FalconSecure CybersecureXP

隨著無線網路、手機上網、寬頻網路及行動設備（PDA/筆記型電腦/Tablet PC）的普及，讓網路邊界逐漸模糊，企業也忙著建置防毒牆和防火牆，以對抗不斷發生的攻擊，但防火牆無法阻擋以正常管道（HTTP、SMTP、VPN）和由內部所發動的不法行為，而形成「堅固的城門，薄弱的城牆」，駭客只要繞過城門（防火牆），即可輕易從內部直接攻擊主將（伺服器）。

有鑑於此，FalconSecure推出主機型入侵防禦系統CybersecureXP，整合分散式防火牆與入侵偵測技術，能在入侵攻擊完成前即時阻斷，並將事件寫入稽核紀錄，強化資訊系統的安全性。

CybersecureXP分成CybersecureXP-WS（工作站）、CybersecureXP-SV（伺服器）及CybersecureXP-CM（Central Management）等三種版本，其中SV及WS版本主要保護微軟Windows伺服器和工作站，支援的作業平臺有Windows NT/2000/XP/2003、Windows 95/98/ME，而Central Management是集中式政策管理工具。系統採用網路封包過濾技術，會根據通訊協定所定義的封包內容，確認每個封包的大小、型態和結構，檢查是否與定義相符，若發現變形、大小不符或非法封包就立即中斷連結。支援Linux作業平臺的CybersecureXP已經推出Beta版，主要支援Red Hat Linux。

與其他入侵防禦產品不同，CybersecureXP不詳細定義掃描工具的種類，不會讓系統由上千條的入侵特徵中找出符合攻擊的特徵。CybersecureXP會將攻擊方法予以分類，例如連接埠掃描（TCP/UDP port scan）、氾濫攻擊（Ping/SYN flood）、Smurf及Fraggle等攻擊，並以比率為基礎，如果傳輸的比率超過臨界點，便會被視為惡意的網路封包樣本，立即進行攻擊比對、記錄封包來源，並中斷該連結。這樣的作業只會在網路層執行，應用程式無須做檢查，降低對主機的負擔。

目前零壹科技已經中文化CybersecureXP7.23版，在零壹網站上可下載單機試用版，安裝大約只需3分鐘，使用者只要按下啟動鍵後，系統就能依照內定的安全政策開始運作，事後可依需求再調整每臺主機的政策。一般的IDS和IDP則須下載攻擊特徵後才能開始使用，至少要等上15至20分鐘。

CybersecureXP可透過Central Management集中管理安全政策，針對不同工作群組派送不同的安全政策，然後再由Central Management或CybersecureXP 個人端主動同步安全政策。為了避免使用者修改安全政策或關閉入侵保護系統，系統提供隱藏模式安裝，並可避免使用者被跳出的警告訊息中斷工作。

Windows 2000已經推出SP4更新檔，Windows Server 2003也有SP1更新檔，這也許就是Windows作業系統與生俱來的弱點。CybersecureXP能針對不同的應用程式最佳化每部伺服器的安全政策，避免已知和未知的弱點被利用而造成危害，提供比bug fixes和service packs更低層次的保護，例如SQL Server有相對的安全政策樣本，Exchange Server也有相對的政策樣本，廠商建議最好一臺伺服器只做一種用途，但如果一臺伺服器有安裝SQL及Exchange Server也沒關係，管理者可以自行新增政策樣本。

CybersecureXP提供4種稽核記錄，以作為問題診斷、分析和驗證。連結記錄提供任何通過防火牆的歷史紀錄；事件記錄提供被指定的封包歷史紀錄；入侵記錄能提供偵測到的所有入侵攻擊；應用程式記錄則包含系統設定改變的歷史紀錄。文⊙陳世煌