https://ad.doubleclick.net/ddm/trackclk/N1114924.376585INFORMATIONSECURI/B26202047.309881952;dc_trk_aid=502706469;dc_trk_cid=155369661;dc_lat=;dc_rdid=;tag_for_child_directed_treatment=;tfua=;ltd=
https://ad.doubleclick.net/ddm/trackclk/N1114924.376585INFORMATIONSECURI/B26202047.309881952;dc_trk_aid=502706469;dc_trk_cid=155369661;dc_lat=;dc_rdid=;tag_for_child_directed_treatment=;tfua=;ltd=

觀點

以突破性觀點 打造資安新契機

2005 / 01 / 07
徐國祥
以突破性觀點 打造資安新契機

DOFS是防禦內賊洩密的新技術
美商動脈通訊公司執行長崔志克指出:「外來入侵用意多在破壞系統,對於機密資料攫取並不多見。而公司資料外洩主要仍歸咎於員工因素,尤其具高權限的主管更令人防不勝防,以某知名半導體廠商洩密事件為例,就是因為主管具有取得機密資料的權限。」傳統做法會監看網路上寄出去的文件是否屬於機密性,但如果郵件加密就不能判定是否為機密資料;另一種方式是監控員工存取資料是否有異常現象,舉例來說,員工從未在星期六使用電腦,有一天突然發生這類情況就表示有問題,但如此簡易判斷勢難有效掌握資料進出。

因應此種狀況,崔志克提出預防員工洩密的新做法:「其系統架構是將所有重要的資料存入一個專職伺服器(Terminal Server)內,一旦存入就不能取出來。」也考量使用便利性的問題,因此使用者仍可執行讀、寫、存的動作,但動作取決與否皆在Terminal Server內執行,使用者主機影幕上所顯現的資料是經由Terminal Server授權所傳遞的畫面,所以無法將資料存至他處。這有別於傳統方式,因為傳統做法只要去點選在Server內的文件檔即可在自身的主機上執行工作,使用者不但可以讀、寫、存,也可直接在主機內取得資料。以Terminal Server做為管控的中心所在,無論讀、寫、取和存都有其掌控,所以只要無法取得就能防堵資料外洩,此技術目前已運用於DOFS (Display-Only File Server)的產品。

既然不能取得資料,e-mail、print等動作將無法進行,如果不能e-mail、print、copy資料,處理公務勢必造成很大的問題,因此DOFS採用「權限」方式進行作業,以e-mail而言,當郵寄Terminal Server內的資料時,就好比寄出一張授權書,因為對方在打開信件時,只能讀,且真正執行的動作也是在Terminal Server上;至於print、copy也必須經過授權,動作也都是在Terminal Server內進行,且會將所有print、copy的動作記錄下來(log檔案),假若有任何異常狀況就有跡可循了。

SEES讓郵件管理與下載資料更安全
根據統計80﹪~90﹪的病毒是透過web browser與e-mail散佈,目前做法多半針對病毒進行掃描偵測,新技術則會將病毒隔離或移除,然而新病毒不斷出現、破壞威力越來越大,抵禦技術就得不斷推陳出新,總讓人有一種緩不濟急的感嘆。 崔志克提出一個類似於DOFS的概念,其系統架構稱為“SEES”,做法是將郵件管理和下載文件資料等交由一台專職伺服器主機執行(崔志克打了一個有趣比方,稱為「替死鬼主機」)。當使用者開啟郵件信箱時,真正執行動作已經是在那台專職的伺服器主機上,影幕呈現資料也是從專職主機傳遞過來的畫面。此做法優點在於一旦有病毒入侵,系統會產生一個警告畫面,只有專職伺服器主機受到感染,不會擴散到其他主機,防範病毒的工作僅需鎖定在專職主機。

而年底要推出的Client版與Server版主要不同點在於,Client版會將Client端的主機切割成兩個不同的登錄空間,道理類似為何Windows 2000通常會有兩個開機空間一樣,目的是預防系統發生故障時,可以有另一正常登錄空間使用。而Client版則會將其中一個空間專門用做「替死鬼區域」,另一空間則用做正常文件的執行,功能就如同上述專職伺服器主機一般。

重新思考資安技術新方向
崔志克強調,上述方法只能當做防治入侵與資料外洩的輔助工具,真正要有效防止病毒、駭客入侵,還是得藉由Firewall、防毒等系統做為第一線的防衛武器。目前防禦入侵的系統都大同小異,但防衛概念僅是如此嗎?對此,崔志克提出值得大家一起思考的方向:

其一,防毒產品大都是針對系統、文件進行掃描與偵測,等到發現病毒之後再進行排除或隔離的動作,如遇新病毒產生時,往往必須投入大量人力進行病毒研究,可說被動受制於病毒演變,他認為:「防毒做法上其實可以更簡單一點,只要藉由程式判斷,將既有好的保留,相對於好的就將其排除,如此就可化被動為主動。」

其二,關於檔案回復方面,崔志克舉了非常實際的例子:「如果有一個重要的檔案遭受入侵破壞,過程中使用者仍持續執行作業,直至24小時後才發現早被入侵,將如何找回被破壞前的資料,又如何找出24小時內執行中未被破壞的資料?」傳統做法會每隔一段時間就針對資料做備份(backup),或一旦發現資料毀損就會進行復原(rollback),但這類動作都只能找回之前最後儲存的資料,對於持續執行的過程中,哪些是好的?哪些是毀壞的?卻無法從中判斷,崔志克認為:「資料回復不該只有目前的發展層次,必須以積極的方式偵測出好、壞資料的功能,將好的資料保留,只要更新被破壞的資料即可。」這也才是真正解決資料回復的關鍵。

後記
專訪過程中可以深刻感受出崔志克不同於一般資安技術的觀點,當然未來也會有更好的資安技術產生,但他提供了我們新的思考方向,畢竟資安技術的領域是既複雜、且廣大的。