企業電子報-163期:全球頂尖 PAM 平台 Segura®:安全與速度兼具的特權存取守護者
四個簡單步驟即可使用 Cloudbric 託管規則的 AWS WAF(舊控制台版本和新控制台版本)
四個步驟完成 AWS WAF 的 Cloudbric 受管規則部署
只需幾分鐘,即可保護您的 AWS 應用程式。Cloudbric 為 AWS WAF 設計的受管規則,將企業級的威脅情報濃縮成簡單的一鍵式部署。本指南將向您展示如何在不編寫程式碼或安排停機時間的情況下,為您的應用程式添加經實戰驗證的安全邏輯。
為何要在 AWS WAF 之上添加 Cloudbric?
雖然 AWS WAF 提供了一個強大的基礎框架,但其真正的防護效果取決於您所應用的規則品質。Cloudbric 將精心策劃的規則群組,讓您可以:
- 加速部署:在五分鐘內啟動全面的安全策略。
- 領先威脅一步:每日規則更新,追蹤最新的 CVE 漏洞和攻擊模式。
- 減少誤報:利用機器學習輔助的特徵碼,大幅減少雜訊和干擾。
- 按用量計費:依每個 Web ACL 訂閱所需的規則群組,無長期合約綁定。
設定概覽
在開始之前,請確保您擁有:
- 一個 AWS 帳戶:已啟用 AWS WAF 並具備必要的 IAM 權限(例如
wafv2:*)。 - 一個目標資源:您希望保護的 CloudFront 發行版、應用程式負載平衡器(ALB)、API 閘道或其他支援的 AWS 服務。
- Cloudbric 訂閱:如果您是新用戶,AWS 將在設定過程中直接提示您透過 AWS Marketplace 訂閱 —— 無需離開主控台。
部署 Cloudbric 規則:逐步指南
本指南使用現代化的 AWS WAF 主控台工作流程。
步驟 1:導覽至 AWS WAF 並建立 Web ACL
從 AWS 管理主控台,前往 WAF & Shield。在左側導覽窗格中,點擊 Web ACLs,然後點擊 Create web ACL。Web 存取控制清單(Web ACL)是一組規則,能對到達您應用程式的網路流量進行精細控制。
步驟 2:描述 Web ACL 並關聯資源
命名您的 Web ACL 並提供可選的描述。
選擇您想保護的 AWS 資源(例如,您的 CloudFront 發行版或 ALB)。點擊 Next。
步驟 3:添加 Cloudbric 的受管規則
這是整合 Cloudbric 安全情報的關鍵步驟。
- 在 “Add rules and rule groups” 畫面上,點擊 Add rules 下拉選單,並選擇 Add managed rule groups。
- 向下滾動到 AWS Marketplace managed rule groups 區塊。
- 展開 Cloudbric Corp. 供應商列表,查看所有可用的規則群組。
- 找到您需要的規則群組(例如,OWASP Top 10 Rule Set),並切換 Add to web ACL 開關。
首次訂閱提示: 如果您之前未曾訂閱,系統將會彈出提示。請點擊 “Subscribe in AWS Marketplace”,接受條款,然後返回 WAF 主控台。此時,該開關將變為啟用狀態。
添加後,該規則群組及其相關的 WCU (Web ACL 容量單位) 成本將出現在您的列表中。若要添加其他 Cloudbric 規則群組,請重複此操作。完成後點擊 Next。
步驟 4:設定規則優先級、檢視並建立
如果您添加了多個規則,請設定規則優先級。預設情況下,您新增的規則群組將最後被評估。
檢視您的設定,確保所有配置均正確無誤。
點擊 Create web ACL。部署過程通常需要約 60-90 秒。
部署成功後,您會看到一個成功橫幅,確認您的 AWS 資源現已受到這個包含 Cloudbric 受管規則的新 Web ACL 保護。
您的安全工具包:Cloudbric 規則庫
根據您的具體需求選擇合適的防護。以下是 Cloudbric 可用規則群組的詳細說明、用途及其容量成本。
| 規則群組 | 為您提供的功能 | 適用時機 |
|---|---|---|
