https://newera17031.activehosted.com/index.php?action=social&chash=0245952ecff55018e2a459517fdb40e3.2287&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=1baff70e2669e8376347efd3a874a341.2327&nosocial=1

觀點

一「閃」即逝USB 資料擺渡

2007 / 12 / 18
編輯部
一「閃」即逝USB 資料擺渡

儲存設備資料應妥善保護
您是否經常在外進行商業活動?在沒有加密的狀況下,行動工作團隊可以快速的竊取或遺失敏感資料,這些狀況可能是從軟體開發人員複製有價值的原始碼至個人的iPod到主管階層內建無線網路功能的可攜式電腦在咖啡館被竊聽。

思考到我們在移動裝置上移動和儲存資料的各種方式:透過支援多種可攜式儲存裝置的USB通訊埠,這些可使用USB通訊埠的裝置包含快閃記憶體設備、可攜式硬碟設備、印表機以及音樂和多媒體播放器;FireWire、PCMCIA、序列和並列埠、CD/DVD光碟、磁帶設備以及慢速軟碟設備。再加上沒有保護的Wi-Fi、藍芽和紅外線連線,您真的有一大堆真實的安全惡夢需要處理。

不久之前安全管理者為了進行存取控制開始焊住USB通訊埠以及關閉主機板上的無線功能。不過現在取代禁止行動儲存裝置以及無線連線,組織可以選擇一系列新穎且有效的產品讓組織可以設定精細的存取控制政策。裝置控制產品允許管理者在網路中進行中央授權以及監視使用者裝置進而協助進行安全和生產力之間的平衡。

這次的評比測試,《Information Security》檢查了六項的裝置控制產品,這些產品都支援對通訊埠、介面以及存儲裝置的精細中央管理控制:包括SmartLine的DeviceLock、SecureWave的Sanctuary Device Control 4.0、ControlGuard的Endpoint Access Manager 3.0、Centennial的DeviceWall 4.5、Safend的Safend Protector 3.1以及Workshare的Protect Mobile。這些產品的主要特色是可以中央管理主機上的通訊埠、介面以及儲存裝置,而且這些主機可以是放在企業中分散式環境或者行動式環境的企業網路中。

每項產品都會依照以下的評分準則,安裝及設定的簡易度、政策、竄改限制、通訊埠與裝置控制、加密支援、效能與監視,以及警訊與報表。最後,我們發現所有的產品都有依照所宣傳的功能運行,但是各項產品還是有相當程度的不同,讓您在選擇可攜式端點資料解決方案時必須去考量。



安裝與設定
雖然每一項產品都支援Novell的目錄服務,但是所有的產品都在基於視窗平台的相同架構-server、console and client/agent-中被測試。我們將每一項產品佈署在模擬有眾多桌上型與攜帶型電腦的企業網路,而這些電腦支援多個通訊埠以及可攜式儲存裝置。

Centennial的DeviceWall是最容易安裝的產品,他只需要兩個組成元件-Control Center以及Client Service。我們只需要透過Control Center就可以對產品進行管理,而安裝在各個工作站上的Dynamic Activity Monitor軟體會透過安全的HTTP連線將監控到的行為傳送到Console Center。並提供六種方式將軟體佈署到用戶端,DeviceWall在安全與設定上贏得我們的最高票。

ControlGuard以及DeviceLock有著相似的步驟,構成的伺服器和用戶端以及支援多種視窗為基礎的管理方式(Active Directory、MMS、SMS、GPO)。ControlGuard的用戶端代理程式有兩種運作模式-主動和被動的模式-讓我們在安裝過程中多一種選擇。在測試過程中這兩種模式的代理程式都被佈署,最後我們認為ControlGuard應該使用可以運行兩種模式的單一的代理程式。

DeviceWall以及DeviceLock有著簡單的安裝精靈可以協助我們設定初始的政策和許可。DeviceLock的安裝精靈允許我們設定通訊埠與裝置的許可與否,讓我們可以快速的運行許可政策。

