「雲」＆「端」的資安痛點：邊界模糊，警訊過多，人手不足

2021 / 03 / 29

編輯部

企業上雲是當前不可逆趨勢，資訊安全考量，也從企業內部擴大到雲端。自2020年疫情開始後，遠端工作模式蔚為風尚，數位轉型快速變遷，雲企業在網路攻擊只增不減的威脅下，如何有效建置全方位防護系統，成了資安單位最重要課題。

趨勢科技與Fortinet於3月9日假台北松山文創6F，資安人舉辦的「2021亞太資安論壇暨展會」中，指出當前駭客攻擊手法日新月異，雲端運用全面展開帶來的資安要求更顯多樣性，單靠端點防護平台（EPP）、端點偵測與反應（EDR）等防護系統或仍不足。雲企業需要的，是資安偵測與回應技術整合的雲端架構，整合EPP與EDR兩種防護機制，利用雲端優勢，替客戶提供不間斷的安全防護，也能確保系統低延遲存取及可擴展空間。

趨勢科技台灣大型事業處業務協理楊肇謙(左) 、Fortinet資深資安顧問林裕祥(右)

網路攻擊目標廣泛、潛伏期長，端點成攻擊目標

趨勢科技台灣大型事業處業務協理楊肇謙表示，近年來資安事件頻傳，疫情使許多人在家上班，讓駭客有更多管道，進行更多樣性攻擊。

整個攻擊趨勢，也從早期以破壞為主，至現在多以勒索為目標，部分產業駭客攻擊的「潛伏期」達三、四年甚至十多年。此外他說，因地緣、政治之故，背後有國家單位資助的國家級駭客，其攻擊數量亦不斷增加。除政府、金融、高科技產業外，傳統產業、醫療、中小企業，如今都成駭客可能下手的目標。

Fortinet資深資安顧問林裕祥說，很多遭駭客攻擊的資安事件，是從釣魚信件開始，端點成為攻擊目標。近年來研究機構MITREATTACK分析每一筆駭客進行的進階持續性滲透（APT）攻擊事件中，90%針對端點，不再像過去攻擊主機，他們利用釣魚信件當誘餌，進入企業內部後再行擴散，「比過去攻擊主機更快。」

加密流量也不安全。林裕祥說，根據Google統計，現在幾乎所有的流量都是加密（https），但願意對加密流量進行管理者卻少之又少，駭客看準這點，以https進入企業加以破壞，該種方式，現已遭攻擊者濫用。

他說，疫情前遠距工作者約17%，但疫情後，出現近八成遠距工作者，這意味端點的保護愈顯重要。

企業資安人面臨問題：人手不足、警訊過多，無法進行全面分析

楊肇謙說，統計顯示，超過55%以上資安管理人，每天會收到超過一萬件資安警訊，超過50%企業內，有20多種以上資安技術負責偵測，這造成客戶很大困擾，「哪些警訊有用？如何進行關聯，了解全貌？」

他說，通常駭客攻擊，要到中、後期才有感覺，但那時恐造成傷害，企業資訊人員不足是常態，資安團隊負擔大，最終他們只能「看到哪，做到哪」。

林裕祥也指出，許多企業每年編列資安預算，相關人員進行各家比較、選擇，但是否真正考慮過「所買的產品是否有用？」一旦警訊過多，IT人員是否有足夠人手進行分析、調查？若都無警訊，是否可當作沒事發生？

此外，傳統的網路架構、基礎建設和資安往往不同團隊，當「架構限制防護功能」時，防護有時只能妥協。

楊肇謙說，企業要提高偵測率，就會出現很多警訊，但又需顧及精準度，這是長期的資安問題。「我們希望收集更多資料，又希望回應快速精準，因此需要大量機制進行運算」。而雲端擁有能對資料進行快速運算的特性，得以提供這些優勢，打造更有效的防護機制。

企業上雲面臨的資安挑戰

楊肇謙說，企業上雲最關注資安，原本的地端架構在上雲的過程中會有過渡期，「混合雲」是較常見的狀況。各公司在此時會建立雲端團隊，但要做到跨雲的同時，又做到資安管理一致，可能會涉及內部治理，國際標準策略等。

