把惡意程式「凍」起來

透過新科技的整合，把惡意程式從菜單上移除。

位於美國德州的Roundtable是一家冰淇淋的連鎖商店，橫跨整個德州的據點，讓身為屬於該公司的資訊長的Mike Stump 只要一接到惡意程式發作的警訊，可能就得開上10個小時車程，從Lubbock的辦公室到德州的另一邊去，這是他最大的痛苦。現在員工都會利用公司電腦上網、下載MP3與瀏覽MySpace網站，但是傳統防毒軟體根本擋不住從瀏覽器來的惡意程式入侵員工電腦，受感染的機器比比皆是，每家分店至少都有電腦給員工上下班簽到、經理寄發電子郵件等用途。現在惡意程式入侵的事件變少了，產能也增加了。2年之前，Roundtable採用ScanSafe的資安上網管理服務，控制員工上網的安全管理並且把間諜軟體與病毒檔在門外。Stump表示，第1年我們就省下了10萬美金的維修支援費用，那一年他們只有31家分店，至今已
經在德州、新墨西哥、奧克拉荷馬總計有46家分店。
威脅的形式在這1～2年已經轉變為網頁式(web-based)的惡意程式散播，像Roundtable這樣必須面對大量用戶上網的公司，已經開始準備採用新的科技，像是網頁安全閘道(WSG, Web Security Gateway)，尤其是現在採用多個設備提供如防毒、郵件安全等，網頁安全閘道結合現有的科技，並提供更多的功能如URL 過濾、惡意程式碼過濾、即時訊息過濾與其他應用程式的控制。同時提供單一高效能的裝置、威脅資料庫與政策管理架構。
Google在今年2月發佈一份研究報告指出，在1年半期間的研究中，高達300 萬的單一網頁含有惡意，其中有18萬個網站會自動安裝惡意軟體到瀏覽者的電腦中。其中不乏企業的官方網站也成為散播惡意程式的媒介。隨著AJAX技術的應用，網站攻擊接觸面與被安插惡意連結及惡意程式的機會大增。當然，沒有一個網管人員能夠把 HTTP (port 80)給封鎖起來。這是一個很顯著的攻擊進入點。現在更多的殭屍網路與間諜軟體等著網管人員接起客服電話，然後疲於奔命，甚至造成公司資料外洩與法律問題。因此，基於商業營運的可靠度、隱私、資料保護等，企業開始著手封鎖這些URL以保障安全。

WSG 的核心功能
基本上網頁安全閘道是一個多功能的解決方案，過濾用戶上網時不需要的軟體與惡意程式的下載、落實公司網路管理政策與法規的遵循。網頁安全閘道採用URL過濾、惡意程式偵測及過濾、控制網頁式的即時通訊(IM)和Skype等。
弄清楚網頁安全閘道的目的是很重要的，就是「保護內部網路的用戶端，確保它們在上網際網路時能夠符合公司的資安政策，並且不會被惡意程式所感染」。這與網站應用系統防火牆(WAF, Web Application Firewall)是不相同的用途，WAF是設計
來保護網站應用系統本身的，防止攻擊者透過網站應用系統的弱點，入侵網站並且安插所謂的惡意連結與惡意程式。WSG則是提供用戶端防禦的擴增防線，在瀏覽器問題頻傳之際，守住最後一線。WSG 提供以下3種功能：

URL 過濾 (URL Filtering)：這是用來控制網路瀏覽行為最常見的方法，根據Gartner的資料顯示，URL過濾的方案在大型企業中約有75%～95％的佈署率，而惡意程式過濾(malware filtering)則不到15%，URL過濾採用內容掃描、人工智慧與黑名單的方式來控制網站的存取。他最大的優點是在大型環境中，還是可以提供有效的過濾報告與統計資訊。然而在複雜的 Web 2.0的攻擊之下，URL過濾已經不夠用了。

惡意程式過濾(Malware Filtering)：惡意程式過濾的目標在於惡意程式進入企業網路之前就早一步攔截下來。透過URL過濾模組，搭配一個已知的惡意程式資料庫或稱為病毒碼，以往使用的是特徵值掃描(signature-based scanning)而現在還有啟發式經驗法則的掃描(heuristic scanning)，除了過濾進來的惡意程式碼之外，還可以阻擋對外「報到」(phone home)的惡意流量，從Layer 4 到 Layer 7 有對應的分析方法。當然，最好的方法還是把用戶端的權限與更新、防毒做好基本的防禦，才不需擔心這麼多惡意程式散播的網站。

