所有資安事件都始於
初始存取(Initial Access)。身分憑證與終端設備是兩大主要攻擊管道,各項資安威脅趨勢報告都指出這是長期存在的問題。
由於設備帶來顯著的資安風險,行動裝置管理(Mobile Device Management,MDM)和端點偵測與回應(Endpoint Detection and Response,EDR)等設備管理工具,已成為企業資安基礎建設中不可或缺的要素。
然而,單純依賴這些工具來管理設備風險,反而會讓企業陷入虛假的安全感。企業現在需要建立設備信任的解決方案,而非僅仰賴基本的設備管理工具。設備信任提供全方位、以風險為基礎的設備安全執行方式,能彌補傳統設備管理方案的重大缺口。
以下將探討五個主要限制,以及如何透過設備信任來克服這些問題。
1. 無法掌握非管控設備的狀態
MDM 和 EDR 解決方案雖然擅長管理和保護已註冊的組織設備,但無法監控和管理非管控設備,包括個人筆電、手機、承包商設備和業務合作夥伴使用的設備。
這些能存取企業資源的非管控設備反而構成重大威脅,並可能違反組織的資安政策。
常見問題包括未啟用磁碟加密、未設定生物辨識或長期未更新系統。更令人擔憂的是,由於缺乏資安監控機制,這類設備容易成為駭客入侵的目標。
設備信任機制能涵蓋所有經過身分驗證的設備,涵蓋非管控、自攜(BYOD)及個人設備。最理想的解決方案是採用重視隱私且輕量化的認證器。這類認證器雖無遠端抹除功能與設備管理權限,但能有效收集設備風險資訊、支援快速修復,為所有設備提供風險可視性並確保資安合規性。
2. 作業系統支援範圍不足
儘管大多數 MDM 和 EDR 工具都支援 Windows 和 macOS 等主流作業系統,但對 Linux 和 ChromeOS 設備的支援卻極為有限,某些工具甚至完全不支援。這種支援缺口使採用多元作業系統的組織面臨安全風險,尤其是經常使用這些作業系統的軟體工程師和系統管理員。
而設備信任機制提供完整的作業系統支援,涵蓋 Linux 和 ChromeOS,讓管理者能即時評估任何作業系統的設備風險,並阻擋不符合安全標準的設備存取。
3. 缺乏存取控制整合機制
MDM 和 EDR 工具通常與存取管理系統各自獨立運作,導致設備的資安狀態與存取控制之間形成斷層。即使 MDM 或 EDR 偵測到端點的可疑活動,這些警訊也無法即時傳送至存取管理系統以調整使用者的資源存取權限。
因此,組織無法依據設備管理工具收集的即時風險評估來執行存取控制政策。
設備信任機制能完整實現適應性風險政策,並在存取決策時評估所有安全指標。若設備不符合資安規範,系統會立即阻擋其存取公司資料;若設備在使用過程中違反規範,系統也會即時中止其存取權限。
透過存取控制政策來執行設備信任機制,不僅能有效管理設備風險,還能避免因強制更新而影響工作效率。系統會持續限制不合規設備的存取權限,直到使用者或管理員完成必要的修復措施。
4. 設備管理工具的錯誤設定風險
設定偏移(Configuration Drift)是無可避免的問題。MDM 和 EDR 解決方案若出現錯誤設定,就會產生資安死角,讓威脅有機可乘。這類錯誤設定常見於人為疏失、專業知識不足,或是系統需求過於複雜等情況,且往往要等到資安事件發生後才會被發現。
以 CrowdStrike 為例,該工具需要完整的磁碟存取權限,才能正確執行其偵測與回應功能。因此在執行縱深防禦(Defense in Depth)時,除了要確認工具是否已安裝,更要驗證其設定是否正確無誤。
設備信任機制能與設備管理解決方案深度整合,不僅確認工具的安裝狀態,還能驗證所有設定是否符合預期標準。這樣的機制提供了額外的安全防護層,有效預防資安工具發生設定偏移的問題。
5. 難以偵測進階威脅
MDM 和 EDR 工具主要用於偵測已知威脅。特別是 MDM,儘管各家廠商提供不同程度的風險遙測功能,但整體而言仍屬基礎層級。
這些工具無法協助組織辨識或處理以下資安風險:
- 識別設備上的特定程序與敏感檔案
- 偵測未加密的 SSH 金鑰
- 識別第三方 macOS 擴充程式
- 評估應用程式中的已知資安漏洞(CVE)
設備信任機制則提供精密的風險評估功能。藉由與存取管理系統的深度整合,組織能實施比傳統設備管理工具更全面的資安規範。此機制不只評估現有的資安指標,還能有效判定設備是否符合組織的資安政策要求。
結論
儘管設備管理工具扮演重要角色,但僅靠這些工具無法完全確保設備安全。企業組織必須導入設備信任機制,才能實現全面的可視性、跨平台支援、存取控制整合、嚴謹的設定管理,以及進階威脅偵測等完整的資安防護能力。
本文轉載自 TheHackerNews。