強化政府基層機關資安防護及區域聯計畫

鑒於國際資安威脅情勢日趨嚴峻,為提升國家資安防禦能力,爰透過中央機關與地方政府整體資安聯合防禦機制,輔以地方政府單一目的性的資安防護強化作為,以有效防範政府機關遭受資安攻擊之風險。因此前瞻基礎建設提供一個強化政府基層機關資安防護及區域聯防計畫,主要為提升地方政府資安防護能量,期藉由實質經費補助,促進資通安全相關軟硬體建設之發展,提升資通安全管理效能,加強資安防護縱深機制,進而健全資安防護網,達成「厚植自我防護能量,保衛數位國家安全」之目標。
在強化政府基層機關資安防護及區域聯防計畫中,主要有以下兩部份:
(一)、資安情資分享
為達到跨領域甚至跨境的資安情資分享、緊急應變與監控,以及透過資訊科技輔助,分析資安事件樣態(pattern)、駭客行為等。
藉由Palo Alto Networks AutoFocus讓您可以從大部分的日常威脅中區分出最重大的威脅,以整理您網路或公開資料之事件的關聯脈絡。
AutoFocus 是根據位於 Palo Alto Networks 威脅情報雲端的大型分散式運算環境而建構。與其他解決方案不同,此服務讓威脅資料可在 IOC 層級存取並藉以採取行動,而不只是在控制台上顯示來自多個來源的摘要記錄。AutoFocus 利用數千家全球企業、服務提供廠商和政府對服務的回饋,對威脅狀況擁有無與倫比的可視性。此服務從下列來源關聯與獲得情報:
WildFire,業界最大的網路沙盒服務
使用 PAN-DB 服務的 URL 過濾
Palo Alto Networks 全球被動 DNS 網路
Unit 42 威脅情報與研究團隊
第三方資訊摘要,包括封閉和開源情報。
AutoFocus 使得數十億樣本和工作階段,包括數十億構件,可立即使用於安全性分析和回應工作上。
(二)、汰換老舊資安設備以完備縱深防禦
藉由Palo Alto Networks全方位的解決方案,可協助單位汰換掉老舊的資安軟硬體設備,並提供端點防護及使用者行為分析等最新的資安防護技術。
Palo Alto Networks新世代防火牆是新世代安全平台的核心,其設計理念要從根本解決複雜的安全性威脅。新世代防火牆能針對包含應用程式、網路安全威脅和內容等流量進行檢查並且將其與使用者關聯,無論使用者在什麼地點、使用何種類型裝置,絕無漏網之魚。應用程式、內容和使用者等關乎企業營運的幾項元素,均已成為企業安全政策不可或缺的組件。它們能將您重要的商務方案與安全性進行協同整合。透過新世代安全平台,即可縮短事件的反應時間、發現未知威脅,並簡化安全網路部署。
Palo Alto Networks Traps Advanced Endpoint Protection 可以阻止端點上的威脅,並協調雲端和網路安全措施,防止網路攻擊成功發動。Traps 透過阻止惡意軟體、入侵和勒索軟體,可以大幅減少端點感染。與您的安全平台整合後,還可提供額外的威脅分析、共享情報和自動化控制。
Traps 結合多種防禦方法,在保護端點的能力方面脫穎而出。在安全漏洞和成功的勒索軟體攻擊利用已知或未知的惡意軟體和入侵危害Windows、macOS或Linux端點(例如筆記型電腦、桌上型電腦、伺服器、虛擬機器和雲端工作負載)之前,Traps便可將其封鎖。




