網路正規化與端點安全 有助強化企業資安體質 智慧應用 影音
台灣玳能
Event

網路正規化與端點安全 有助強化企業資安體質

  • 魏淑芳

翔偉資安科技資安產品部業務協理黃星運。
翔偉資安科技資安產品部業務協理黃星運。

回顧過往,隨著電腦病毒、垃圾郵件、阻斷式攻擊、員工網頁瀏覽安全、社交工程、機密資料外洩…等不同時期資安議題一路延燒,對IT人員可說是惡夢連連,必須疲於奔命研究、規劃、部署、維運不同的事件防治方案,也必須想設方法說服企業編列足夠預算。

但在持續不斷的消耗下,如今IT人員面對更為難纏的進階持續性威脅(APT),已可謂筋疲力竭,雖然也想有所作為,但無奈只能雙手一攤;此乃由於,市售APT防治方案所費不貲,明顯逾越多數企業訊預算的臨界值,況且建置週期繁複,也可能迫使IT人員必須學習新的專業,種種不利因素交錯,使得企業陷於進退失據窘狀。

值此時刻,在人力與預算俱為不足的前提下,企業莫不期望找到好的因應對策,最好是藉由一套價格合宜且功能齊備的方案,即可擺脫APT攻擊陰霾。但翔偉資安科技資安產品部業務協理黃星運認為,防止APT,絕非倚靠單一設備或系統便可得償所願,企業與其汲汲追求一招見效的特效方案,倒不如回歸基本面,先把最脆弱的安全連結予以補強,做好資安防治的基本功,就有很大機會能夠趨吉避凶。

資安最薄弱一環  即是電腦及網路使用者

那麼,究竟什麼是最脆弱的安全連結?答案很簡單,其實就是電腦及網路系統的使用者,而國內外許多研究調查機構均曾提到,使用者就資訊網路安全中最薄弱的一環。黃星運進一步解釋,不管談到內部威脅、外部威脅或社交工程威脅,相信大家都不會否認,任何資安事件都與「人」有關。

「以下的問題,值得我們好好想想,」黃星運說,你可以隨意進老闆的辦公室?隨意打國際長途電話?隨意進入倉庫拿取貨品?隨意性騷擾你的同事?隨意開公司保險箱?在一連串問題中,「你」就是人,「隨意xxxx」就是事時地物,而更為關鍵的「可以」,就代表權限,所以只要把權限管理好,任何人都無法與這些不當的事時地物產生連結,也就不會讓企業招致無謂的資安危難;而所謂管理,意指在特定環境下,對組織所擁有的資源進行有效的計劃、組織、領導和控制,以便達成既定的組織目標的過程。

重點來了,企業普遍面臨預算人與力不足問題,應該如何取捨?最佳的解決之道,便是試著讓自己能夠從管理「人」的角度,建構IT資安環境,而箇中所蘊含的關鍵任務有二,一是網路正規化,另一便是端點安全。

做好網路正規化  避免人員誤觸安全紅線

所謂網路正規化,內含五大實施步驟,依序是化繁為簡、實體區隔、網路權限控管、網路備援,以及定期稽核。關於化繁為簡,理應不難理解,過往企業在不同時間點,為了加裝一顆WiFi AP、架設一台IP Cam或部署一套視訊會議系統,每次因應不同目的皆須拉線,長此以往導致線路零亂不堪,形成日後問題查找的障礙,故應力求讓線路簡單化。

至於實體區隔、網路權限控管,實為一體兩面,企業理應導入類似像Cyberoam的第8層控制機制,以便於根據不同部門群組或使用者,清楚劃分權限,繼而允許用戶使用自己的設備,套用合適權限,隨地在網絡中運用,但該或不該使用各項服務,抑或該走哪條ISP WAN線路對外連通,其間都有明確的區隔,不容任意跨越紅線。

基於不同群組或使用者在於對外網路的分流,也意謂企業同時擁有多路ISP WAN,如此即可設置多種故障轉移(Fail-over)條件,套用於Multi-link管理之上,以達到網路備援效果。最終可藉助直覺化的儀表板介面,定期稽核察看有無使用者違反公司既定安全政策,或濫用網路資源,藉以檢視企業資安環境的健全與否,另外搭配實施教育訓練,灌輸員工正確安全防護觀念,如此便可優化企業資安防禦體質。

至於端點安全議題,黃星運認為企業的首要之務,即是先行解決諸如Windows XP漏洞等陳年威脅。根據防毒軟體廠商F-Secure統計,2014年台灣遭受頻繁最高的PC安全威脅便是Downadup,是問世已達8年之久的古董病毒,而微軟老早就已釋出對應修補程式,按理說這類型威脅早該絕跡才是,詎料迄今包括銀行業、醫療業或製造業等多數用戶,礙於一些奠基於Windows XP或Windows 2000的老舊應用程式的持續運作(一旦安裝微軟Hotfix即會導致運作失效),所以任由漏洞存在,連帶給予Downadup等老舊威脅持續作亂的空間。

展望2015年,預期陳年威脅攻擊依舊肆虐,因為企業需要時間升級Windows XP作業系統,大約還得花上1?2年時間;處在此一空窗期,企業不應讓自身陷於不設防狀態,此時可考慮採用奠基於Deep Guard專利技術引擎的F-Secure多層式端點防禦方案,透過其間的漏洞攔截機制,藉以抵禦諸如Downadup等陳年威脅的進犯;與此同時,也能一併防堵Adobe Flash或Plugin等新威脅管道。