應用程式控制 (Application Control)：控制一些通常未受企業控管的網路應用程式，如即時通訊(IM)、點對點下載(P2P)與 Skype等，已經成為網路安全最重大的一個學問。但是這部分卻沒有一家WSG產品可以說是真正的領先者。許多可以透過群組權限管理用戶，但是這些應用系統演變的速度太快了，而且已經融入日常辦公的需求中，所以必須從公司對於此的政策著手。透過政策的需求，選擇所需管理與阻擋的應用程式。

一兼二顧 減輕管理負擔
很明顯地，這些功能都可以單獨存在，集中在一起對管理而言提供相當的便利性與節省管理成本。然而，真正的問題在於佈署與管理這些個別的方案，所造成的複雜性與時間的浪費。網頁安全閘道將主動防禦的功能集中到同一個裝置上，提供對於原本多個裝置的管理負擔，減輕為單一對於網路串流(streamline)的管理。另外一個優點則是這些資訊是可以直接做交叉比對的，這樣可以協助管理者在做相關判斷時，獲得更有效的控制、分析與有效的報表。

WSG的挑戰 良莠立見
所以，網頁安全閘道如何將這些防禦方式都集中在一起呢？而且可以提供一個好的安全管理產品必須要具備的安全功能、效能與易於使用的管理介面。網頁安全閘道所面臨的挑戰不像郵件安全方案，HTTP是非同步的協定，WSG在處理封包時是介於用戶與網站之間，因此一丁點的延遲都會影響到用戶的感覺與體驗。
提供可擴充性是WSG的第2個挑戰，在不同裝置中的政策與規則同步化，是必要的功能。而在眾多功能集於一身時，提供可靠度也是很重要的關鍵因素，對於大流量的企業網路而言，硬體式或委外管理服務模式都是可以考慮的方案。而對於IM、VoIP、P2P的挑戰不下於可靠性，因為這表示WSG必須能夠擔負起快取(proxy)的功能，並且支援如此多樣化的通訊協定與網路埠管理。在通訊延遲與深層檢查內容之間必須取得平衡點，雖然很多方案宣稱可以支援企業等級的網路而不會造成任何可見的效能衝擊，這是有待商榷的。
另外一個大挑戰在於對於內容的檢驗，包含對於內容情境(context)及語意(semantic)的分析功能。舉例來說，相同的文字在不同的情境下，代表天南地北的意義，正規化(regular expression)的過濾方式可能會造成誤判，尤其是在檢驗惡意程式內容時，很有可能會造成誤判的假警報。
因此，WSG必須能夠解譯外對內的流量資料，為了保護用戶端的瀏覽器，可能還需要一個 script 解譯與解碼的引擎，以獲得最終的執行結果，這也許會出現在下一代有動態分析的安全裝置之功能。

攘外也要安內 防止資料外洩
在眾多的應用系統中，都可以讓用戶現在直接交流資料檔案，這正好一箭射穿管理者心中的痛。
資料的外洩對企業而言已經成為一個重大問題，必須要面對廣度與深度均大的一個環境因子，尤其是因為商業程序上的不當，然而，透過惡意程式入侵的資料外洩已經逐漸增加中。網頁安全閘道在這一方面可以做到對於對外流量中的內中解譯與過濾，防範潛在的資料外洩風險。企業必須意識到 Web 2.0所帶來的危機等同於電子郵件中的附件，而且是未知的對象來源。透過WSG所提供的資料流記錄，提供了一個很好的證據鏈(evidence chain)對於有風險疑慮的用戶，可以提出一個完整的報告。另一個必須要了解的是對於SSL加密的連線能否有效的解譯？
如果要解碼必須有SSL 認證 (certificate)，即使做到了也會有效能上下降的問題，大部分的WSG採用SSL Proxy的方式分開處理SSL封包，以從中取得資訊。

秤斤論兩
網頁安全閘道將是企業解決用戶端風險與威脅的手段之一，以減少安裝在用戶端的安全軟體數量，根據Jericho Forum的實務經驗討論所顯示，企業現在需要一個觀念上的徹底變革，以避免遭受大量用戶從Web遭到入侵的問題，了解到網站流量在經
過應用層包裝之後，傳統的邊界防禦裝置已經喪失偵測的優勢與能力，不足以對抗今日的威脅。該論壇還建議用戶，必須要在資訊本身就提供保戶，指的是資料加密，然後在不同的網路元件上（網路、用戶、瀏覽器）提供獨立的安全功能。
當然，這是必須要付出相對的成本代價，WSG 提供企業在網路上落實資料安全政策，而且還可擋下外部來的威脅，以及對外流量的管理，同時提供在安全與系統管理上的收斂。Stump打算將原來的URL過濾下線，採用新的WSG方案，同時限制員工只能瀏覽公司網域內的網站內容，以符合公司的網路管理政策。Stump說，這樣做就對了！