防毒軟體可說是多數企業IT應用環境中最基本的資安防護建置,從以往避免破壞性病毒大肆感染,發展至今為防堵駭客攻擊並降低資料外洩風險,早期以病毒掃描引擎為核心的解決方案,亦陸續增添軟體式的防火牆與入侵防禦偵測、USB裝置、網頁與應用程式存取等控管能力,逐漸完善端點安全(Endpoint Security)的防護機制。
如今隨著行動化裝置加入,端點應用環境不再只有桌上型電腦、筆電,同時除了以Windows為主的系統平台外,新興的iOS、Android也開始被納入成為端點安全防護不可或缺的一環。趨勢科技技術總監戴燊即指出,企業用戶對於以防毒軟體為核心的資安機制,近年來的詢問重點較以往大不相同。過去關注的焦點大致不脫離病毒的偵測率更高、佔用系統資源更少,內建分析報表以掌握病毒或惡意程式感染途徑等,現今企業更在意的卻是行動裝置應用可能為企業帶來資安風險。
「主要原因是來自於員工私人的行動裝置開始加入,增加企業應用環境複雜度,過去認為只要將駭客攻擊阻擋在外部的思維已逐漸失效,現在必須假設外在的威脅一定會進入到企業內部,所以端點防護是否有能力進行第二次的防護,變得更加重要。」戴燊說。
中芯數據技術顧問許志成觀察,以現在企業應用環境來看,多數朝向BYOD應用模式,除了既有桌上型電腦或筆電,外勤業務還有平板電腦、智慧型手機,基本至少提供接取公司郵件系統來收發郵件,一旦終端設備被惡意程式滲入或遺失,個人帳號資料被竊,極可能引發後續資料外洩危機,對此企業勢必須審慎因應。
肩負APT清除工作
賽門鐵克台灣區首席技術顧問張士龍亦觀察到,客戶的思維確實已隨著資訊安全演進而改變。「以近年來最熱門的進階持續性滲透攻擊(Advanced Persistent Threat,APT)事件為例,端點安全業者常被客戶詢問是否具有防護與證明遭受攻擊的能力,於是傳統以特徵碼比對為基礎的偵測防禦技術,自然必須進一步演進,朝向更進階的主動式安全防護發展。」
尤其是行動裝置應用行為加入後,現代工作者隨處皆可辦公,而目前APT攻擊防禦機制較多是由閘道端提供,在公司內部網路確實可發揮,若離開內網又該如何防護?張士龍認為,端點安全要防禦APT攻擊,不能只採用傳統特徵碼辨識技術,畢竟APT攻擊手法中已具備可規避現有防毒軟體偵測,較有效方式是搭配檔案信譽評等技術來協助。
「多數APT攻擊發動管道會利用郵件內的惡意連結或附加檔案,當使用者點選執行時,賽門鐵克的端點防護會先針對該檔案分析全球的使用狀態,若發現該檔案是全球首見,即可歸類為高風險性的檔案予以攔阻,並傳送至雲端平台,執行更進階的分析。」張士龍說。現階段因應APT攻擊行為,只仰賴閘道端絕對不夠,畢竟端點可說是資訊安全防護最後的堡壘,才可控制感染避免持續擴大危害範圍。
戴燊認為,完整處理APT攻擊事件的程序,需包含辨識、攔截、清除,三階段缺一不可。其中端點安全主要是扮演接受指令的角色,至於辨識未知型攻擊程式的工作,必須交由網路閘道端、郵件系統、網頁服務等系統上建置防護機制來進行偵測,再把可疑的檔案交由APT解決方案提供的沙箱(Sandbox)技術模擬執行,完成分析作業後產出的Log檔案,可進一步透過API介接到防火牆或入侵防禦偵測等資安設備執行攔截,該Log檔也會同時回報雲端安全平台以製作病毒碼,再發布更新至各端點引擎,才得以掃描並清除所有攻擊程式。
單一介面配置與監看
包含在端點安全防護範疇中的伺服器端防護,則是隨著伺服器虛擬化應用發展被企業廣為接受,不論規模大小皆有採用,端點安全防護也必須跟進支援虛擬化,提供可架構於Hypervisor上的部署方式,目前較常見的做法是整合VMware vShield Endpoint來實作。湛揚科技企業產品技術支援中心工程師陳政安表示,卡巴斯基在今年新版本中會進一步提供Hyper-V、Xen平台支援,不單只有系統防護,也可達到周邊應用控制,即類似於實體防護,不致因為架構在虛擬環境,就無法進行完整防護控管。此外,藉由卡巴斯基安全管理中心(Kaspersky Security Center)即可進行統一配置與管控,IT管理者不需額外學習操作立即可用。
「其實端點安全防護發展至今已相當成熟,市場上可見的方案大多已涵蓋用戶端、伺服器、行動裝置,可提供的管控機制亦差異性不大,唯有整合各式端點的管理與操控介面,以降低管理複雜度與學習成本,會是專業廠商持續發展的方向。」湛揚科技業務處副總經理劉忠瑞觀察。
不論異質設備或系統,都採用單一平台、單一政策配置與套用,才能簡化企業IT應用環境日漸複雜下控管作業。俊端科技資安事業處技術與客服部技術支援工程師韓宗延舉例,G Data的端點防護方案中內建的策略管理器機制,即設計提供USB連接埠管控、上網時間管控、網頁瀏覽行為、應用程式等簡易配置政策,透過獨立的管理控制台統一發送與監控端點。
雲端跨平台防護興起
除了採主從式架構(Client-Server)的企業端點安全防護,市場上亦有提供以雲端服務為基礎的機制,近期由中芯數據代理進入台灣的Webroot即為其一。許志成表示,採用雲端服務控管的優勢即在於不論終端平台,只要連接網路皆可納入管控,支援程度會較傳統架構來得更廣泛。
「不論是桌面端、行動裝置、虛擬或實體伺服器,只要安裝大約700K的代理程式,不須跟作業系統元件綁在一起,即可在背景擷取端點的檔案指紋(Fingerprint)資訊,傳送至架設在Amazon雲端平台的資料庫進行比對,除了可即時回應與攔阻外,若檔案在執行過程中出現連線至惡意網站行為,也會被Webroot雲端系統發現並阻擋。相較於傳統端點安全防禦,其即時性更高、占用資源更少。」許志成說。畢竟惡意程式已不僅針對單一系統的滲透感染,甚至可達到跨平台攻擊,運用雲端服務提供的資料庫比對與沙箱分析機制,無須導入各式不同控管方案即可建立防護,不失為貼近現代化企業應用環境的方案之一。