
什麼是網路安全 ?
網路安全是指用來保護資訊科技網路、數據、人員、伺服器、終端設備及其他與IT相關系統不受網路攻擊影響的過程與技術。對於這項保護的需求從未如此迫切。所有組織(無論是私營或公共部門)都處於一個威脅環境中,該環境使得對他們的IT基礎設施發動攻擊成為可能。無論您將應用程式和IT服務部署在哪裡(本地、雲端或混合模式),這些威脅都是真實且迫在眉睫的。
在2025年(以及可預見的未來)中,最具破壞性的威脅是勒索病毒、網路釣魚攻擊和供應鏈攻擊。這些攻擊都能並且確實對遭受攻擊的組織造成重大的運營損失。在最糟糕的情況下,毀滅性的損害甚至可能摧毀一個企業。最近的例子是英國的KNP Logistics,這家公司經營了158年,卻因為一場勒索病毒攻擊而倒閉,攻擊者在猜中了某名用戶的密碼。這家公司在密碼管理和安全控制方面不足,這加劇了安全漏洞的嚴重性。
在這兩部分的系列文章中,我們將探討有關網路安全的常見議題並簡要回顧這個主題的歷史。在深入探討之前,這裡有三個我們經常看到的問題。
什麼是網路安全? 它是保護資訊科技基礎設施、應用程式及資料免受惡意行為侵害的學科。
為什麼這麼重要? 網路攻擊可能會擾亂業務運作、損害聲譽,並導致財務損失,而這些損失是任何保險政策都無法完全彌補的。
基本概念是什麼? 網路安全結合了技術、流程及人員,旨在預防、偵測和回應網路威脅。
網路安全的簡史
網路安全作為一個學科的歷史可以追溯到數十年前。大多數人認為,網路安全時代的開始發生在1988年,當時釋出了Morris Worm。這是第一個重大與網際網路相關的網路安全事件,並首次突破進入一般新聞報導,最終導致在美國根據1986年的《計算機詐騙和濫用法》(Computer Fraud and Abuse Act)作出的首次定罪。
接下來的十年中,開始出現針對越來越受歡迎的個人電腦(PC)病毒,這些電腦在商業和家庭使用中變得非常普遍。防毒軟體的出現幾乎與1990年代劃上等號。到了2000年代初期,攻擊手法已經演變成包含許多不同類型,並且變得越來越有協調性,這些攻擊主要是由國家支持的團體和大型犯罪組織所發起。自2010年以來,我們看到攻擊的數量和複雜程度不斷增加。一些值得注意的例子包括:
- WannaCry (2017) – 一次針對烏克蘭的勒索病毒攻擊,隨後影響了許多全球系統。
- Colonial Pipeline (2021) – 一次勒索病毒攻擊導致美國東岸的燃料短缺。
- KNP Logistics (2023) – 一次勒索病毒攻擊迫使一家已有158年歷史的企業關閉。
網路安全類型
隨著時間的推移,網路安全已經分成了多個類別。以下這些類別中,沒有一個能單獨提供強大的網路安全防護。現代的網路安全策略通常包含多層防護系統,共同合作以強化保護。
網路安全 – 用於保護網路基礎設施及網路中傳輸的資料,防止未經授權的存取、濫用和攻擊。它透過監控流量並識別可疑活動的解決方案,形成防禦的主幹,讓防護人員能夠控制並清除攻擊者及其惡意軟體。位於本地資料中心和雲端平台的伺服器通常都會被納入網路安全的範疇,雖然有些討論會將伺服器分成自己的類別。
端點安全 – 提供例如筆記型電腦、智慧型手機、平板電腦以及越來越多連接到網路的物聯網感測器的安全性。每個端點都代表著潛在的攻擊進入點,因此端點保護是非常重要的。
應用程式安全 – 提供應用程式的安全性,以保護它們不受攻擊,無論是在其部署基礎設施上或是在整個生命週期中。這包括使用安全的程式編寫實踐、定期進行安全測試,以及在執行期間偵測攻擊嘗試。
雲端安全 – 透過加密、身份管理和監控來保護雲端環境中的數據和工作負載。同時也包括對雲端運算非技術性方面的關注,如共責模型、複雜的設定管理,以及多租戶的安全問題。
身分與存取管理 (IAM) – 控制誰能存取哪些資源,以確保只有授權的使用者可以進入系統和數據。IAM 採用像是最小權限與零信任等原則,以降低未經授權存取的風險。
