網路正規化與端點安全　有助強化企業資安體質

翔偉資安科技資安產品部業務協理黃星運。

回顧過往，隨著電腦病毒、垃圾郵件、阻斷式攻擊、員工網頁瀏覽安全、社交工程、機密資料外洩…等不同時期資安議題一路延燒，對IT人員可說是惡夢連連，必須疲於奔命研究、規劃、部署、維運不同的事件防治方案，也必須想設方法說服企業編列足夠預算。

但在持續不斷的消耗下，如今IT人員面對更為難纏的進階持續性威脅(APT)，已可謂筋疲力竭，雖然也想有所作為，但無奈只能雙手一攤；此乃由於，市售APT防治方案所費不貲，明顯逾越多數企業訊預算的臨界值，況且建置週期繁複，也可能迫使IT人員必須學習新的專業，種種不利因素交錯，使得企業陷於進退失據窘狀。

值此時刻，在人力與預算俱為不足的前提下，企業莫不期望找到好的因應對策，最好是藉由一套價格合宜且功能齊備的方案，即可擺脫APT攻擊陰霾。但翔偉資安科技資安產品部業務協理黃星運認為，防止APT，絕非倚靠單一設備或系統便可得償所願，企業與其汲汲追求一招見效的特效方案，倒不如回歸基本面，先把最脆弱的安全連結予以補強，做好資安防治的基本功，就有很大機會能夠趨吉避凶。

資安最薄弱一環  即是電腦及網路使用者

那麼，究竟什麼是最脆弱的安全連結？答案很簡單，其實就是電腦及網路系統的使用者，而國內外許多研究調查機構均曾提到，使用者就資訊網路安全中最薄弱的一環。黃星運進一步解釋，不管談到內部威脅、外部威脅或社交工程威脅，相信大家都不會否認，任何資安事件都與「人」有關。

「以下的問題，值得我們好好想想，」黃星運說，你可以隨意進老闆的辦公室？隨意打國際長途電話？隨意進入倉庫拿取貨品？隨意性騷擾你的同事？隨意開公司保險箱？在一連串問題中，「你」就是人，「隨意xxxx」就是事時地物，而更為關鍵的「可以」，就代表權限，所以只要把權限管理好，任何人都無法與這些不當的事時地物產生連結，也就不會讓企業招致無謂的資安危難；而所謂管理，意指在特定環境下，對組織所擁有的資源進行有效的計劃、組織、領導和控制，以便達成既定的組織目標的過程。

重點來了，企業普遍面臨預算人與力不足問題，應該如何取捨？最佳的解決之道，便是試著讓自己能夠從管理「人」的角度，建構IT資安環境，而箇中所蘊含的關鍵任務有二，一是網路正規化，另一便是端點安全。

做好網路正規化  避免人員誤觸安全紅線

所謂網路正規化，內含五大實施步驟，依序是化繁為簡、實體區隔、網路權限控管、網路備援，以及定期稽核。關於化繁為簡，理應不難理解，過往企業在不同時間點，為了加裝一顆WiFi AP、架設一台IP Cam或部署一套視訊會議系統，每次因應不同目的皆須拉線，長此以往導致線路零亂不堪，形成日後問題查找的障礙，故應力求讓線路簡單化。

至於實體區隔、網路權限控管，實為一體兩面，企業理應導入類似像Cyberoam的第8層控制機制，以便於根據不同部門群組或使用者，清楚劃分權限，繼而允許用戶使用自己的設備，套用合適權限，隨地在網絡中運用，但該或不該使用各項服務，抑或該走哪條ISP WAN線路對外連通，其間都有明確的區隔，不容任意跨越紅線。

基於不同群組或使用者在於對外網路的分流，也意謂企業同時擁有多路ISP WAN，如此即可設置多種故障轉移(Fail-over)條件，套用於Multi-link管理之上，以達到網路備援效果。最終可藉助直覺化的儀表板介面，定期稽核察看有無使用者違反公司既定安全政策，或濫用網路資源，藉以檢視企業資安環境的健全與否，另外搭配實施教育訓練，灌輸員工正確安全防護觀念，如此便可優化企業資安防禦體質。

至於端點安全議題，黃星運認為企業的首要之務，即是先行解決諸如Windows XP漏洞等陳年威脅。根據防毒軟體廠商F-Secure統計，2014年台灣遭受頻繁最高的PC安全威脅便是Downadup，是問世已達8年之久的古董病毒，而微軟老早就已釋出對應修補程式，按理說這類型威脅早該絕跡才是，詎料迄今包括銀行業、醫療業或製造業等多數用戶，礙於一些奠基於Windows XP或Windows 2000的老舊應用程式的持續運作(一旦安裝微軟Hotfix即會導致運作失效)，所以任由漏洞存在，連帶給予Downadup等老舊威脅持續作亂的空間。

展望2015年，預期陳年威脅攻擊依舊肆虐，因為企業需要時間升級Windows XP作業系統，大約還得花上1？2年時間；處在此一空窗期，企業不應讓自身陷於不設防狀態，此時可考慮採用奠基於Deep Guard專利技術引擎的F-Secure多層式端點防禦方案，透過其間的漏洞攔截機制，藉以抵禦諸如Downadup等陳年威脅的進犯；與此同時，也能一併防堵Adobe Flash或Plugin等新威脅管道。