 SaaS 為支出首選。轉變需要時間,而在轉變過程中,雲端存取安全代理服務(cloud access security broker,CASB)會逐步轉型,覆蓋比軟件即服務更廣的範圍,為基建即服務(Infrastructure as a Service, IaaS)及平台即服務(Platform as a Service, PaaS)擔當相似的角色。防火牆供應商亦須於未來數年面對多項挑戰,其中重點為解決保安接層加密技術(secure sockets layer,SSL)被大規模破解的問題。

至 2019 年,一半中型及大型機構會為其網絡防火牆增添更廣泛、更先進的檢閱功能

隨著頻寬不斷加速,企業對於規模更大、表現更佳以及更昂貴防火牆的需求亦相應增加,並要求防火牆能夠整合其他功能,例如網頁過濾器及入侵防禦系統。部分企業亦為其防火牆升級,加入惡意軟件沙箱作業(malware sandboxing)等新的內容檢閱功能。

以上資訊由www.hkitblog.com提供

虛擬化的傳奇:從 SDN 到 NFV

August 25th, 2014 No comments

網絡功能虛擬化 (Network Functions Virtualization,簡稱 NFV)是一個新的技術,此技術簡單直接而言,就是將以往必須建基於硬件形式的各種技術虛擬化,例如負載平衡防火牆IDS(Intrusion Detection System)等等,最終希望做到盡量減少硬件投資的各種成本,包括部署、硬件使用的電力、數據中心空間等。

早年 SDN 的出現亦是如此,就是希望通過將傳統的網絡管控虛擬化從而減少部署成本,所以 SDN 一時間成為科技投資者的心頭好,不過 SDN 是否真能改變傳統硬件上的種種問題,暫時仍是 Still Don’t No-Know(SDN~);NFV 的出現當然亦引起投資者的興趣,不過卻比 SDN 更為複雜。

盡管如此,坊間仍然有網絡設備生產商對此技術興致勃勃,其中 Brocade 便是當中的表表者,近日更投放資源與 Telefónica NFV 參考實驗室 (Telefónica NFV Reference Lab) 展開一連串的行動,包括為 NFV 方案的部署及效能進行試驗並奠定新基準,希望說服服務供應商能信任並徹底提升對虛擬化軟件網絡基建效能的期望,最終達致增加銷售及領先同行。

在實驗中,Telefónica NFV 參考實驗室利用記憶棒,於不足兩小時內成功部署了 Brocade Vyatta 5600 vRouter 並完成效能測試。Brocade Vyatta 5600 vRouter 除了具備 Brocade vPlane 技術,亦利用了採用 Intel Xeon 處理器的伺服器以及 Intel Data Plance Development Kit,從而達致世界最大型電訊和服務供應商所要求的性能表現。

SDN 的故事

SDN 與 NFV 是有一定的關係,不過這兩種技術有那些地方是相近,對於企業來說又應該如何互補兩種技術的不足之處?先說說 SDN。可能大家都不知,原來 SDN 的起源最初是因為史丹福大學的學生厭倦每次進行網絡相關的研究時均需部署不同的核心系統,因此他們便研究如何將實體的網絡硬件設備的部份元素變成可編程化以及集中管理,就這樣 SDN 的元素及定義便出來了。

數據中心、OpenFlow 推動 SDN 成長

隨著流動裝置普及以及應付雲端服務需求,因此數據中心便需考慮不同方法降低成本,而恰好 SDN 的優勢就是能針對不斷擴展的虛擬機器作更好的連接與控制,多了數據中心採用 SDN 技術,令 SDN 很快便被各大企業接納;另外 OpenFlow 的出現,亦加快了 SDN 成長。一項新的技術,除了需要一些天才開發及完善之外,如何能從中獲利以令計劃可持續發展亦十分重要,而 SDN 開初出現時亦遇到了這問題,就是新技術有了,如何令企業接受及嘗試?

其中一個重要的工作就是要盡快定立標準化,就好像不同的技術如 3.5G、4G LTE 等等,都是因將技術標準化繼而令廠商可易於遵循及開發採用新技術的方案;於是 SDN 便聯合各大廠商組織了一個開放的網絡論壇(ONF),其開初的主要目的就是為 SDN 之中的控制層(Control)與轉發層(Forwarding Layers)之間的通訊定立一個標準;現時大家能直接通過控制層管理實體/虛擬式的路由器、網絡交換器等等,都是多得 OpenFlow 的出現…..

