觀點

端點安全評估必讀

2008 / 06 / 02
編輯部
端點安全評估必讀

在閱讀本文之前,先問問自己,您要對付的威脅是甚麼?為何需要端點安全?
端點安全方案,已是2008年重點項目之一。廣義的端點安全方案(End Point Security)包含防毒、反間諜、個人防火牆、主機入侵防護(HIPS)、裝置控管、應用程式控管以及網路存取控制(NAC,Network Access Control)。
(design) 兩大領域:1. 用戶端點應用防護 2. 用戶網路控制
當一位IT人員被上頭交待要「評估」端點安全方案時,該如何做呢?我們整理了簡單的「端點安全方案評估1-2-3」 。

評估端點安全方案的步驟如下:
(1) 現有環境的需求:現在用戶端的安全防護軟體有哪些,包含了防毒軟體、反間諜軟體、個人防火牆、資產盤點、裝置管理等,許多功能與現在所推出的端點安全管理方案會重複,勢必要作一番取捨。當然,將所有端點安全防護所需要功能融為一體,對於管理與資源的應用上會相對地化繁為簡,因為導入新的方案,可以評估出原本的擁有成本與新方案的擁有成本。
(2) 衝擊評估:用戶電腦用不順是最容易被提出來檢討的議題,也是IT部門最頭痛的問題,一般用戶不見得了解導入新方案對公司資安的幫助,只會從電腦是否能協助他們完成工作的順暢度這種感官與因人而異的感覺來評斷一個方案好壞。因此,必須評估導入新方案之後,對於大堆用戶電腦的影響衝擊。從「效能」與「影響」來看,相容性、網路容量(因為新方案所產生的內部頻寬需求),由於對應用系統執行的防護,新方案會產生一份白名單程序的列表。
(3) 需求評估包含:
3.1 產品功能:對應到需求。
3.2佈署方式:需考量舊有方案的移除時,空窗期的保護,以及自動化佈署需求。不同功能網路與電腦的佈署(機台電腦可能很難導入)。
3.3管理功能:注意涵蓋多項功能的端點安全方案的管理介面是否易於操作。
(4)成本:真正做好評估報告當然要包含「預算」,這是最重要的目的,上述的評估只能說是過程。
4.1 舊方案(防毒 + 反間諜 + 個人防火牆 + 資產裝置管理+網路控制)≧新方案(端點安全)
4.2管理成本:可比較新舊方案的人力成本。
何種企業需要端點安全方案
1.超過 20台以上的用戶電腦。
2.只安裝防毒軟體、反間諜、上網保護、裝置管理等其中一種。
3.經常有新的成員加入公司內部網路。
4.經常被各種惡意威脅所攻擊的IT環境。

端點安全方案檢核表(check list):
1. 現有環境的需求
2. 衝擊評估
3. 需求評估
(3.1)產品功能
(3.2)佈署方式
(3.3)管理功能
4. 成本
(4.1)舊方案≧新方案
(4.2)管理成本
策略上的考量:
除了上述評估步驟外,也應衡量組織未來發展策略與營運目標。IT如何支援組織未來中長期的發展目標,系統架構是否需要擴充,此時您所要決定的端點安全方案,是否可以因應未來組織擴增與營運目標需求。此外該解決方案對於未來趨勢面的變化所造成的IT環境、威脅變化上,能否保留擴充彈性,也應加以考慮。
打破端點安全常見的7個迷思
根據賽門鐵克在實際協助企業導入端點安全解決方案時發現,企業在部署端點安全解決方案仍然存有一些迷思,企業IT人員必須有正確的端點安全概念,才不至於讓企業安全功虧一簣。下面就針對這七點迷思加以提醒:
1. 認為所有的端點都是「電腦」
各式USB裝置、抽取式儲存硬碟、MP3等,使整個端點鏈不斷延伸,並非只有電腦才是所謂的端點。近來台灣地區非常流行的一隻KAVO病毒(W32.Gammima.AG,又稱USB病毒),就是透過受感染的USB裝置進行傳播。企業應選擇具備對USB裝置進行管控,並涵蓋包括防毒、防火牆、入侵防禦及網頁防護等功能的端點安全解決方案。
2. 認為均清楚的知道所有端點的位置
常常有企業員工會隨意用自己的手機、PSP或是其他行動裝置,透過Wi-Fi、3G等方式連網,對企業來說,這些未經授權連線的端點裝置是防不勝防。企業應搭配網路存取控管(NAC, Network Access Control)解決方案以有效控管這些裝置,唯有符合企業安全政策,才能與公司網路連線。
3. 僅對端點進行保護
端點僅是企業資安體系的一環,企業應確實採取「縱深防禦 layered security」的架構,才能夠達到層層封鎖的目的。企業應選擇能同時整合多種多層次的防護於單一介面上的端點安全解決方案,提供企業完善的縱深防禦策略。
4. 設定資安政策卻沒有相對應的技術加以落實
政策沒有落實就是空談。有些企業就會透過移除終端使用者的administration管理權,以防範其任意下載安裝軟體等危險上網行為。
5. 忽略實體安全的重要性
企業資料外洩有很高的比例是來自於筆記型電腦或是智慧型手機遺失/失竊。
6. 未針對新增及被汰換的電腦設定防護政策
當企業新增的電腦尚未準備好前,某些企業為了保險起見,亦不允許員工自行在公司使用個人的電腦或其他裝置;而被汰換的電腦也需先行從企業網路中將該裝置名稱刪除後,才予以回收棄置。
7. 缺乏管理階層的支持
企業安全有賴於高階主管的支持才能確實落實,賽門鐵克建議企業IT人員針對政策擬定時,先通過高層的同意後再加以執行。