愈來愈多企業員工運用各種SaaS服務來完成每日的工作,然而在增進生產力之餘,資安風險也隨之升高。
為因應逐年增長的SaaS模式可能潛藏攻擊威脅,次世代防火牆(NGFW)業者紛紛透過併購方式,取得雲端存取安全中介(Cloud Access Security Broker,CASB)技術,例如Palo Alto於2015年併購CirroSecure後推出Aperture服務、思科於2016年收購CloudLock已納入最新發布的資安防護傘(Umbrella)之中,進而整合各自透過雲端安全平台長期累積的全球情資資料庫,協助企業建構安全控管措施無處不在的存取環境。
思科台灣技術長馮志良引述國際市場調查機構的數據指出,預估到了2018年,SaaS使用量將增長70%,企業員工有49%為行動工作者,其中82%的終端用戶未採用VPN連線。面對這種工作模式,傳統企業IT架構下基於防火牆、IPS等資安機制所建立的防禦體系已無法因應,尤其是各種雲端應用服務的興起,例如台灣企業常見的Office 365、Salesforce、G Suite等生產力工具,如今員工已可透過行動裝置直接存取,不需要再連線回到總公司,如此一來,根本無法實施IT控管政策,自然為企業帶來更多資安風險。
思科資安防護傘服務 從DNS層攔阻攻擊
為了協助企業因應雲端服務應用模式興起下帶來的資安風險問題,思科近期推出業界首款以雲端平台提供的連網安全閘道器(Secure Internet Gateway,SIG),服務名稱為資安防護傘,讓行動工作者連網取用SaaS、公有雲或私有雲應用系統執行公務時,即使未啟用VPN加密傳輸,也得以建立完整的保護措施,防止機敏資料因此外流。
以雲端平台形式提供的SIG,概念類似於傳統自建的網頁安全閘道器(Secure Web Gateway),較大的差異在於SIG為新型態的微服務軟體架構所開發,比起以韌體虛擬化版本的建置模式,更能發揮雲端環境下的快速部署、調用、擴充、高可用等特性。
馮志良指出,資安防護傘服務核心是以思科2015年收購的OpenDNS雲端防護平台為基礎,結合思科原有的網頁安全閘道服務(CWS)、進階惡意程式防護(AMP),以及Talos研究團隊提供的威脅情報,所整合而成的防禦。
在資安防護傘保護之下,所有連網存取行為,不論是漫遊用戶登入公司內部資源,抑或是存取外部公有雲服務,皆可運用可視化機制來掌握。主要是由思科收購CloudLock取得雲端存取安全中介技術來實作,讓IT管理者或業主得以透過瀏覽器登入查看行動工作者連線使用SaaS的狀態,掌握漫遊網路接取地點、裝置系統、通訊協議與連接埠等操作資訊,以便配置控管政策來封鎖高風險用戶。
至於威脅偵測方式,主要是解析DNS查詢請求封包內容來判定,首先會先確認連線目的地的網域位址必須為合法,才予以放行;若發現有疑慮,則需要進一步執行分析。馮志良說明,「在攻擊活動中,執行中繼站回報程序時,傳統Proxy有15%會繞過網頁連線的80與443連接埠,而思科的資安防護傘內建智慧型Proxy機制,運用OpenDNS核心技術可以準確地攔阻91%的中繼站回報程序。」
前述的智慧型Proxy,是以每天產生的1,000億筆DNS解析需求為基本資料,搭配Talos威脅情報所累積的龐大資料為基礎,採用機器學習演算法,自動建立分類與評分網路、IP狀態,藉此達到預測相關威脅行徑。例如,一旦確認為惡意網域後,即使駭客又透過演算法自動產生網域,在尚未註冊前,資安防護傘就已可掌握。
IT管理者經由瀏覽器介面登入雲端控管平台,查看網域存取狀態與細節時,亦可針對特定的惡意網站進行比對,假設該惡意網站全球統計存取量為一千筆,但本公司員工連線累計為九百筆,此時即可合理判斷,企業已被攻擊者鎖定,該惡意網站可能專為針對性攻擊活動而設計。
Palo Alto發布PAN-OS 8.0強化SaaS可視性
同樣有鑑於企業廣泛採用SaaS後,防禦戰線必須由內網向外延伸,Palo Alto新世代安全平台最新發布的PAN-OS 8.0版,即增強了Aperture SaaS安全服務,包括強化互動式儀表、新報表功能、自動隔離、限制資料分享等機制。此外,亦擴展DLP與機器學習的語言支援德文與日文,並於今年(2017)五月在新加坡新設立資料中心開始提供亞太區Aperture服務,更進一步貼近區域性的資料隱私需求。
 |
| ▲ Cisco Umbrella提供各式不同報表,讓IT管理者查看員工存取SaaS行為模式細節,藉此掌握以往無法得知的資訊。 |
Palo Alto大中華區技術總監耿強指出,SaaS應用已是大勢所趨,終端用戶為了便於協同工作,需要把專案文件或機敏資料上傳到Box、Office 365等雲端儲存服務,即便是公司默許工作流程中採用SaaS提高效率,甚至是直接配發商業用版本,若欠缺管理機制,仍舊有資料外洩的風險。因此PAN-OS 8.0版本強調具備可視化能力,才可掌握存取行為,以便建立防護措施。
針對已被允許使用的SaaS應用,Palo Alto提供Aperture解決方案,結合WildFire服務提供的雲端沙箱機制協助偵測。耿強強調,「我們全球累計三萬七千多家客戶,約有半數以上已採用雲端沙箱輔助,每天上載檢測的檔案數量超過五百萬、每天可偵測發現近十萬個最新的惡意軟體樣本,並且即時產生特徵碼發布到閘道端設備。因此,當Aperture與WildFire結合,可自動針對雲端儲存服務所存放的檔案執行掃描,終端用戶毋須上傳檔案。」
Aperture檢測方式是先行拆解檔案取得Metadata,例如檔案名稱、Hash值、所屬用戶、上載時間、權限配置狀態等,掌握相關資訊後,即可針對性地建立保護政策,例如發現高風險用戶立即隔離並通知IT管理者、限制檔案分享功能、警示用戶違反資安政策等配置。
至於NGFW的支援,隨著PAN-OS 8.0版本發布,已具備SaaS應用的可視化能力。在先前7.0版本中,其NGFW已可辨識各種SaaS應用存取的流量,8.0新版本的設計則可進一步得知用戶名稱與行為資訊,掌握個別用戶所採用的SaaS、上傳或下載的檔案、佔用公司總網路頻寬,經由統計報表統計資料,讓IT管理者從中發現潛在風險。
若IT管理者需要進一步查看細節,亦可由Palo Alto提供的統一控管平台Panorama,內建的應用程式命令與控制(ACC)功能,點選儀表板的圖形即可展開,依用戶、SaaS或威脅型態查看。若發現SaaS應用模式遭遇威脅,可直接在控管平台上執行管制。