安裝和設定Workshare Protect Mobile花費我們最多的努力,因為它只是三個企業套件中的一部分-Network Protect、Policy Manager以及用戶端。雖然它針對移動儲存裝置提供專業的端點保護,可是他並沒有提供其他被測試產品的精細設定與功能。

SecureWave的安裝最為困難,因為它有四個不同的元件-資料庫伺服器,有著兩個副元件的應用程式伺服器,管理控制台以及用戶端。我們也在佈署用戶端時遭遇某些問題而必須花費額外的時間來修改防火牆的設定。而我們在其他產品用戶端的安裝上並沒有遭遇到這樣的問題。



政策設定/執行
最後,政策的實施和執行才是這些產品的重點。在這裡會針對六項產品測試政策可以設定的精細度。不論是可攜式或固定式的儲存裝置,我們測試相同的功能-對於讀取、寫入、阻擋的監視與控制。

政策的套用可以取決於裝置的類型和等級、通訊埠、連線、主機和使用者。所有的產品都可以設定誰在何時可以使用哪些裝置、通訊埠與連線。

由於這些產品有太多可用的政策選項,很容易會導致使用上的困惑。我們發現先從統一的政策開始設定才去設定個別使用者的詳細政策是比較容易的方式。我們也可以針對相同的使用者、電腦因為上線/離線狀態的不同給予不一樣的設定。這表示當一個行動使用者回到辦公室登入網域之後,無線網卡可以被關閉,並進行像是檔案過濾此類的企業資產保護。

所有的產品都提供相當精細的政策,而這些政策主要都是用白名單技術來提供良好的控制。DeviceLock對授權後的裝置提供了最詳細的工作指派功能。例如,我們能夠基於某個FireWire介面的行動裝置的單一序號來進行允許政策的設定。當然限制性的條件在DeviceLock也運作的很好,例如,您可以關閉某個離職員工的存取權限或者限制某個裝置只有讀取權限。

我們很喜歡SecureWave Sanctuary Device Control在出廠的預設值上就將政策預設為「deny-all」。沒有任何資料可以被傳送到外接的儲存裝置,除非我們去設定允許這件事。只允許您進行有權限的行為-而不是用列出不能進行的行為的阻擋方式-是很好的安全政策。

一但資料被傳送,SecureWare會使用一些方式來管制資料的傳遞,這些方式包括資料傳遞閘門以及檔案類型過濾。例如,我們可以設定只允許檔案大小小於5MB的Microsoft Office文件被傳遞的政策。這樣我們就無法將不論檔案是否超過5MB的CAD檔案存檔到快閃記憶體裝置、行動硬碟裝置或是CD光碟片中。

許多需直接連線到企業網路中的行動工作者對ControlGuard讚許有佳。我們可以簡單的根據上線以及離線狀態來設定兩種不同的政策,測試產品是否會有行動工作者把擁有Wi-Fi能力的可攜式電腦連線到企業網路內時的常見問題-他們仍然可以使用無線網路。經過我們的測試,當可攜式電腦一旦登入網域之後,他們的Wi-Fi網卡就會被關閉。

ControlGuard針對的是另一種真實的問題,當多個使用者登入到單一的主機或者是單一使用者存取多台主機時的控管。設定此類政策必須對政策的等級制度有充分的了解。例如,某個使用者擁有某台主機上USB通訊埠的權限,並不表示他在其他主機上擁有同樣的權限。

對於那些想要用企業級管理系統來實施政策的組織來說,ControlGuard的Endpoint Access Manager正好是設計來整合像是HP OpenView、CA Unicenter或者 eTrust這類第三方廠商系統的產品。

Safend透過角色為基礎的存取控制和支援多種網路協定的連線控管來提供政策控制功能。有一項功能特別引起我們的注意,就是可以在任何時候很簡單的印出我們的企業政策。這表示企業政策可以在不需要存取到控制台的狀況下被管理者郵寄並檢視,當然這項工作還是需要符合安全存取政策才能進行。

