UPAS實踐端點安全管理願景助企業強化內網安控能力

2020 / 03 / 14

編輯部

市面上資安威脅事件不斷爆發，多半肇因於端點設備沒有安裝修補程式，或者更新病毒碼所致。而UPAS內網安控系統可協助資安人員監控設備運作狀態，讓資安設備發揮原有效益，因此已成為許多金融機構強化資安防護能力的首選。

為應付日益嚴峻的資安威脅，近年來企業持續擴大資安領域方面的投資，根據 Gartner 最新預測指出，2018年全球在資訊安全產品及服務支出費用將超過1140億美元，預計2019年達1240億美元，年成長率將達到8.7%。然而企業積極添購資安防護設備的做法，卻無法有效完全遏制資安事件發生，關鍵在於端點設備可能沒有依照公司資安政策，最終成為駭客組織發動攻擊的目標。

以肆虐全球的WannaCry勒索病毒為例，只要Windows電腦或設備有定時安裝修補程式，即可避免遭受惡意程式入侵。然此勒索病毒不僅造成全球百萬台電腦遭受感染，就連全球晶圓代工大廠的生產機台遭到感染，停工損失高達數十億元。這代表企業需要一套完善的NAC工具，才能有效落實資安政策，減少資安防護上的漏洞。

優倍司董事長李坤榮指出，雖然駭客組織攻擊手法持續進化，但綜觀現今市面上常

見的資安威脅事件，多半肇因於端點設備沒有安裝修補程式，或者更新病毒碼所致。在資安人員缺乏管理工具下，自然無法掌握端點設備的健康狀況。其次，部分企業用戶在設備管理上，只有採取陌生設備禁止連網的政策，卻沒進一步確認連網設備的身份安全，也很易造成設備管理上的風險，若員工攜帶遭受感染設備到公司，便可能導致惡意程式在企業內部流竄的問題。所幸，我們推出的UPAS正可解決此問題，所以成為許多金融機構強化資安防護能力的首選。

監控設備狀態提升資安工具效能

優倍司推出的UPAS內網安控系統，是一套可提供IP位置管理與網路存取控制的端點設備管理工具，能阻擋未經允許設備使用企業網路，並提供設備接入管理、接入設備合規檢查、IP管理、AD管理完善等四大功能，有助於提升企業的網路安全性。在設備接入管理部分，資訊人員可事先將允許設備建置於UPAS的白名單中，並針對不同類型制定不同政策，如公司設備管理、訪客/BYOD/外包商設備管理、存取權限管理和IP位址解析等等，有助於減輕管理人員的工作負擔。

至於接入設備合規檢查部分，當端點設備進入企業內部網路後，UPAS會逐一檢查此設備相關資訊，如IP位置、MAC位址、電腦名稱、 AD帳號、Switch、Port等等。搭配前述的政策管理機制，可從GPO、OS補丁、病毒碼更新、應裝軟體、禁用軟體、漏洞檢查、惡意程式，改善端點設備的健康，並提供USB管理、網路連線管理以及上網行為管理等等，能滿足不同產業的應用需求。「傳統設備管理工具的最大問題，就是用二分法判斷設備是否具備連網權限。而當合法設備進入內部網路之後，就不再確認是否符合公司規定的資安政策。」李坤榮解釋：「當企業引進UPAS之後，即可確認端點設備是否有確實安裝修補程式等，讓OS patch更新率、防毒軟體部署率與病毒碼更新率提升到98%以上，，避免成為惡意程式入侵的管道。」

強化Windows AD管理能力自動化管理設備

以往當合法設備取得IP位址之後，資訊人員就無法監控該IP位址的運用狀況。UPAS工具第三項特色即可做到IP位置的四大管控，包括：IP/MAC綁定、防MAC偽冒、跨VLAN事件通知、非法DHCP違規告警，洞悉整個IP位址的使用狀況。最後一項功能，則是能讓Windows AD管理功能更為完善，藉由UPAS內網安控系統協助，可做到限制電腦只能用本機登入，並可自動偵測未加網域設備與設備私自退網域，取得帳號使用紀錄和帳號綁定。不光如此，該工具還能整合AD資訊，將使用者資訊、IP使用紀錄、IP配置列表彙整一覽表，顯示端點設備的完整資料。

李坤榮進一步說，相較於其他品牌的工具，UPAS最大優勢在於提供自動化管理機制，可減少人工操作的工作負擔。其次，產品本身亦具備無痛導入的特色，企業不需改變網路架構，即可享受完整的端點管理機制。另外，由於UPAS本身不需要設定例外port，所以能有效避免安全性漏洞發生，加上產品需要發送封包訊息較少，也可讓公司內部的網路負擔輕，自然是提升企業整體內網安全防護的最佳工具。

資安防護端點安全