以上資訊由www.hkitblog.com提供

企業有錢的話:多重身份認證+資料加密=保障資料安全

July 3rd, 2014 No comments

現時企業需要提升安全性,往往會考慮到部署不同的防火牆以及保安方案,這些方法固然能提升整體的網絡保安,不過假如企業有充足的資源,那針對檔案進行加密以及多重身份認證,相信對比起傳統的防禦方案可能更為直接;傳統的網絡防禦方案很多時針對著網絡的流量進行攔截,例如是 IP Table 便是一例,這些方案可有效進行防禦,例如防禦入侵性攻擊、DDoS 等等,因此這些方案不可或缺。

但現時的企業,除了著重於網絡上的防禦方案之外,更多時會考慮到的便是企業之中的機密資料的保密性,針對這方面問題,我們則可採取一些資料加密以及身份認證功能加以實現,事關資料已加密,即使外洩第三方亦無法得知加密資料的真正內容,這無疑地為敏感資料加上一層金鐘罩。

不過要部署一套完整的加密方案,企業要先提升基建的整體效能,完成之後更需要就加密方案進行部署,而這一切對於本身並未採用加密方案或多重身份認證方案的企業來說,其實亦是一項十分大的投資,所以要做到加密與多重身份認證兼備,企業的「水源」必須十分充足才可。

有關資料加密的數據筆者仍未掌握,因此接下來先為大家分享一下多重身份認證的相關討論。

多重身份認證加強存取保安

於是很多著重資料保密的企業,例如是金融業便願意以更多資源投放於部署加密以及多重身份認證的方案之上,這點我們可通過近日由 SafeNet 發表的研究報告得知。在 2014 年全球身份認證調查中,發現超過三分之一的機構現正使用多重身份認證(Multi-factor Authentication),較 2013 年結果上升,讓資料存取可於多種裝置及多個位置無縫及安全地進行。

調查結果顯示,越來越多企業正採用多重身份認證,並應用於更廣泛的工作模式中。調查結果與近期 451 Research 一份報告相近,揭示資料存取控制和身份認證是 IT 部門當前的難題及優先考慮的事項。外來惡意入侵者於 2013 年造成了 57% 的數據外洩,多重身份認證可減低非授權用戶存取敏感資料的風險,而另外透過不同的加密方案亦可確保資料安全性,同時更可讓員工在需要時存取企業資料。

多重身份認證獲廣泛應用,升幅明顯:

37% 機構正在為大部份員工採用多重身份認證,較往年 30% 多。
截至 2016 年,56% 機構期望大部份用戶將依賴多重身份認證。

雲身份認證認受性增加:

33% 機構表示他們趨向選擇以雲為本的身份認證,相比往年 21%,錄得 50% 升幅。
33% 機構現時對雲表示開放,以部署身份認證。

流動裝置上的多重身份認證:

逾 53% 受訪者稱流動裝置用戶在存取企業資料上受到限制。
在使用多重身份認證的流動裝置用戶中,(目前 22%)受訪者預計使用量將於 2016 年前增加至 33%,增長率為 30%。

成本及預算優次

451 Research 的報告顯示,身份認證及身份存取管理是保安項目中的優先考慮。然而,在 SafeNet 的身份認證調查中,近 40% 的受訪者並不知道他們的身份認證解決方案每年每用戶的成本,表示機構對於何為最具成本效益的方案欠缺認識;誤以為只要不在多重身份認證上額外花費便可節省成本,這將進一步誤導了負責 IT 預算的人員。而事實上,多重身份認證旨在減低認證成本及提高易用性。

以雲為本身份認證

員工對以其流動裝置連接企業網絡的需求增長,與機構對以雲為本的身份認證需求增加相連。今年,33% 公司表示他們趨向選用以雲為本的身份認證,比往年 20% 為多。

流動裝置上的身份認證

當在流動裝置上使用強勁的身份認證以存取公司資源時,大部份的回應都能歸類至榜上的兩端,顯示極端化的做法。接近 40% 表示少於 10% 的用戶要求使用強效的身份認證;超過 20% 建議 90% 至 100% 的用戶現時需要這樣做。有趣的是這些數字將於未來將有著顯著轉變﹕33% 預期 90% 至 100% 用戶將於未來兩年內需要強效的身份認證,而僅 15% 認為這需要將少於 10%。這代表流動裝置的身份認證日漸變得重要。

鑑於流動裝置身份認證的需求,進一步推動身份認證方法由硬件為本轉向至以軟件為本。調查顯示,軟件為本的身份認證使用率由 2013 年的 27% 上升至 2014 年的 40%,預測於 2016 年將會達至 50%。相反地,硬件為本的身份認證的使用率由 2013 年的 60% 下降至 2014 年的 41%。

以上資訊由www.hkitblog.com提供

簡化監控威脅流程、活用大數據預知潛在威脅

June 30th, 2014 No comments

大數據其實從理論上的解釋當然十分簡單,就是通過收集不同的數據,從而分析問題發生的頻率而得出未來趨勢;就好像大家「睇相」一樣,這些用作占卜解畫的書籍,同樣是古人流傳下來的大數據,至於解說之人就是大數據分析器,但實際上是否真的這樣簡單呢?