| API 防護 | 透過結構描述和速率檢查,防禦 OWASP API 安全十大風險(如注入、驗證失效、資料過度暴露等)。 | 任何面向公眾或合作夥伴的 REST/GraphQL API,特別是金融科技、SaaS 或行動應用後端。 |
| 匿名 IP 防護 | 偵測並攔截來自 VPN、代理伺服器、Tor 出口節點和其他匿名化服務的流量,以防止詐欺行為。 | 阻止詐欺集團、價格爬蟲和基於地理位置的濫用行為,而不會阻擋合法用戶。 |
| 機器人防護 | 使用基於行為和特徵碼的過濾器,攔截憑證填充、盜刷、庫存囤積和 SEO 垃圾訊息等攻擊。 | 電子商務結帳頁面、票務網站和遊戲登入頁面等任何受機器人流量損害的業務場景。 |
| 惡意 IP 信譽 | 攔截來自一個即時更新、包含超過 70 萬個與惡意軟體、垃圾郵件、DDoS 和 C2 伺服器相關的 IP 饋送。 | 對於任何企業來說,這是一個能以極低成本立即減少攻擊面的快速有效方法。 |
| OWASP Top 10 | 提供針對最關鍵 Web 應用程式安全風險(如 SQLi、XSS、路徑遍歷等)的廣泛防護。 | 每個新網站和應用程式上線前必備的基礎安全防護。 |
| Tor IP 偵測 | 專門標記並攔截來自 Tor 出口節點的流量,切斷高風險、高匿名的攻擊途徑。 | 銀行、遊戲或任何重視用戶身份和問責制的服務。 |
定價與 WCU (Web ACL 容量單位)
AWS WAF 的用量是以 WCU 計算的。您可以在一個 Web ACL 中組合多個規則群組,但請注意,預設的 WCU 上限為 1,500,超過將會產生額外費用。
| Cloudbric 規則群組 | 一般 WCU | 每月定價* |
|---|---|---|
| API 防護 | 1,200 | 透過 AWS Marketplace 按用量計費 |
| 匿名 IP 防護 | 90 | “ |
| 機器人防護 | 150 | “ |
| 惡意 IP 信譽 | 6 | “ |
| OWASP Top 10 | 1,400 | “ |
| Tor IP 偵測 | 6 | “ |
*定價直接透過您的 AWS 帳單進行管理。
準備好強化您的邊緣安全了嗎?
Cloudbric 為您的 AWS WAF 環境帶來企業級的保護,卻沒有企業級的複雜性。憑藉不到五分鐘的設定時間和每日更新的威脅情報,您可以輕鬆保護您的應用程式,並專注於您的核心業務開發。
關於 Penta Security
Penta Security 是全球網絡安全、數據安全和物聯網安全領域的領先供應商,擁有 27 年的專業經驗,被 Frost & Sullivan 評為亞洲頂級網絡安全公司。自 2009 年以來,其 Web 應用防火牆 WAPPLES 連續 16 年在韓國市場保持領先地位,並自 2016 年起在整個亞太地區佔據主導市場。此外,Penta Security 也在歐洲、中東及北美市場有所布局。
關於 Version 2 Digital
資安解決方案 專業代理商與領導者
台灣二版 ( Version 2 ) 是亞洲其中一間最有活力的 IT 公司,多年來深耕資訊科技領域,致力於提供與時俱進的資安解決方案 ( 如EDR、NDR、漏洞管理 ),工具型產品 ( 如遠端控制、網頁過濾 ) 及資安威脅偵測應 變服務服務 ( MDR ) 等,透過龐大銷售點、經銷商及合作伙伴,提供廣被市場讚賞的產品及客製化、在地化的專業服務。
台灣二版 ( Version 2 ) 的銷售範圍包括台灣、香港、中國內地、新加坡、澳門等地區,客戶涵 蓋各產業,包括全球 1000 大跨國企業、上市公司、公用機構、政府部門、無數成功的中小企業及來自亞 洲各城市的消費市場客戶。
進階持續性威脅(APT):潛伏在您網絡中的無聲威脅
我們都曾得過「那種感冒」—— 大多數症狀都已消失,卻留下了惱人、持續數週的咳嗽。在網絡安全的世界裡,「進階持續性威脅」(Advanced Persistent Threat, APT)就相當於您數碼環境中那頑固的咳嗽,只是其危害遠不止於此。這是一種悄悄地侵入您網絡,然後潛伏在陰影中,耐心等待以達成其目標的攻擊。
理解這些無聲的、長期的威脅,是為您的企業建立真正具韌性防禦的第一步。
什麼是進階持續性威脅?