行動安全 – 涵蓋所有處理及保護資料的過程、程序和文化實踐,包括事件回應、訓練、規劃等等。
IoT安全 – 管理不斷擴大的連網裝置生態系統,從智慧建築系統到工業感測器,每一個裝置都有可能面臨安全漏洞。這已成為一個日益重要的網路安全類別。
常見的網路威脅
目前面對的威脅眾多且多樣化。組織需要建立一個多方面的防禦策略,以抵禦這些以及其他攻擊方式。
勒索病毒 – 當前企業面臨的最大威脅,勒索病毒會部署能加密企業關鍵數據和系統的軟體,導致這些資源無法使用。攻擊者會要求支付贖金,以提供解密受影響系統的代碼或工具。值得注意的是,多項針對勒索病毒的調查和分析顯示,大約40%的支付贖金的人從未獲得解密其檔案的方法。一個監控網絡異常活動的網絡偵測和響應(NDR)解決方案在檢測和緩解勒索病毒攻擊中扮演著重要角色。
惡意軟體 – 是指旨在破壞、干擾或獲取系統未經授權訪問的惡意程式(勒索軟體技術上屬於惡意軟體的一種,但因其普遍性而通常獨立討論)。現代的惡意軟體常常在激活之前潛伏數個月,然後開始竊取資料或促成其他攻擊。NDR 解決方案旨在識別惡意軟體的通訊以及異常流量模式,以顯示惡意活動的跡象。
社會工程學 – 一種攻擊類型,藉由操縱人類行為來試圖繞過技術安全控制,利用人為錯誤達成目的。攻擊者通常會透過網路檔案對目標進行深入研究,然後設計出具說服力的情境,鼓勵受害者自願提供存取權或資訊。
釣魚攻擊 – 一種社會工程學攻擊手法,透過欺騙性的電子郵件、簡訊或網站誘使員工透露憑證或安裝惡意軟體。2020年的SolarWinds資安漏洞就是從一封釣魚郵件開始,最終導致全球18,000個組織受到影響,包括政府機構和《財富》500大公司。
內部威脅 – 不是所有的威脅都來自互聯網上的犯罪分子。許多威脅涉及已獲授權的使用者,例如員工、承包商或合作夥伴,他們擁有合法的存取權,但卻有意或無意地濫用這些權限。這些威脅尤其隱蔽,因為內部人員擁有合法的存取權,並且有理由進入許多系統。監控平常並不會被內部人員使用的系統的存取情況,是識別潛在威脅的關鍵部分。
分散式拒絕服務攻擊 (DDoS) – 這些攻擊通過大量的流量淹沒網站或網頁應用程式,從而使電腦系統不堪負荷。這將導致服務中斷和業務受損。雖然這些攻擊本身不具直接的破壞性,但攻擊者常常利用這些攻擊來掩護他們的其他惡意行為,或者有時企圖勒索那些依賴線上業務的公司,要求支付贖金以停止攻擊流量。
零日漏洞利用 – 許多漏洞是已知的,可以透過已知的防禦措施和勤勉的系統修補程序來減輕影響。然而,新漏洞利用不斷湧現,許多針對的是之前未知的軟體漏洞,讓組織在攻擊開始之前幾乎沒有時間修補其系統。這些被稱為零日漏洞利用。NDR 解決方案提供對異常網路行為的可見性,這些行為可能表示零日攻擊正在進行中。
正如我們所展示的,現代網路安全策略需要採取多層次的方法。在這樣的策略中,多種技術解決方案與人員流程必須共同協作,以提供所需的安全性。以下的例子展示了在網路安全防護中所採用的各種技術。
防火牆 – 防火牆是網路邊界的守門員,根據預先設定的規則來控制網路流量。現代防火牆整合了深度封包檢查及應用程式識別,以提升保護能力。
網路應用程式防火牆 (WAF) – 除了一些邊界防火牆具備的應用程式識別能力外,專門部署的網路應用程式防火牆 (WAF) 是現代網路安全的核心。WAF 通常與負載平衡器一起部署,許多負載平衡器內建有 WAF。Progress LoadMaster 負載平衡器包含 WAF。當負載平衡器將網路請求導向最佳的應用程式伺服器時,WAF 會檢查網路封包中的可疑資料,並阻擋那些無法確認為安全的流量。
身份驗證解決方案 – 身份驗證和授權不僅僅需要一個簡單的帳號名稱和密碼。至少,組織應該透過多重身份驗證來增強其安全性。其他值得考慮的解決方案包括基於數位證書的通行金鑰,以完全取代登入名稱和密碼,全面的身份與存取管理 (IAM) 或特權存取管理 (PAM) 解決方案,這些方案能將 IAM 提升到更高的層次,提供即時存取敏感系統的能力,以及記錄所有已登入使用者的活動紀錄。