那當然並不是呢。假如停留於紙上談兵,那就當然得出大數據十分簡單的結論,其實大數據收集容易,但最困難之處莫過於如何將非結構化的數據變得有意義,這當中涉及的種種,例如數據量與頻寬、系統、儲存裝置效能上的承受能力,分析軟件的承受能力等等,絕對非三言兩語便去得出「簡單」這個結論。

就好像現時很多安全廠商都會採用大數據分析即將出現的種種網絡威脅,其背後收集的數據量以及應用的分析技術,包括如何將非結構化數據變得有意義,這個過程是否處理得恰到好處,便主宰著服務的速度及準確性;為此很多公司都會定期優化其大數據分析方案,就好像英國電信(BT)便是其中之一。

近日英國電信(BT)便坦承地宣佈即將對其現有的 BT Assure 保安威脅監控服務進行重大升級,其升級目的顯而易見,就是改善服務質素,並希望更新後企業和保安分析專家能以更簡單直接的方式辨認和抵禦保安威脅。

BT Assure 是甚麼?

BT Assure 是一項威脅監控服務,主要通過收集並分析海量數據從而得出趨勢;升級後用戶便可把收集了的數據和有關的分析,顯示在自訂的螢幕介面上。因此,保安人員就能夠及時發現潛在的問題,進而更輕易辨認保安風險,並及時作出反應,積極採取應對方案。

這項服務的操作原理,是從整個客戶網絡設備收集保安威脅情報資訊,並對之進行監控,包括檢測和入侵防禦系統(IDS/IPS)、防火牆和路由器到伺服器、應用程式、大型電腦以至個人電腦。

BT Assure 其他功能還包括:

– 全新的內置自訂規則功能,用戶可以用它快速自訂需要查看的問題和威脅,從而因應問題及時做出反應。
– 統一追蹤問題系統,用戶和 BT 保安操作中心專家可以用它管理設備和網絡、溝通並為個別事故作故障排除。

以上資訊由www.hkitblog.com提供

威脅不攻自破:中型 ADC 加入 IP 評價系統

April 11th, 2014 No comments

網絡威脅愈來愈強,因此針對網絡保安的相關方案亦需加大防禦能力及反應才可。近日 Fortinet 便更新了其方案系統,同時更將 IP 評價服務加入當中,實時比對資料庫並作出相應的防禦行為,從而避開網絡危機;所謂的 IP 評價服務是由 FortiGuard Labs 提供的可供訂閱服務,讓 FortiADC 檢測並阻止已知惡意來源的流量;另一方面,FortiADC 亦結合了大容量 SSL 卸載和內置防火牆,提供額外的安全功能。

除了更新其系統之外,Fortinet 亦推出了三個全新方案,包括:FortiADC-1500D、FortiADC-2000D 及 FortiADC-4000D,藉以為高容量應用程式環境提供有效的安全系統;另外值得留意的是這些方案已包含了 16GbE 連接埠以及多達 8 個高效能 10GbE SFP+ 連接埠。

FortiADC-4000D 的主要功能

– 50Gbps 的 L4 吞吐量和每秒高達 1,600,000 L7 交易的企業和數據中心應用流量
– 16X GE 連接埠和 8 x 10 GbE SFP+ 連接埠,提供高吞吐量連接,以消除網絡瓶頸
– 專用 SSL 卸載硬件能提供每秒 31,000 SSL 更高效連接
– 雙熱插拔電源提供額外空間以支援獨立的電源接駁,在不中斷業務的情況下允許電源設備進行交換
– 專用的管理連接埠,在斷電的時候也能進行遠程設備控制

FortiADC-2000D 的主要功能

– 30 Gbps 的 L4 吞吐量和每秒高達 1,200,000 L7 交易的中級流量數據中心
– 16X GE 埠和 4 x 10 GB SFP+ 連接埠
– 專用 SSL 卸載硬體提供每秒高達 31,000 SSL 連接
– 雙電源供應

FortiADC-1500D 的主要功能

– 20 Gbps L4 吞吐量和每秒高達 800,000 L7 交易的小型流量或二級數據中心
– 8X GE 連接埠和 4 x 10 GbE SFP+ 連接埠
– 專用 SSL 卸載硬體提供每秒高達 14,500 SSL 連接
– 雙電源供應

以上資訊由www.hkitblog.com提供