強化資安視野與控管能力：Akamai Guardicore Insight

文章撰寫：Ken Hsu / 奧登資訊工程師

企業部署了微分段防護後，是否就能高枕無憂？答案是：還不夠！

即使網路流量受到嚴密控管，但是否真的知道每一台主機的安全狀態嗎？ 過時的作業系統補丁、缺少 EDR 防護的端點、執行中的可疑程式，這些「看不見」的弱點，都可能成為駭客入侵的破口。

傳統的資產管理工具僅能提供靜態資訊，無法即時反映主機當下的安全狀態，更無法根據這些狀態動態調整安全政策。 面對快速變化的威脅環境，企業需要的不只是流量可視化，更需要「主機狀態可視化」與「動態政策執行」的能力。

透過 Akamai Guardicore Insight 不僅讓企業看見網路流量，更深入了解每一台主機的安全健康度，並根據這些資訊自動執行精準的微分段政策。 

Akamai Guardicore Insight 介紹 

透過整合 OSQuery 技術，賦予企業前所未有的主機狀態查詢能力。

不同於傳統資產管理工具，Insight 不只是「記錄」資訊，而是能夠：

1. 即時查詢：跨所有端點與伺服器，即時取得作業系統、補丁狀態、執行程序、網路連線等詳細資訊

2. 排程掃描標記：根據定期掃描結果自動為資產加上標籤 (Label)

3. 政策聯動：利用這些動態標籤建立微分段政策，實現「基於狀態的存取控制」

簡單來說，Insight 讓 Guardicore 從「基於角色的防護」進化為「基於狀態的防護」，確保只有符合安全標準的主機才能存取關鍵資源。

Akamai Guardicore Insight 功能說明

1. 深度主機資訊查詢

   
   

Insight 內建強大的查詢引擎，可針對端點與伺服器進行多面向系統資訊查詢，涵蓋：

• 作業系統版本與補丁等級

• 已安裝的應用程式與版本資訊

• 執行中的程序與服務狀態

• 網路連線狀態與開放連接埠

• 登入使用者與帳號狀態

• 硬體資訊與驅動程式版本

  
  

這些查詢可透過直覺化介面執行，也可設定排程進行定期掃描。系統會依排程頻率更新主機資訊，協助管理者持續掌握資產狀態。

[ 盤點 Windows 主機上的軟體套件版本 ]

[ 盤點 Linux 主機上的軟體套件版本 ]

2. 自動化標籤管理

   
   

傳統的標籤管理需要人工維護，容易過時且不準確。Insight 可以：

• 根據查詢結果自動為資產加上或移除標籤

• 支援複雜的條件邏輯（例如：「Windows 且未安裝 EDR 且補丁過期」）

• 標籤即時同步至 Guardicore Centra 管理平台

  
  

例如，建立一個查詢，自動將「安裝了過時版本 VPN 軟體」的主機標記為「高風險資產」。

[ 設定定期查詢資產 ]

[ 當系統掃描到，會自動將資產打上標籤 ]

3. 基於狀態的微分段政策

   這是 Insight 最強大的功能：將主機的即時狀態與微分段政策緊密結合。

   傳統的微分段政策通常基於固定的角色或位置（例如：「所有 Web 伺服器可以存取資料庫」），但 Insight 讓您可以加入動態條件：

   
   

   「只有安裝最新 EDR 的端點才能存取檔案伺服器」

   「補丁等級不符合標準的主機，自動隔離其網路存取」

   「執行可疑程序的主機，立即封鎖對外連線」

[ 當異常主機被打上隔離標籤後，自動限制主機訪問 ]

Insight 實際應用場景

場景一：防範勒索軟體 - 自動封鎖 SMBv1 連線

痛點：勒索軟體常透過過時的 SMBv1 協定橫向傳播，但企業往往不清楚哪些系統仍在使用 SMBv1。

Insight 解決方案：

1. 使用 Insight 查詢所有接受 SMBv1 連線的主機

2. 自動將這些主機標記為「SMBv1-enabled」

3. 建立微分段政策，立即封鎖所有 SMBv1 流量至這些主機

4. 為 IT 團隊爭取時間進行修補，同時將風險降至最低

場景二：零時差漏洞應變 - Log4Shell 快速定位與隔離

痛點：當重大漏洞如 Log4Shell 被揭露時，企業需要快速找出所有受影響系統，但傳統方法耗時且不準確。

Insight 解決方案：

1. 使用 Insight 查詢所有執行含有 Log4J 函式庫的 Java 應用程式

2. 自動標記這些「潛在脆弱」的主機

3. 立即套用限制政策：禁止這些主機對外連線

4. 使用 YARA 簽章查詢，偵測是否有攻擊嘗試

場景三：端點安全合規 - 確保所有端點安裝 EDR

痛點：企業要求所有端點必須安裝 EDR（端點偵測與回應）軟體，但難以持續驗證與強制執行。

Insight 解決方案：

1. 建立排程查詢，每小時檢查所有端點是否安裝指定的 EDR 軟體

2. 將未安裝 EDR 的端點自動標記為「不合規」

3. 套用微分段政策：限制不合規端點存取企業核心資源

4. 發送告警通知 IT 團隊處理

場景四：特權主機管理 - 限制跳板機可執行程序

痛點：跳板機（Jump Server）是管理內網的關鍵入口，一旦被濫用將造成嚴重後果。

Insight 解決方案：

1. 使用 Insight 持續監控跳板機上執行的程序

2. 建立白名單：只允許特定的合法管理工具（如 SSH、RDP 客戶端）

3. 若偵測到非授權程序（如 PowerShell、駭客工具），立即：

   • 記錄事件並發出告警

   • 自動封鎖該主機的網路存取

   • 觸發事件調查流程

使用 Guardicore Insight 的六大好處

1. 即時掌握資產安全狀態

   不再依賴過時的資產清單，Insight 提供即時、準確的主機狀態資訊，讓您隨時了解企業資安態勢。

   
   

2. 加速安全事件應變

   當新漏洞或威脅出現時，Insight 讓您能在數分鐘內找出受影響資產並採取行動，大幅縮短應變時間。

   
   

3. 自動化合規管理

   透過排程查詢與自動標記，合規檢查從繁瑣的人工作業變成自動化流程，節省大量時間與人力成本。

   
   

4. 動態零信任政策

   傳統的靜態政策難以應對變化的威脅，Insight 讓您能根據主機即時狀態動態調整存取權限，實現真正的零信任架構。

   
   

5. 降低攻擊面

   自動識別高風險資產（如過時系統、缺少防護的端點）並限制其存取權限，有效減少潛在的攻擊路徑。

   
   

6. 整合式安全管理

   Insight 與 Guardicore Segmentation 完美整合，在同一平台上實現「可視化 → 查詢 → 標記 → 政策執行」的閉環管理。

結語

在零信任架構的時代，「不驗證，就不信任」是基本原則，而驗證的基礎就是完整的可視化。 Akamai Guardicore Insight 不僅協助企業看見網路流量，並且深入了解每一台主機的安全健康狀態，並根據這些即時資訊動態執行精準的防護政策。

面對日益複雜的資安威脅與嚴格的合規要求，傳統的靜態防護已力不從心。透過 Insight 的深度查詢能力與自動化政策聯動，企業能夠實現真正的「基於狀態的零信任」，確保只有符合安全標準的主機才能存取關鍵資源，將安全風險降至最低。