「進階持續性威脅」(APT)是一種高度複雜、目標明確的網絡攻擊,惡意行為者在未經授權的情況下存取網絡,並在其中潛伏一段很長的時間而不被發現。與專注於快速獲利的常見網絡犯罪分子不同,APT 攻擊者採的是「放長線釣大魚」的策略。這個名字本身就說明了一切:
- 進階 (Advanced):攻擊者使用複雜且通常是客製化的工具和技術來突破防線。他們有條不紊、資金充裕且耐心十足。
- 持續性 (Persistent):這不是一次性的事件。其主要目標是在目標網絡內建立一個長期的立足點,維持數月甚至數年的存取權限,以持續收集情報。
- 威脅 (Threat):攻擊背後是一個有組織的人為對手——而不僅僅是一個自動化腳本。這些威脅行為者通常是組織嚴密的團體,針對政府機構、國防承包商和大型企業等高價值實體,以進行商業或國際間諜活動。
他們的主要目標是竊取資料和收集情報,而非破壞系統以造成干擾。
無聲入侵的剖析:APT 的生命週期
APT 攻擊按部就班地分階段展開。儘管具體工具可能有所不同,但其策略流程是一致的。
階段一:滲透 – 悄然潛入
第一步是獲取初始存取權限。攻擊者就像竊賊在踩點一樣,仔細尋找進入的途徑。
- 偵察 (Reconnaissance):他們掃描網絡尋找漏洞、識別設定不當的系統,並收集有關員工和基礎設施的情報。
- 初始存取 (Initial Access):他們利用偵察結果突破邊界防禦。常見方法包括針對性的網絡釣魚攻擊以竊取憑證、利用未修補的軟體漏洞,甚至從暗網上的「初始存取權限代理人」(Initial Access Brokers)購買存取權限。
- 建立立足點 (Establish a Foothold):一旦進入內部,他們會立即部署像後門(backdoors)或 Rootkit 等工具。這確保即使最初的入口被發現並關閉,他們仍能維持對受駭系統的存取權限。
階段二:擴張 – 繪製領土地圖
在確保立足點後,攻擊者開始進行探索。此階段的重點是更深入地滲透網絡並獲取更多控制權。
- 橫向移動 (Lateral Movement):攻擊者在系統之間悄悄移動,繪製網絡架構圖,並找出儲存有價值資料的位置。
- 權限提升 (Privilege Escalation):初始入侵通常是透過權限有限的標準用戶帳戶。接著,攻擊者會努力提升其權限,通常是針對並奪取管理員帳戶。獲得此等級的存取權限讓他們能夠停用安全控制、操控系統並自由行動。
階段三:竊取 – 執行劫案
這是他們所有努力的最終階段。在繪製了網絡地圖並獲得了特權存取權限後,攻擊者開始竊取目標資料。
- 資料收集與外洩 (Data Collection & Exfiltration):他們收集、加密並壓縮敏感資料,然後將其傳輸到自己的伺服器。為避免被偵測,他們通常會以緩慢、少量的方式竊取資料,以模仿正常的網絡流量。
- 掩蓋蹤跡 (Covering Their Tracks):為在竊取資料期間分散安全團隊的注意力,APT 集團可能會發動聲東擊西的攻擊,例如分散式阻斷服務(DDoS)攻擊或勒索軟體攻擊。
- 持續潛伏 (Remaining Embedded):即使在初次竊取資料後,攻擊者可能仍選擇隱藏在網絡中,以便在未來發動更多攻擊或長期持續竊取資訊。
獵捕數碼魅影:如何偵測 APT