他說，企業資安單位面臨打造雲資安的挑戰，包括多樣化作業環境，法規議題，相關人員資安意識不足等。另外，現在很多開發程式、環境全程自動化，如何將資安系統融入這些環境下，也是一大難題，而持續變化的功能，也可能造成傳統防禦失效。

此外他說，雲端可能遭受的網路威脅，與傳統地端一樣，但雲端使用的許多原始碼是否有漏洞，或出現管理問題，也是另一個可能面臨的危機之一。

林裕祥說，過去的資安保護僅限於企業內部，然如今的雲服務，行動辦公室，IoT等，資安保護邊界定義變得模糊，如何保護這些端點是一大挑戰。

他指出，過去的方式是，將用戶連接到企業總部數據中心，總部有著完整的傳統安全保護機制，但隨著雲服務發展，若仍用此方式，用戶將增加不必要的延遲。如何在確保雲資安的同時，也能保持瀏覽體驗優化，也是資安需解決的議題。

EPP、EDR仍不足夠

林裕祥說，傳統EPP解決方案，是著重預防的防毒軟體，但防毒軟體無法有效因應進階威脅。

他說，經常有消息指稱，某駭客又用新手法規避防毒軟體，或入侵系統關掉防毒軟體，雖然防毒軟體有高達95%部署率，但仍有一大堆企業遭威脅，最主要原因是，傳統EPP針對已知攻擊進行防護為主，然目前許多攻擊事件，往往耗時數年或更久，若無法及時發現與回應，單靠EPP是不足的。

幾年前，EPP供應商開始增加檢測和響應措施，而目前熱門的EDR，則能針對整個端點，攻擊事件來龍去脈進行分析。

楊肇謙指出，EDR著重用戶端偵測，但用戶端有時會有盲點，很多設備也看不到，如企業內老舊設備，離職員工留下來的設備等，都無法做有效管理。他說，電子郵件是防護很重要的閘道口，也是駭客攻擊的主流，企業希望透過網路端，能看到更多看不到的部分，因此EDR雖有必要，但還是不夠。

解決方案

楊肇謙說，做好雲端資安，務實的作法，首先要遵循法規。在進行雲稽核時，一個存取權限改變，就可能與法不符，需不斷針對變化尋求相應法規，同時考量一但法規有所缺失，是否可修補等。

針對攻擊防禦部分。他說，好的雲端資安要做到多平台支持，不同品牌的雲端都能獲得同樣的全方位防禦，同時也可自動擴展。

針對開發安全，需考慮開發的過程，如何將資安元素融入開發流程，使用開放碼時，是否可發現其程式碼的語言漏洞或語法缺失，若有弱點可及時矯正，確保執行中有防禦機制。

林裕祥也指出，2019年Gartner提出安全存取服務前端（Secure Access Service Edge, SASE）新概念，整合WAN前端和雲端服務下的網路安全模式，符合企業客戶對簡化、擴充性、彈性、低延遲性與普及性的安全需求。

到2024年，有40%以上的企業都將採用SASE解決方案，讓網路、資安融為一體，端點不論在哪，都能受到保護。

他指出，雲端服務底下的資安架構，會從過去以各區域辦公室為單位，變成單一端點為單位，須做到讓每一端點，都能像在企業內部受同樣保護。

在SASE解決方案的架構下，是雲在中間，所有端點都連上有SASE服務的雲端，進入後受到堆疊設備的層層保護，即使一個端點，也一樣可受到與總公司同樣的安全防護。

不僅如此，林裕祥說，過去要替所有端點規劃所需的防護設備，如防火牆等，未來這些都不需要，所有端點只需一台可連上有SASE雲服務設備的路由器，即使一個端點，連接上雲後，所有安全防護都能在雲上進行。

市面上已有不少針對雲端資安所推出的防護系統，包括趨勢科技的Trend Micro Cloud One和Fortinet的FortiSASE等，不僅確保「多雲平台」都能得到全方位防禦，將雲端防護更自動化與簡化，端點更安全。

相關文章: 「主動防禦」勢難擋，7個整合性資安解決方案大助益

資安新思維系列報導(二) : 第六期國家資通安全法：佈建「主動防禦」聯網，躍升亞太資安樞紐
資安新思維系列報導(三) : 金鑰竊取，駭客攻擊的捷徑

聚焦製造業的「雲」＆「端」資安問題，就在【2021製造業資安論壇- 新竹】。