強化政府基層機關資安防護及區域聯防之分項計畫

主要汰換項目
(一)、汰換縣市基層戶役政網路及資安設備
1.新世代防火牆系統
藉由Palo Alto Networks新世代防火牆平台,可提供包含應用程式、網路安全威脅和內容等流量進行檢查並且將其與使用者關聯,無論使用者在什麼地點、使用何種類型裝置,絕無漏網之魚。應用程式、內容和使用者等幾項元素,均已成為資訊安全政策不可或缺的組件。同時Palo Alto Networks 採用原生整合的防禦技術來確保威脅無所遁形,當其避開了一種技術,還有另一個技術能夠將其捕獲。有效防護的關鍵在於使用專門用來分享資訊的安全性功能,並提供有關正在檢查的流量以及正在辨識與阻擋的威脅之脈絡。
2.防毒/防駭系統
Palo Alto Networks Traps Advanced Endpoint Protection 可以阻止端點上的威脅,並協調雲端和網路安全措施,防止網路攻擊成功發動。Traps 透過阻止惡意軟體、入侵和勒索軟體,可以大幅減少端點感染。與您的安全平台整合後,還可提供額外的威脅分析、共享情報和自動化控制。
Traps 能夠封鎖攻擊所利用的入侵技術,而並非著眼於處理個別攻擊。Traps 可以在入侵嘗試的每一步都執行這樣的工作,藉以中斷攻擊生命週期並消除威脅。
Traps 使用多重方法預防入侵:
入侵前防護:在入侵攻擊發動之前,Traps 即可封鎖弱點分析技術,有效防禦攻擊。
技術型入侵防禦:Traps 能透過封鎖攻擊者用來操縱應用程式的技術,防禦已知與零時差入侵。
核心入侵防禦:Traps 能阻止入侵利用作業系統核心中的弱點來建立具有提升權限 (也就是系統層級權限) 的程序。Traps也能防禦用於從核心當中載入及執行惡意程式碼的植入技術,像是用於 WannaCry 與 NotPetya 攻擊中的技術。
(二)、汰換直轄市、縣(市)政府局(處)及所轄地事務所端網路及資安設備,包括:
1. 資料中心用防火牆(含IDP入侵偵測防護系統),所轄地事務所防火牆。
藉由Palo Alto Networks新世代防火牆平台,可提供包含應用程式、網路安全威脅和內容等流量進行檢查並且將其與使用者關聯,無論使用者在什麼地點、使用何種類型裝置,絕無漏網之魚。應用程式、內容和使用者等幾項元素,均已成為資訊安全政策不可或缺的組件。同時Palo Alto Networks 採用原生整合的防禦技術來確保威脅無所遁形,當其避開了一種技術,還有另一個技術能夠將其捕獲。有效防護的關鍵在於使用專門用來分享資訊的安全性功能,並提供有關正在檢查的流量以及正在辨識與阻擋的威脅之脈絡。
入侵防禦 (IPS)
以威脅為基礎的防禦系統會在網路及應用程式層級偵測並阻擋入侵嘗試和迴避技術,使用的方式包含通訊埠掃描、緩衝區溢位、遠端程式碼執行、通訊協定拆分與代碼混淆等。這些防護方式以特徵碼配對和異常狀況偵測為基礎,會對通訊協定進行解碼與分析,並使用從中得到的資訊來傳送警告與阻擋惡意流量模式。狀態化模式比對會對多個封包進行攻擊偵測,並且將抵達規則與順序列入考量,確保所有允許的流量皆為良性流量,並且不具備規避技術。
惡意軟體防護
在惡意軟體抵達目標主機前,內嵌式惡意軟體防護功能便能使用基於酬載而非雜湊的特征碼進行阻擋。Palo Alto Networks的惡意軟體防護會阻擋已知的惡意軟體和該惡意軟體未來的變種,包含尚未出現的惡意軟體。我們的串流式掃描引擎在提供網路防護時不會造成明顯的延遲,而網路防毒解決方案會仰賴 proxy 伺服器式的掃描引擎,造成速度延遲這種嚴重的缺點。串流式的惡意軟體掃描會在接收到檔案的第一個封包時便以最快速度檢查流量,以便消除威脅,而且不會產生傳統獨立式解決方案所容易產生的效能問題。
命令與控制 (間諜軟體) 防護
我們知道,若想要預防所有的威脅進入網路,並不存在萬無一失的方法。在初始感染後,攻擊者便會透過命令與控制(CnC) 通道跟主機通訊,並使用該通道來傳輸額外的惡意軟體,發出進一步的指示,然後竊取數據。我們的 CnC 防護會對這些未獲授權的通訊通道加強戒備,並藉由封鎖送出至惡意網域的要求,以及中斷來自安裝在受感染裝置上之已知 CnC工具套件的要求,藉以切斷這些通道。Palo Alto Networks所做的,不只是根據網址和網域對 CnC 特徵碼進行標準自動化。我們會自動產生以模式作為基礎的 CnC 特徵碼 – 以全自動化的速度與規模,為您提供研究級的 CnC 特徵碼。
DNS Sinkhole
我們的 CnC 防護更進一步地提供輸出要求的 sinkhole 功能給惡意 DNS 項目,在防範外洩的同時也準確辨識出了受害者。設定好 Sinkhole 讓任何輸出到惡意網域或 IP 位址的要求重新導向到您網路中的內部 IP 位址。這能有效阻擋 CnC 通訊,避免這些要求離開網路。這項功能會生成一份報告,彙編關於在您的網路中發出這些要求之主機的相關資訊,即便這些主機位在 DNS 伺服器背後也一樣。事件反應團隊會拿到受入侵電腦的每日報表,藉以採取行動,而不用對採取修復措施的關鍵時機感到多餘的壓力,因為與攻擊者的通訊已經切斷。

(三)、導入資安管制軟體及控管機制
1. 遠端連線管控稽核平台


GlobalProtect (SSL VPN)
藉由在新世代防火牆上啟用Global Protect之SSL VPN功能,能檢查所有SSL VPN流量,對於行動工作者及組織內部提供保護。安裝 GlobalProtect 應用程式的筆記型電腦、智慧型手機和平板電腦會自動建立新世代防火牆的安全 SSL/IPsec VPN 連線,對於指定位置展現最佳效能,因此能夠讓組織充分掌握應用程式以及所有連接埠和通訊協定的所有網路流量。



本公司提供之解決方案及專業服務:
政府單位是本公司重要的長期服務客戶之一,為協助改善其網路資安問題,本公司結合知名國際原廠,組織最優秀之專業團隊,從設備盤點、規劃、設計、採購、建置、測試到維運,提供整體解決方案及專業服務。
1.盤點現有設備
發動本公司網路工程師團隊。
2.提出完整建議書
包括現況分析、改善願景、解決方案、投資報酬分析、建置計畫、財務評估、配合事項等等,取得院方同意。
3.專注次世代防火牆防護機制方案專業廠商(Paloalto)
(1)Gartner Report(2012~2017連續六年位居領導象限)

(2)總體相關解決方案及防護政策規劃示意圖


(3)隨時掌握、管控環境中非預期行為與風險

(4)Paloalto 利用新技術掌握並阻斷入侵活動

(5)隨時獲得最新防禦資訊並自動生效

(6)以人與行為進行管理,將系統性風險降至最低


(7)中文化管理介面


(8)家族成員


(9)新世代端點防護主要特色