端點裝置數量龐大且類型繁多,再加上端點使用者多半不具備安全觀念,種種原因使得端點成為企業最頭痛、也是最難防守的資安缺口。
防範APT攻擊、的方式有很多,端點管控便是其中一個。回顧過去一年來比較知名的APT事件:Google因為員工造訪某個惡意網站,釀成2010年的極光行動網路攻擊事件,駭客成功取得部份Gmail帳號資訊;RSA因為員工開啟惡意郵件的夾帶檔案,使得駭客能夠順利入侵並竊取部份SecurID技術及客戶資料;端點顯然是APT攻擊的最佳跳板。
端點是企業最頭痛、也是最難防守的資安缺口,原因在於端點裝置數量龐大且類型繁多,除了固定在辦公室內的桌上型電腦外,還有各類行動裝置如:筆記型電腦、智慧型手機、平板電腦,以及在家工作的遠端電腦,另外,USB隨身碟、抽取式硬碟、MP3等,在某種程度來說也是屬於端點裝置的一種,這些都增加了端點管理的複雜度與難度。
更讓IT人員頭痛的是,端點使用者多半不具備安全觀念,不時會給IT人員添上「驚喜」的麻煩。舉例來說,員工透過筆記型電腦從遠端連回公司網路,這種作法很可能將病毒、蠕蟲、及間諜程式等一併帶進公司裡,尤其是那些沒有納入公司管理體制下的外部顧問、委外/合作廠商所使用的電腦,更加重了這類型的資安風險,使得端點成為資料外洩的缺口。
端點安全評估四部曲
究竟,企業該如何做好端點安全控管?就廣義而言,端點安全解決方案有防毒、反間諜軟體、個人防火牆、主機型入侵防護(Host-based intrusion prevention systems, HIPS)、周邊裝置控管、應用程式控管、以及網路存取控制(Network Access Control, NAC)、資產管理、行為監控等,企業應該從哪些面向來評估?美國資安顧問David Strom曾經提出以下四點建議:
第一、擁有哪些安全基礎建設?
首先了解現有資安設備,是否已經具備端點安全防護的能力。有些產品將入侵偵測、防護系統,及VPN閘道器視為是端點安全方案的重要必需品,而有些則是與現有的IPS、IDS,以及VPN等產品整合,在現有設備中提供端點安全掃描的功能。
第二、想保護什麼?
接下來則是確認想保護的標的是什麼,再據此決定應該在網路的什麼位置佈署這些設備。有些設備應該直接放在防火牆後面,以便涵蓋整個網路;有些則最好放在交換器之後、伺服器之前,或是佈署在要保護的子網路或部門網路上。
第三、桌上型電腦佈署策略為何?
每一項設備都會有代理人程式(agent),針對端點進行掃描並決定其健康程度。這些代理程式的工作包括:檢查開放的通訊埠與執行的服務、查看檔案系統內是否有問題的檔案與惡意軟體、監控Windows登錄、確定防毒軟體病毒碼的更新,以及檢查個人防火牆是否開啟或被竄改等,通常分為下列三個類型:
(1)代理人程式(On-demand Agent):必須事先安裝在端點電腦上才能執行。這種方式可以有效評估端點電腦的安全狀況,並進行修復,但在管理上較為麻煩,且沒有辦法涵蓋到非公司管理的電腦,例如訪客或是合作夥伴所帶來的電腦。
(2)隨選代理程式(On-demand Agent):通常以JavaScript或Active X控制元件的型式出現,透過Web瀏覽時載入至端點電腦中,和SSL VPN所使用的瀏覽器用戶程式類似,由於它不必事先安裝,因此可以涵蓋到非公司管理的電腦。
(3)無代理程式的解決方案:不需在端點上安裝任何軟體,但必須與PC既存的元件配合。
由於在端點電腦安裝Agent會稍微增加使用者登入時間,甚至影響電腦運算處理的速度,容易引起使用者反彈聲浪,因此,企業在導入前應與員工溝通、宣導並輔以定期稽核,才能落實端點安全管理政策,畢竟上有政策下有對策,如果員工反彈不願遵守、利用各種方式試圖規避稽核,那麼企業的安全風險將依舊存在。
第四、是否要管理非PC的端點?
最後則是思考要不要管理非PC的端點設備(如:網路印表機、網路攝影機)及筆記型電腦?這些設備都有連網能力,也可能因此將惡意程式帶入企業網路中,企業必須有能力偵測這些設備並設定管控政策,舉例來說,設定網路印表機的封包只能作為列印之用,如果有人假冒印表機IP位址,防護系統應該有能力偵測出來,並將設備隔離及斷線,以確保它們不會帶來威脅。
結論
端點管控除了避免將威脅帶入企業內網中,更重要的是避免資料從端點外洩出去,尤其是防範端點使用者因為輕忽或資安認知不足所引發的資料外洩風險,因此,企業一方面要加強資安教育,另一方面則要做好使用者行為管理,對使用者的電腦操作行為進行管理與稽核,例如:限制使用者可以使用的應用程式種類、設定檔案操作權限(如:讀取、列印)、網頁瀏覽權限。此外,對於使用者的檔案存取行為,也必須有完整而詳盡的日誌記錄,倘若未來發生資料外洩事件,才能經由日誌追查出事件發生的原因,藉此釐清權責,並避免同樣事件再次發生。
端點管理是企業資安最重要的一環,尤其電腦和網路已是企業必備營運工具,企業不可能為了安全而封鎖所有IT資源,惟有做好管控,才能有效防範機密資料遭竊和誤用的風險。
端點安全常見的5個迷思
1. 端點不等於「電腦」:企業在進行端點安全管控時,經常將端點與電腦劃上等號,殊不知端點範圍很廣,各種USB裝置如:抽取式硬碟、MP3等皆屬端點的一種,因此進行端點管理時,最好要USB裝置一併納入。 2. 自認已經清楚掌握所有端點的位置、忽略那些未經授權連線的端點裝置:員工可能會使用手機或其他行動裝置,經由無線或3G連上網路,這些也要納入管控範圍內,限制惟有符合企業安全政策的設備,才能連進公司網路。 3. 設定資安政策卻沒有相對應的技術加以落實:政策沒有落實形同空談,企業要懂得藉由各種不同手法來落實資安政策,如:移除使用者的管理權,禁止其任意下載安裝軟體。 4. 忽略實體安全的重要性:企業資料外洩的原因,有很高的比例是遺失設備,所以應該要有一套管控機制來規避實體安全風險,例如:USB隨身碟/硬碟加密、系統登入採用雙因素認證、可以遠端清除手持式裝置裡的資料、建立員工遺失設備時的通報系統等。 5. 沒有針對新購置及被汰換的電腦設定防護政策:企業電腦進行汰舊換新時,被淘汰的舊電腦必須先從企業網路中刪除,才能予以回收,至於新購買的電腦在尚未安裝設定好之前,也不能允許員工自行攜帶個人電腦來公司。
|