建構無死角的企業安全環境—端點安全產品 測試報告

現在市面上已有所謂的「端點安全產品」，即是強調自動化地監控端點上的安全狀態、定期執行安全規範，然後隔離或禁止這些違反安全規範的設備，直到問題解決，避免形成安全死角。 我們實際測試了六種這類產品：Check Point公司所推出的Check Point Integrity 5.0、Endforce公司所出的Enforce Enterprise 1.5、InfoExpress公司的CyberGatekeeper 3.0、Senforce公司的Endpoint Security Suite 3.0、StillSecure公司的StillSecure SafeAccess 2.0、以及Sygate公司的Sygate Secure Enterprise 4.1。
我們發現，所測試的端點安全產品確實能夠執行安全規範與存取原則，但是在其他的測試項目，像是安裝、設定、管理、擴充性與系統安全性的測試上，彼此還是有許多差異，也都會是企業採購這些產品的考量因素。
不同架構，殊途同歸
有句老話是這樣說的：「異源同流，殊途同歸。」我們所測試的這些產品，雖然採用不同的架構模式，但都有一個目的：確保只有安全的設備得以連上網路。InfoExpress（Linux server）與Endforce（Windows Server 2003），屬於主從式架構，也都是採用代理程式（agent-based）方式。這兩者產品並沒有將防火牆功能內建在他們的代理程式裡，而是允許你使用其他所熟悉的個人防火牆軟體，而他們的代理程式會負責確認你的防火牆狀態。
在Windows的Server 2003上的Check Point、Sygate以及Senforce也是採用代理程式，但是他們軟體本身含防火牆，且不能移除防火牆功能，使用者若想使用其他第三方的防火牆，可能會有所衝突。
而StillSecure便不是採用代理程式方式了，它的中央控管伺服器使用Windows NetBIOS來掃描管轄內Windows主機的註冊機碼、執行程式狀態、病毒碼以及系統修補狀態…，在登入網域時便會進行這些檢查。但是在我們所測試的版本僅支援Windows系統的主機（他們的最新版會支援其他平台，而且能夠選擇是否要以安裝代理程式的方式來達到進階檢查的功能，但是目前並沒有提供給我們測試）。這類型的控管伺服器可以安置在閘道口使用即時阻擋模式（inline-mode），當做政策防火牆來控管企業內主機，或是可與DHCP伺服器配合，配發IP給通過政策檢核的主機。
除了InfoExpress產品以外，上述產品不是使用代理程式就是使用中央控管主機，依據管轄下的主機是否達到企業所約定的資訊安全政策，來允許／隔離這些主機。而InfoExpress是從企業所屬的路由器／交換器（Cisco或Nortel）上來著手，可藉由VLAN設定阻擋那些沒有符合資安規範的主機，而直到他們達到規範要求。
另外，上述所有產品都能讓不符合安全規範的主機，連至企業所設定之網站，以便提供相關修補資訊、設定修改方式或病毒碼檔案等來讓這些主機能夠進行修正。

產品安裝
我們測試了這些產品的安裝便利性，我們希望在企業內，可以不需要專業技術人員協助，便可將這些產品輕鬆且快速的安裝起來。Endforce、Senforce、Sygate及Check Point皆為Windows版本，而且需要額外安裝資料庫軟體，像是MS SQL Server、Oracle，另外也要安裝Windows IIS和SSL憑證。 由於Sygate提供文件與安裝精靈，在所有測試產品中，Sygate是安裝起來最順利的產品。同樣地，Check Point也有提供相關安裝文件與安裝精靈，所以在安裝其政策伺服器（policy server）時也沒有任何問題發生，但是在安裝其代理程式時，我們所測試的XP Pro卻在重新開機後當機了。不過，Check Point並沒有接獲這樣相關的通告案例，他們的技術支援小組也無法重新再產生同樣的情況。
StillSecure使用了Linux的腳本來安裝他的政策伺服器，安裝起來相當容易。 安裝InfoExpress最為複雜，因為其獨特的架構設計，需要較為專業的技術支援。他們的技術小組在電話中熟練地指導我們該如何安裝。這是因為InfoExpress為Linux平台，且須與交換器和路由器配合。根據我們所設計的測試網路架構來設定交換器上的VLAN並與InfoExpress整合，以便能達到網路隔離的效果，這個過程令我們煞費苦心。不過如果你的網路環境與交換器支援802.1X，可能較為簡單，InfoExpress可以利用802.1X，在交換器上直接進行控管。 Endforce並沒有提供良好的文件說明，所以我們在安裝上感到很困擾，還有他的安裝手冊繁瑣，很容易就遺漏重要步驟，最後，還好我們善用了他們的技術支援服務，讓我們順利完成安裝。
Senforce的快速開始手冊其實不足，但從所附CD的安裝指示與管理手冊，不需技術支援就完成安裝程序了。

