歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
以突破性觀點 打造資安新契機
2005 / 01 / 07
徐國祥
DOFS是防禦內賊洩密的新技術
美商動脈通訊公司執行長崔志克指出:「外來入侵用意多在破壞系統,對於機密資料攫取並不多見。而公司資料外洩主要仍歸咎於員工因素,尤其具高權限的主管更令人防不勝防,以某知名半導體廠商洩密事件為例,就是因為主管具有取得機密資料的權限。」傳統做法會監看網路上寄出去的文件是否屬於機密性,但如果郵件加密就不能判定是否為機密資料;另一種方式是監控員工存取資料是否有異常現象,舉例來說,員工從未在星期六使用電腦,有一天突然發生這類情況就表示有問題,但如此簡易判斷勢難有效掌握資料進出。
因應此種狀況,崔志克提出預防員工洩密的新做法:「其系統架構是將所有重要的資料存入一個專職伺服器(Terminal Server)內,一旦存入就不能取出來。」也考量使用便利性的問題,因此使用者仍可執行讀、寫、存的動作,但動作取決與否皆在Terminal Server內執行,使用者主機影幕上所顯現的資料是經由Terminal Server授權所傳遞的畫面,所以無法將資料存至他處。這有別於傳統方式,因為傳統做法只要去點選在Server內的文件檔即可在自身的主機上執行工作,使用者不但可以讀、寫、存,也可直接在主機內取得資料。以Terminal Server做為管控的中心所在,無論讀、寫、取和存都有其掌控,所以只要無法取得就能防堵資料外洩,此技術目前已運用於DOFS (Display-Only File Server)的產品。
既然不能取得資料,e-mail、print等動作將無法進行,如果不能e-mail、print、copy資料,處理公務勢必造成很大的問題,因此DOFS採用「權限」方式進行作業,以e-mail而言,當郵寄Terminal Server內的資料時,就好比寄出一張授權書,因為對方在打開信件時,只能讀,且真正執行的動作也是在Terminal Server上;至於print、copy也必須經過授權,動作也都是在Terminal Server內進行,且會將所有print、copy的動作記錄下來(log檔案),假若有任何異常狀況就有跡可循了。
SEES讓郵件管理與下載資料更安全
根據統計80﹪~90﹪的病毒是透過web browser與e-mail散佈,目前做法多半針對病毒進行掃描偵測,新技術則會將病毒隔離或移除,然而新病毒不斷出現、破壞威力越來越大,抵禦技術就得不斷推陳出新,總讓人有一種緩不濟急的感嘆。 崔志克提出一個類似於DOFS的概念,其系統架構稱為“SEES”,做法是將郵件管理和下載文件資料等交由一台專職伺服器主機執行(崔志克打了一個有趣比方,稱為「替死鬼主機」)。當使用者開啟郵件信箱時,真正執行動作已經是在那台專職的伺服器主機上,影幕呈現資料也是從專職主機傳遞過來的畫面。此做法優點在於一旦有病毒入侵,系統會產生一個警告畫面,只有專職伺服器主機受到感染,不會擴散到其他主機,防範病毒的工作僅需鎖定在專職主機。
而年底要推出的Client版與Server版主要不同點在於,Client版會將Client端的主機切割成兩個不同的登錄空間,道理類似為何Windows 2000通常會有兩個開機空間一樣,目的是預防系統發生故障時,可以有另一正常登錄空間使用。而Client版則會將其中一個空間專門用做「替死鬼區域」,另一空間則用做正常文件的執行,功能就如同上述專職伺服器主機一般。
重新思考資安技術新方向
崔志克強調,上述方法只能當做防治入侵與資料外洩的輔助工具,真正要有效防止病毒、駭客入侵,還是得藉由Firewall、防毒等系統做為第一線的防衛武器。目前防禦入侵的系統都大同小異,但防衛概念僅是如此嗎?對此,崔志克提出值得大家一起思考的方向:
其一,防毒產品大都是針對系統、文件進行掃描與偵測,等到發現病毒之後再進行排除或隔離的動作,如遇新病毒產生時,往往必須投入大量人力進行病毒研究,可說被動受制於病毒演變,他認為:「防毒做法上其實可以更簡單一點,只要藉由程式判斷,將既有好的保留,相對於好的就將其排除,如此就可化被動為主動。」
其二,關於檔案回復方面,崔志克舉了非常實際的例子:「如果有一個重要的檔案遭受入侵破壞,過程中使用者仍持續執行作業,直至24小時後才發現早被入侵,將如何找回被破壞前的資料,又如何找出24小時內執行中未被破壞的資料?」傳統做法會每隔一段時間就針對資料做備份(backup),或一旦發現資料毀損就會進行復原(rollback),但這類動作都只能找回之前最後儲存的資料,對於持續執行的過程中,哪些是好的?哪些是毀壞的?卻無法從中判斷,崔志克認為:「資料回復不該只有目前的發展層次,必須以積極的方式偵測出好、壞資料的功能,將好的資料保留,只要更新被破壞的資料即可。」這也才是真正解決資料回復的關鍵。
後記
專訪過程中可以深刻感受出崔志克不同於一般資安技術的觀點,當然未來也會有更好的資安技術產生,但他提供了我們新的思考方向,畢竟資安技術的領域是既複雜、且廣大的。
最新活動
2025.10.15
2025 金融資安發展論壇
2025.09.18
「密碼規範越嚴,反而更危險?」從稽核角度解讀帳號管理誤區與最佳實務
2025.09.23
漢昕科技X線上資安黑白講【零信任資安防線|FortiSIEM×FortiDLP打造全方位監控與資料防護】2025/9/23開講!
2025.09.24
資安攻防演練
2025.09.24
產品資安論壇:共築產品資安責任鏈
2025.09.25
面對勒索病毒威脅,資料遺失怎麼辦?3 招讓備份真的能用
2025.10.09
從駭客視角看社交工程:沒有演練,勒索病毒代價有多高?
2025.10.13
關鍵基礎設施-電力系統資安系列課程I(沙崙 X 成大太陽能系統)
2025.10.14
關鍵基礎設施-電力系統資安系列課程II(沙崙 X 成大饋線自動化系統)
2025.10.27
關鍵基礎設施-電力系統資安系列課程III(沙崙 X 成大 電驛系統)
2025.10.31
【雲端安全入門】CCSK 雲端安全知識證照培訓班
看更多活動
大家都在看
資安院發布「資安週報」 數據驅動台灣資安治理新模式
中國支持的新APT組織GhostRedirector,入侵全球Windows伺服器
Microsoft 推出 2025年9月 Patch Tuesday 每月例行更新修補包
AI驅動的惡意軟體攻擊「s1ngularity」已入侵2180個GitHub帳戶
中國駭客組織「鹽颱風」及UNC4841關聯的45個新惡意網域被揭露
資安人科技網
文章推薦
SonicWall 遭暴力破解攻擊 防火牆組態檔案外洩 籲用戶立即重設憑證
「資安雙認證」正夯!安永揭密SOC 2與ISO 27001企業必備資安評估標準
Palo Alto Networks 推出 Prisma Browser 防護高隱匿性威脅