大體上,經過測試DeviceWall的政策設定的使用介面比較無法讓使用者可以直覺式的來使用。雖然Control Center的Master Policy樹狀結構中提供清楚的介面來設定16種不同分類的裝置,這些分類包含數位相機、掃描器、智慧型手機、以及黑莓機、Palm作業系統和視窗行動裝置。我們希望這個樹狀結構能夠將手持式行動裝置都歸類在單一的分類中,而不是分散在不同的分類中。這樣的話將可以讓Control Center介面不會呈現過多的分類。

當設定完複雜的政策來限制或拒絕電腦資源的可取用性之後,一定還是會面臨到需要臨時違反這些政策的狀況。在臨時繞過政策這項功能上我們最喜歡DeviceWall這項產品。它可以指定現在的視窗Session或者開始時間和期間來暫時提升最多三個裝置的存取權限。甚至當我們無法連結上區域網路或者網際網路來派送變更的政策時,DeviceWall提供我們一個產生金鑰的功能,將這個金鑰透過口頭轉述或行動電話的簡訊來讓使用者可以暫時的提升對於通訊埠或裝置的限制。

DeviceLock的例外政策功能類似DeviceWall的暫時存取權限,但是缺乏對於指定時間的功能,只能使用視窗Session來指定資源存取的提升。

Safend允許用戶端可以被暫時的停止,甚至是該電腦是處於離線的狀態。



防竄改功能
我們嘗試了各種方式來規避已經安裝好的用戶端。一般來說,安裝後的元件可以被擁有管理者(administrative)權限的使用者給移除。但是即使我們使用本機的管理權限,還是無法修改或者移除任何一個被安裝後的用戶端。

每年有數千萬個USB快閃記憶體裝置被賣出,而且其中一些一定會被偷或者遺失,這些被竊取或遺失的裝置有些會儲存著敏感資料。我們選擇DeviceWall這項產品來測試裝置遺失的狀況。當我們將USB快閃記憶體裝置插入一台沒有安裝裝置控制用戶端的電腦上,我們會收到訊息說明這項裝置尚未格式化過並詢問我們是否要將此一裝置格式化。如果說儲存了機密資訊的儲存裝置遺失了,將可能造成龐大的損失,感謝DeviceWall,在插入裝置被插入非控制端的主機後不用一分鐘資料就會被清空了。

我們也針對產品利用加密來避免可攜式存儲裝置被竊取或破壞的議題進行研究。DeviceLock雖然在其他領域上提供突出的功能,可是卻也是在測試中唯一沒有提供加密功能的產品,導致他的整體評分被拉低許多。

SecureWave提供兩種不同的加密選項-中央式,由管理者來決定如何進行加密;以及分散式,讓取得授權的使用者可以自行決定何時不進行加密。此外,您也可以匯出金鑰到檔案或者行動裝置上,讓離線時也可以存取加密的媒體,雖然我們認為這樣的方式會影響可攜式儲存裝置的安全。SecureWave使用AES 256來提供最強健的加密演算法。

DeviceWall在全域(global)和個別使用者金鑰模式上提供兩種加密演算法-AES及Blowfish。舉例來說,一家公司可能會要求人力資源部門的員工自動加密任何透過WiFi傳遞或者儲存到可攜式媒體的資料。可是,DeviceWall卻只能對USB快閃記憶體裝置進行加密。不過值得加分的是DeviceWall允許您可以簡單的備份出全域金鑰(Global Key),讓您在金鑰遺失的狀況下還能復原資料。

ControlGuard也有提供加密來保護USB裝置的安全。我們喜歡它的「自毀(self destruct)」功能,可以指定裝置中資料可被存取的生命週期。

Workshare Protect Mobile依據內容透過PGP來提供最有彈性的用戶端加密,一旦檔案被鑑定為必須被加密,就會被自動的加密。

Safend的加密對使用者來說最為簡易使用。使用者可以在不曉得裝置已經被加密的狀況下,在網路中安裝有Safend用戶端的任何主機中使用加密過的USB裝置。當然,當我們嘗試在沒有安裝Safend的電腦上使用裝置,我們就無法存取該裝置。

在可攜式媒體上使用檔案加密最大問題的其中之一,是在需要的時候加解密軟體卻無法取得。Safend考慮到這樣的這樣狀況而提供了Home Decryption Utility(家用解密工具)讓取得授權的使用者可以在沒有Protector Client的狀況下存取加密裝置上的資訊。