該採用哪家的解決方案
這些產品在使用上的擴充性與便利性取決於被安裝機器的作業系統以及產品本身是採用代理主機還是中央控管的架構。
StillSecure的中央控管架構使其具有較高的擴充性，特別在與DHCP伺服器搭配使用的時候，可以配合DHCP伺服器，執行政策控管，防止不符合政策的機器取得IP。這種控管比起靠分散式的代理主機架構來執行控管，有更好的效率。StillSecure本身也可以設定成即時阻擋模式的閘道器，藉由其防火牆功能來執行網路控管。
本次檢測除了Endforce和Senforce外，皆有故障備援（failover），以確保能夠24小時長時間運作。Endforce雖然支援Active Directory，但也是唯一沒有支援LDAP的產品，這可能無法吸引某些慣用LDAP的企業來採用。另外，僅InfoExpress有提供不同作業平台的代理程式。

政策管理
在比較過所有產品在監控能力與政策執行（enforcement）能力後，我們發現，能否輕鬆地建立與設定安全政策，是我們重要的評斷依據。
Check Point、StillSecure與Sygate這三家提供了許多的預設應用軟體檢測與註冊機碼檢查項目，Endforce提供的最少。產品能提供越多的檢查項目，表示資安人員不必再花時間去建立。這點對於資安人員未來在設定額外的檢查項目時，也變的更為重要。
Check Point與Sygate提供了簡易的方式來自訂檢查項目，你可以簡單地使用預設元件來設定新的政策檢查，讓管理變的更容易。 相反的，Endforce在自訂檢查項目的能力較差，較少的工具精靈、指引的協助，預設項目也很少。
在建立政策規則的介面上，由Check Point與Sygate勝出，且只有Check Point擁有精靈來協助建立政策規則，這可以省下資安人員大量的時間。而Sygate採用Java-based的介面，雖然方便使用，但是無可避免的Java反應速度慢，還是一大問題。 除了Web介面，採用Linux為基礎的StillSecure和InfoExpress，還是需要部分的控制操作台（console）介面來進行設定，這就令人頭大了。InfoExpress 的控制操作台介面功能雖然相當多，但是仍需政策規則建立精靈協助，來一步步指引。

報表能力
接下來我們評估了這些產品的報表能力，一個好的產品應該要能產生多樣化的資訊（像是代理程式的回報紀錄、防火牆紀錄、違規紀錄、政策違反紀錄等），要簡單易用、可客製化，並可以各種形式輸出。
Sygate擁有絕佳的報表能力。Sygate報表模組需要使用Crystal Reports，可以輸出多樣化的報表，像是：各代理程式上的攻擊統計（attacks on agents），以及各種檔案格式：像是HTML或PDF。它提供了圖形式的報表，且能夠讓管理者深入點選獲取深入資訊。舉例來說，你可以從圖表得知有哪些主機沒有安裝最新的病毒碼，並且可以深入點選進去，得知這些個別主機目前的狀態與資訊。
緊追在後的是Check Point，他的報表可以顯示各主機所遭受到的攻擊數量與攻擊種類。
Senforce的報表可得知各端點主機的登記資訊，並可以依據企業、群組、使用者的分類來產生報表。Senforce同樣地也須與Crystal Reports整合。不過Senforce並沒有提供像Check Point和Sygate一般那麼完整的攻擊報表資訊。
InfoExpress的報表欄位太少，也許是因為它採用MSDE資料庫，本身有2GB的紀錄容量限制。
Endforce與StillSecure產品的報表能力是最弱的，Endforce甚至沒有代理程式的登記紀錄資料，只有政策符合性報表。一般來說，能夠得知代理程式溝通的頻率是非常重要的，藉此也可得知整體環境使用率與狀態，StillSecure並無支援像是Crystal Reports第三方工具。