零信任網路存取 (ZTNA) – ZTNA 將零信任安全應用於所有網路存取及其相關系統。零信任安全假設所有的存取請求和會話都是惡意的,無論其來源為何。從企業總部已知的電腦連線的使用者,會與從未知位置透過 VPN (虛擬私人網路) 連線的遠端使用者受到同樣的對待。在實施零信任安全時,通常會與網路微分段結合,這意味著一次成功的登入並不會自動授予存取所有其他系統的權限。每一次的存取都必須單獨進行驗證和認證。這對使用者來說可能看起來有些繁瑣,但有一些方法可以實施這一原則,讓員工不會感到負擔。
加密技術 – 加密能夠保護伺服器和設備上的靜態資料,以及在網路中傳輸時的資料安全。加密使用標準的密碼學協議,例如 AES-256 用於靜態資料,以及 TLS 1.3 用於在網路中傳輸的資料。
遠端存取解決方案 – 在過去十年中,工作環境發生了重大變化。許多人現在都會在家工作或遠端工作一部分時間。這意味著他們需要能夠從家裡,甚至是任何有網路連線的地方,存取商業系統和應用程式。這樣一來,駭客可攻擊的面向增加,對於安全團隊的壓力也隨之上升。傳統上提供安全遠端存取的方法是透過企業VPN。雖然這仍然很常見,但隨著遠端工作的員工數量增加,VPN在擴展和管理上面臨挑戰。其他解決方案,例如Secure Access Service Edge (SASE)和Software Defined Wide Area Network (SD-WAN),也日益受到歡迎。無論採用哪種方式提供遠端存取,一旦用戶會話在企業網路上活躍,就必須密切監控可疑活動,以防潛在的安全漏洞。Progress Flowmon ADS提供這項監控功能。
安全資訊與事件管理 (SIEM) – SIEM 系統會從網路上多個安全工具收集並分析安全日誌。這些 SIEM 會整合並分析所有這些數據,以提供一個集中且全面的當前安全狀態視圖。
網路偵測與回應 (NDR) – NDR 透過分析網路流量模式來辨識那些能夠繞過邊界防禦的威脅。像是 Flowmon ADS 這樣的解決方案提供即時的網路可見性與自動化的威脅偵測,對於識別橫向移動及攻擊者或其部署的任何惡意軟體所使用的指揮與控制通訊至關重要。
擴展檢測與回應 (XDR) – XDR 將多種安全工具及數據來源整合為統一的平台。與舊式方法中安全團隊需管理各自獨立解決方案的情況不同,XDR 將來自數據端點、網路、雲端環境、電子郵件系統及身份平台的監控數據進行關聯,提供廣泛的威脅可視化。
Endpoint Detection and Response (EDR) – EDR 解決方案提供對端點的監控與保護,包括伺服器、桌面電腦、筆記型電腦及行動設備。EDR 解決方案通常會收集並分析行為數據、檔案活動、網路連線及運行中的過程。與傳統的防毒軟體主要依賴於簽名檢測不同(詳情見下文),EDR 透過進階分析、機器學習演算法及行為分析來識別新的及零日威脅、無檔攻擊及可能躲避傳統防禦的複雜惡意程式。
防毒軟體 – 防毒軟體是端點保護的基礎層,從其起源以來已經發生了重大變化。傳統的防毒引擎維護著大量已知惡意程式碼簽名的資料庫,以識別特定的威脅。防毒解決方案會掃描檔案、電子郵件附件、下載內容以及系統記憶體,以尋找這些簽名,並在偵測到任何威脅時採取安全行動。
如前所述,Flowmon Intelligent Network Monitoring and Analysis 與 Flowmon Network Detection and Response 提供深入的網路洞察,幫助組織了解其流量模式、識別異常並在2025年普遍存在的複雜混合網路環境中維持強大的安全姿態。
文章來源: What is Cybersecurity?