無線控制
今日許多的行動裝置都已經提供無線網路功能。所有的產品我們都會檢視他們對於Wi-Fi、藍芽以及紅外線這些無線傳輸的控制能力。

如同一開始所言的,已經有許多的手持裝置擁有Wi-Fi連線的能力。管理者就算關閉了主機板上的無線網路功能,但是還是必須提防員工使用自己攜帶價格低廉的PCMCIA無線網卡,而這個網卡是用來提供員工在家或者熱點(hotspot)時的連線。

現在的管理者正好趕上智慧型手機和PDA風行的時代,而這些裝置通常都會支援檔案傳輸的藍芽技術來和電腦進行檔案的同步。價格低廉的USB藍芽傳輸卡可以很快速的將個人電腦和口袋型電腦給連接在一起。

我們也不能忘記紅外線傳輸。雖然不像Wi-Fi或者藍芽一樣的功能強大及具高接受度,但紅外線傳輸所建立起來的個人區域網路連線一樣會有安全上的問題。

Safend透過網路卡編號(MAC)、SSID以及網路安全階層來提供最佳的Wi-Fi控制。

其他的產品沒有像Safend提供一樣多的控制,不過它們對於任何一種可被辨識的無線網路介面都有提供基本的無線網路卡允許/開放的阻擋功能。例如,我們設定政策來拒絕所有可攜式電腦上內建無線網卡的Wi-Fi連線。當我們插入PCMCIA以及USB無線網卡,儘管沒有特別針對它們設定阻擋政策,它們一樣無法運作。



稽核與報表
因應今日的管理環境,強健的稽核功能已經被視為安全重要的一環。因此我們的測試主要是驗證稽核和報表的安全功能。

為了達成最完整的監視功能就是必須進行完整側錄(shadowing),讓透過裝置或者通訊埠被傳輸的所有資料可以被記錄。DeviceLock以及SecureWave都支援完整側錄(shadowing)。

經過測試,完整側錄允許我們擷取所有傳送到特定裝置的資料,這個裝置可以是印表機、掃描器、備份設備、傳真機等。實際上,有多少公司會去監視是否有資料透過傳真機被傳送或者是監視文件是否被掃描?這些不算是高科技犯罪,卻是最常發生的狀況。

最終,我們唯一能看到完整側錄的缺點是對於側錄資料的儲存。一家大型企業可能會產生出非常大量的資料。

Safend使用檔案來進行稽核紀錄。雖然不如完整側錄一樣完整,不過卻可以讓管理者追蹤特定裝置和通訊埠上哪些檔案曾經被存取、搬動、刪除、建立和修改。Safend的稽核記錄會記錄許多擁有的資訊,事實上這些資訊可以被拿來作為鑑識調查使用。

我們也很喜歡DeviceWall詳細的Policy Change Logs,它會記錄所有政策的變更以及提供完整的連線報表。另一方面,我們發現安全從業人員反而很少使用圖形化的Audit Log Reports以及Acceptable Risk。



端點安全的關注
行動化以及可攜式使用資料保護的工作越來越複雜。在兩年多前這些產品才開始投入安全市場。而這些產品也越來越成熟,它們提升產出報表以及中央管理的能力,而且也開始為了儲存末端的安全在裝置控制中加入加密的功能。我們已經可以看有越來越多的產品以及解決方案投入終端點安全以及資料保護。我們樂見這些產品擴充它們的功能或者產品的整合,讓大型的公司可以持續針對產品增加新的技術。

不論提供了多精細的政策,不論涵蓋了多少的通訊埠和裝置,也不論提供了多詳盡的報表,這類的產品都是以視窗平台為主的。

歷史和經驗都教導著安全人員,針對問題的根本才能節省時間和金錢。對大型企業來說,這些產品以年為單位、採使用者計數收費制,這將會成為比防毒軟體或防間諜軟體還要昂貴的產品。雖然如此,終端點安全已經清楚的成為中心策略,而且已經有許多企業開始在資料被呈現之前就開始進行資料保護。