TippingPoint UnityOne-2400

防護應用程式漏洞，縮短應變時間

TippingPoint UnityOne全系列IPS設備都支援GbE環境，能避免造成網路傳輸上的瓶頸，提供多區域防禦（Multi-Zone Defense）的機制，不會因為資訊安全需求而增加管理的複雜程度。安裝與設定相當簡便，透過網頁就能夠把所有的設定完成，在測試過程中，從裝機到開始作業時間不會超過10分鐘。硬體傳輸效能良好，具有3種防護功能

UnityOne-2400的過濾引擎採用ASIC晶片，具備10000條平行過濾器的功能。底層採用的是交換器模組，因此就算設備失效，也可以讓所有封包通過，避免造成困擾。除了單一機器的高可用性要求之外，也支援Active-Active/Standby兩種備援機制，能夠有效分散流量，並且降低因攻擊而造成網路斷線的風險。

UnityOne-2400全系列產品只有硬體設計上可使用的網路連接埠數，及傳輸效能有所差異，其他功能都完全相同。每一個連接埠可以定義不同的網域，將內部網路切割成不同的區段，偵測並掃描存在於網域中的主機，並可檢視該主機的狀況，包括所安裝的作業系統及應用程式，就連Windows XP是否有更新至SP2都能察覺，可以監督管理政策是否有落實。

UnityOne系列注重3種防護機制：應用程式防護、基礎設備防護以及效能防護機制。

應用程式防護著重在保護第2層至第7層的應用程式，避免程式漏洞（Vulnerability）遭受攻擊並防止初始攻擊（Zero-Day Attack）發生，可確保周邊及內部網路的安全；基礎設備防護則能夠保護網路設備，如IOS等系統的漏洞，並可藉由不同的反應控制異常流量；效能防護則可以有效保障各種應用程式所享有的頻寬，避免頻寬遭到濫用或誤用。

在各項攻擊環伺的狀況下，而修補程式未出現之前，很容易產生防禦的空窗期。UnityOne的數位疫苗就是針對這段空窗期，在漏洞出現，而無法取得可辨識的惡意使用碼（Exploit）特徵時，藉由虛擬軟體修補的方式，加強安全防護的效能。

UnityOne能夠偵測異常流量並分析行為模式，阻斷相關流量，不讓非法程式通過。就算沒有受到任何攻擊，也能夠透過類似的機制，維持頻寬的可用度，讓重要服務優先通過，達到頻寬管理的效果。報表功能單純，搭配SMS效果更好

不論是IDS或IPS，報表功能對管理都相當重要，不過UnityOne-2400的報表功能相當單純，僅能產生簡易的攻擊記錄列表及網域掃描結果。

雖然可下載相關記錄，但是仍然需要後續的處理才能成為一份完整的報告。使用原廠的報表工具可以製作簡易的報表，讓管理者遠端查閱相關訊息，提高機動性。

而韌體及攻擊特徵的升級更是IDS/IPS藉以防範各種攻擊的利器，UnityOne韌體及數位疫苗的更新版本也必須手動下載，很容易因疏忽而造成安全漏洞，不過這些狀況可以透過SMS（Security Management System）的集中控管功能解決。

SMS是與UnityOne搭配的硬體管理設備，能夠集中控管5臺UnityOne，當需要大量布建時，可以透過SMS建立統一的管理政策，並主動配發至各設備上，減少建置所需的時間。

SMS也提供良好的報表功能，能夠將各設備送來的紀錄整合，自動製作表單。當韌體或數位疫苗有更新版本釋出時，透過SMS可以自動下載且主動發送到受控管的設備，讓設備可以自動更新，不讓安全空窗期產生。虛擬軟體修補

虛擬軟體修補（Virtual Software Patch）功率表是在軟體廠商還沒有對應用程式已知或可能發生的漏洞提供修補程式之前，藉由IPS設備補強應用程式中的漏洞，避免造成攻擊事件。

漏洞（vulnerability）是程式開發中必然會發生的狀況，這一段有瑕疵的程式，讓攻擊者得以開發出不當的程式碼（exploit），未經許可的人就能夠藉由惡意程式碼取得較高的權限或重要資料，嚴重的話甚至會讓整個系統停擺，因此更新各項攻擊特徵便成為防禦新攻擊的重要措施。

以目前來說，攻擊新漏洞的惡意程式出現速度越來越快，初始攻擊（Zero-Day Attack）開始成為防禦要點。一個軟體漏洞在公布之時，就可能同時衍生出多個惡意程式，單純仰賴安全廠商推出更新特徵以防堵攻擊，在時效及防護效能上逐漸不敷所需。當漏洞發生而軟體廠商尚未公布修補程式之前，使用者除了不斷更新特徵碼之外別無他法，也造成許多管理上的困擾。

TippingPoint的數位疫苗（Digital Vaccines）中，包含了多種過濾器，每一個過濾器會過濾與該漏洞有關的封包，避免攻擊發生。這樣的作法就像是在網路端修補軟體本身的漏洞，因此稱之為虛擬軟體修補。文⊙羅健豪