自從行動裝置應用普及,各領域探討企業IT消費化的議題始終不斷,其中一項備受關注的轉變,即是因此帶來前所未有的資安風險,主要來自於現代工作者普遍透過智慧型手機、平板電腦,直接運用各式各樣生產力的雲端App,例如Salesforce.com、Box、Dropbox、Office 365、Google Docs等,來提升工作效率。
Palo Alto Networks亞太地區系統工程副總裁Joseph Green即指出,現階段以雲端為基礎提供應用服務的App本身往往欠缺防護機制,而企業用戶也不清楚該如何防護,才導致近來市場上開始出現「影子IT(Shadow IT )」的議題。
Aperture協助確保應用SaaS安全性
 |
| ▲Palo Alto Networks亞太地區系統工程副總裁Joseph Green提醒,亞太區可說是駭客集團攻擊的重點區域,較歐美國家最大的差異是,並無法令規定組織企業遭受攻擊時必須揭露資訊,因此儘管罕見企業遭受攻擊的新聞報導,仍須提高警覺。 |
「其實我們在客戶端早已發現影子IT的問題,也內部進行許多評估研究,期能建立協助因應之道,最終決議在2015年併購CirroSecure,協助執行分析終端用戶存取雲端服務的狀態,以及檢視安全控管與權限政策,而雲端服務平台上存放的檔案則交由WildFire掃描,偵測是否含有惡意軟體。」Joseph Green說明,該技術即為Palo Alto日前推出的全新獨立產品線Aperture,基於雲端平台提供,目前已在全球銷售。
雲端化、行動化發展下之所以衍生影子IT議題,Joseph Green從客戶端觀察發現,根本原因來自組織內部的使用者認為自家IT部門無法即時回應工作方面的需求,才轉而向外尋找應用服務。
「當然,只憑藉Aperture方案,不見得可確實處理影子IT的問題,畢竟Aperture主要是應用於確保雲端服務安全性,必須搭配Palo Alto NGFW平台,透過User-ID與App-ID技術的整合分析來協助。需要仰賴NGFW主要原因是藉此辨識使用者,並且掌握應用情境,如此一來才有能力依據使用者權限控管雲端服務的存取行為,預防影子IT問題的發生。」
掃描雲端儲存檔案 以免隱含惡意代碼而不自知
隨著企業端防禦需求的變化,Palo Alto基於多年來在NGFW領域奠定的基礎,例如NGFW內建的User-ID、App-ID、Content-ID辨識技術,持續再增加先進的防禦措施,除了推出GlobalProtect協助控管行動裝置,可運行在Windows、Mac、Android、iOS等環境,搭配WildFire惡意軟體及時偵測,更於日前針對資安管理者、威脅鑑識人員推出AutoFocus威脅情報雲服務,協助持續不斷地學習全球最新威脅、攻擊模式、駭客活動,並藉由威脅指標(Indicators of Compromise,IOC)尋找蹤跡。
Joseph Green強調,Palo Alto發展思維在於協助企業建構新一代安全平台(Next-Generation Security Platform),而不僅只是防火牆而已。
為了協助處理影子IT問題而併購CirroSecure,主要是看重其技術架構得以跟雲端服務供應商、及Palo Alto既有產品線進行整合。新推出的Aperture,可依據使用者端的裝置,賦予檔案存取等權限。企業用戶只要提供Box、Dropbox、Google Drive等雲端儲存服務的管理者帳號與密碼,即可檢視雲端服務的控管政策與權限配置,進一步掃描所有檔案,無須額外開發介接方式,Aperture立即可協助。
但是針對多數企業所採用的Salesforce.com、Amazon雲端服務,底層技術較雲端儲存不同,例如Salesforce.com實際上會針對不同企業新增入口網頁,則必須提供Aperture管理者的登入權限,才可執行檔案掃描,且使用者完全不會察覺。至於Amazon Web Services(AWS),則原本就是Palo Alto合作相當密切的夥伴之一,當企業端訂購AWS建立網站後,可在Amazon Story上直接選用Palo Alto提供的安全防禦,來保護AWS平台上運行的營運業務。但是若為Amazon S3(Amazon Simple Storage Service),使用行為跟Box、Dropbox、Google Drive完全不同,因此Aperture尚未支援此服務。
至於Gartner於2015年為影子IT議題定義的CASB(Cloud Access Security Broker)解決方案,Joseph Green認為,廣義來說,CASB主要是在企業內部與外部雲端服務之間,提供多種安全防護機制,Palo Alto NGFW與Aperture亦可歸類於該領域。但以技術面細看Gartner定義的CASB,涵蓋範圍包含:身分驗證(Authentication)、單一登入(Single Sign-on)、認證(Token)、設備狀態(Device Profiling)等技術,種類相當多元,Palo Alto無法逐一提供支援,例如單一登入機制,並非Palo Alto強項同時亦偏離定位,自然不列入支援項目。
專注於資安防禦技術 不涉入後續事件處理
近年來為協助企業處理遭受惡意入侵所興起的資安事件回應(Incident Response,IR)服務,Joseph Green不諱言,確實客戶端的詢問度相當高,但是Palo Alto並未提供IR服務。「雖然我們沒有成立IR團隊,但會提供客戶正式的事件處理步驟,讓發現安全防禦被突破的IT管理者或資安人員可逐步修復。」
對於建置Palo Alto解決方案的客戶,仍舊無法避免被滲透成功,Joseph Green強調,這並不代Palo Alto的安全防禦失效,更多情況是客戶端的網路環境非常大,因此出現遺漏防護的區域,常見的狀況是安全防禦已被突破不自知,或是根本無法掌握事件的始末。「當然客戶會先聯繫Palo Alto尋求協助,因此亦有偕同IR服務供應商Stroz Friedberg,讓專業資安顧問協助處理後續的鑑識與恢復,畢竟像是硬碟、應用程式等分析鑑識工作,往往需要更專業的工具來協助,跟IT基礎架構的資安防禦機制領域完全不同,而Palo Alto也不會涉足該領域。」
但Palo Alto旗下的Traps端點防禦技術,可攔阻新型態進階攻擊模式,且本身亦具備鑑識能力,難道並非為了IR服務而推出?Joseph Green說明,通常企業的安全防禦網被突破之後,尋求事件回應服務供應商的專業資安人力到現場處理,首先必須先分析該企業內部所有系統,以界定受影響範圍,但常見的狀況是,多數系統均欠缺安全防護紀錄機制,在無法取得歷史資訊的狀況下,事件回應服務商勢必得透過特殊工具進行深度分析。
若犯罪集團是針對終端電腦的漏洞進行滲透攻擊,而內部網路中每一台皆有安裝Traps,如此一來自然可及時偵測發現,但畢竟現代企業應用環境已日趨複雜,安全防禦被突破的因素相當多,並非只著重在端點。「事件回應服務可說是相當複雜的議題,」Joseph Green強調,Traps確實可協助資安事件的回應與處理,但產品本身並非定位於該領域。