檢查能力的比較
在本次的產品測試中，我們發現所有受測產品的基本功能—政策符合性控管，都相當地不錯。
這些產品可以檢查出主機是否有安裝防毒軟體、是否在運作、病毒碼是否最新、有無安裝個人防火牆、目前系統修補狀態以及一些安全設定是否良好。這些產品也都能提供額外的自訂檢查，像是檢查一些間諜軟體檔案。這些自訂檢查都是可以設定的。
我們也測試了這些產品是否會有誤判的問題，也就是在做政策符合性檢查時，會不會有誤判的情形。我們模擬了一種情況：當出現了一種零時差（Zero-day）的蠕蟲（防毒軟體無法檢測的蠕蟲），他會主動關閉防毒軟體、個人防火牆或系統更新狀態，來騙過系統的政策檢查，讓系統以為還是符合政策規範。我們使用了數個防毒軟體與個人防火牆軟體來做這個模擬，結果我們發現並無任何誤判，這些產品皆可有效地偵測出這些系統異狀。
這些端點產品檢查主機上的檔案與註冊機碼來確保符合系統安全政策，除了Endforce，其餘的產品皆使用MD5追蹤方式來避免偽造檔案。而InfoExpress更進一步針對執行檔所關聯的DLL檔案來驗證，避免蠕蟲使用相同的檔案來蓋掉原來檔案，這類檢查使得惡意程式想藉由偷改註冊機碼或檔案來避開端點檢查產品的監控變的更加困難了。

安全產品有沒有安全上的漏洞呢?
安全產品本身仍有可能存在漏洞，好幾種這樣的安全產品都曾被公佈有相關漏洞，像是所附的網頁伺服器存在漏洞，另外也有可能是本身作業系統的漏洞。我們使用了幾種弱點掃描工具、網頁蜘蛛工具、密碼破解工具以及磁碟編輯工具來試圖找出一些潛在的問題，而在測試之後這些我們所發現的問題，廠商也都推出相關的修補程式了。 StillSecure與Sygate的網頁伺服器便存在一般常見的伺服器缺失—目錄穿越安全漏洞（directory traversal）、允許目錄索引（directory listing）和資訊洩漏，這些都可能導致非經授權的資料存取。Check Point和InfoExpress這兩樣產品表現的最好，我們無法找出有任何安全缺失。而上述產品也都有立刻針對我們所發現的弱點來進行回應與修補。
我們在Endforce找到了相當嚴重的安全問題，譬如他將RADIUS的密鑰用明文方式存放在伺服器上。另一問題是Endforce的伺服器強度是取決於該伺服器作業系統的更新程度，儘管Endforce提供許多文件來強化其Windows安裝上的安全，但卻沒有對其伺服器做任何補強的措施。
Senforce的資料庫密碼也是以明文紀錄，也是僅提供文件來指導如何加強其產品的安全，而廠商終於接受回應且正視這項問題。
其他四家廠商使用像是Nessus或Nmap之類的掃描工具來檢測自己的產品，來確保他們的產品及架構的安全性。

端點安全產品仍有努力的空間
整體來說，用戶端安全產品前景仍大有可為，廠商也一直盡力在開發這些能夠檢查用戶端政策與安全的產品。而這些產品的差異可能非常細微：是否易於管理、支援哪些作業系統？可否防範零時差攻擊？整體運作及安裝的成本能否再降低？這對於那些遠端存取主機很重要，因為那些是企業環境中能省則省的小地方卻也容易是死角。
Check Point的Integrity在測試產品中表現不錯。而Sygate也蠻成熟了，InfoExpress由於可與交換器搭配執行隔離政策，企業可以使用它來執行網路控管。StillSecure是採用中央控管，不需代理程式的架構，且將來會支援使用代理程式來增加彈性，也是不錯的選擇，而Senforce仍需些許改進。本次測試的所有產品，包括Endforce，雖然都能有效地監控與執行端點安全政策，但是仍有許多成長的空間。
當這些產品改進這些問題後，網路安全、管理與資訊整理，都將靠這些工具來達成，由於現在企業已迫切需要這類的管理工具，相信在未來兩年內，這些軟體會像防毒軟體一樣的普及。
本文作者TOM BOWERS，CISSP、PMP、CEH，他是Information Security技術編輯及Fortune雜誌100大藥廠公司的資訊安全顧問。如有任何建議請來信iseditor@asmag.com。