由於 APT 的設計旨在隱匿,因此偵測極具挑戰性。安全團隊必須從尋找響亮的警報,轉變為追獵那些微小的異常——當這些線索串連起來時,便揭示了一個隱藏入侵者的故事。關鍵跡象包括:
- 異常的登入活動:尋找不尋常的模式,特別是特權帳戶,例如在非正常辦公時間或從意外的地理位置登入。
- 意外的資料流:監控異常的網絡流量,例如大量資料傳輸到外部伺服器或不尋常的內部資料打包,這可能表示資料正準備被竊取。
- 廣泛存在的後門木馬程式:發現旨在維持持續存取權限的複雜惡意軟體,且存在於多台機器上,是 APT 的一個強烈指標。
- 微小且持續的問題:看似微不足道的、反覆出現的小異常或無法解釋的帳戶鎖定,可能是一個更大規模、有組織攻擊的一部分。
建立具韌性的防禦以對抗 APT
要防禦一個有耐心且資源充足的對手,需要一個多層次、主動積極的安全策略。關鍵的最佳實踐包括:
- 縮小攻擊面:定期應用安全更新、實施嚴格的防火牆規則,並持續掃描和修復漏洞,以減少攻擊者的入侵點。
- 實施嚴格的存取控制:遵循「最小權限原則」,確保用戶只能存取其工作所必需的資料和系統。部署特權存取管理(PAM)解決方案,以密切監控和控制高價值帳戶。
- 採納主動積極的心態:不要等待警報響起。實施並自動化威脅狩獵(threat hunting),主動搜尋入侵指標。將您的防禦措施對應到 MITRE ATT&CK 等框架,有助於您專注於已知 APT 集團使用的戰術和技術。
- 保護遠端連線:使用虛擬私人網絡(VPN)加密所有遠端連線,使攻擊者更難在傳輸過程中攔截資料。
結論:保持警惕的重要性
進階持續性威脅並非吵雜的「砸了就跑」式搶劫;它們是耐心、有條不紊的間諜活動。要偵測和緩解它們,需要從被動的應對姿態,根本性地轉變為主動的、持續的警戒狀態。透過了解它們的方法、追獵其存在的微小跡象,並建立深入、主動的防禦,企業可以將其網絡從一個獵場,轉變為一座堅不可摧的堡壘。
關於 Graylog
Graylog 通過完整的 SIEM、企業日誌管理和 API 安全解決方案,提升公司企業網絡安全能力。Graylog 集中監控攻擊面並進行深入調查,提供卓越的威脅檢測和事件回應。公司獨特結合 AI / ML 技術、先進的分析和直觀的設計,簡化了網絡安全操作。與競爭對手複雜且昂貴的設置不同,Graylog 提供強大且經濟實惠的解決方案,幫助公司企業輕鬆應對安全挑戰。Graylog 成立於德國漢堡,目前總部位於美國休斯頓,服務覆蓋超過 180 個國家。
關於 Version 2 Digital
資安解決方案 專業代理商與領導者
台灣二版 ( Version 2 ) 是亞洲其中一間最有活力的 IT 公司,多年來深耕資訊科技領域,致力於提供與時俱進的資安解決方案 ( 如EDR、NDR、漏洞管理 ),工具型產品 ( 如遠端控制、網頁過濾 ) 及資安威脅偵測應 變服務服務 ( MDR ) 等,透過龐大銷售點、經銷商及合作伙伴,提供廣被市場讚賞的產品及客製化、在地化的專業服務。
台灣二版 ( Version 2 ) 的銷售範圍包括台灣、香港、中國內地、新加坡、澳門等地區,客戶涵 蓋各產業,包括全球 1000 大跨國企業、上市公司、公用機構、政府部門、無數成功的中小企業及來自亞 洲各城市的消費市場客戶。