企業IT基礎架構正朝向雲端化、行動化應用發展,尤其是行動裝置普及後,帶動即時通訊App逐漸成為日常工作的主流溝通媒介,然而儘管如此,電子郵件始終佔有其舉足輕重的地位,仍舊是企業內部與外部溝通的主要正式管道,因此郵件生命週期管理所需的防病毒與垃圾郵件、事前與事後稽核、歸檔以便隨時調閱等措施,依然是鞏固公司正常營運不可或缺的基石。
只是近年來,自從以竊取資料為目標的進階持續性滲透攻擊(APT)手法出現,大量透過採取社交工程(Social Engineering)的郵件來發動,自然使傳統郵件安全防禦廠商被寄予期待對抗新型態攻擊威脅。隨著資安市場上開始出現專門針對APT的解決方案後,企業才較為理解,新型態攻擊方案實屬高度特殊化的資安防禦機制,無論市場需求、演算方法、情報追蹤、輔助工具等,其實都與正規郵件安全技術分別屬於不同的專業領域,功能用途無法彼此取代,反而比較是相輔相成的角色。國內主要的郵件安全廠商例如網擎資訊、綠色運算等,便是與APT專屬解決方案廠商相互協同來提供企業端因應。
但網擎資訊行銷處協理林家正實際觀察發現,專攻新型態資安威脅的方案與技術,往往價格不斐,即便是大型企業或政府單位也未必能負擔,因此會先採取加強郵件安全性的防禦措施,例如網擎資訊與MailGates長期合作夥伴所提供的Sophos防毒與Cyren郵件過濾(原名為Commtouch)機制,在符合預算條件下最大程度降低資安風險。
勒索病毒肆虐 提升資安以降低風險
最愛透過電子郵件入侵的安全威脅,其實不只APT。從2015年起橫行於國內中小企業的加密勒索病毒,例如CryptoLocker、CryptoWall等,同樣是利用郵件發送社交工程攻擊。Sophos技術經理詹鴻基認為,面對勒索病毒,主要考驗的是使用者的資安意識,雖然無法僅仰賴工具技術來解決,但企業至少必須做到資安等級的提升,例如強化防火牆進行上網行為管控與企業等級的防毒軟體,面對不斷更新的威脅型病毒才有能力及時反應,降低可能的風險。
以往的網路犯罪,會鎖定國際知名企業發動攻擊,藉此取得知名度或高額勒索金,根本不會以中小型企業為目標,也因此讓多數中小型企業認為資安為非必要的建置。殊不知犯罪者永遠會挑選成本效益最高的對象下手,自從勒索病毒出現後,由於攻擊成本極低,根本不用管攻擊標的之資金規模,開始以無差別方式攻擊,如此情況下,自然是缺乏防禦能力的中小企業受影響最大,才迫使企業主開始正視資安議題。
眾至資訊產品經理王建忠亦認為,勒索病毒利用郵件發送滲透攻擊的成功與否,取決於使用者對於資安的意識,就實際狀況可發現普遍缺乏警覺心,因此業主仍舊會期待某種技術工具可協助阻擋大部分的威脅。只是要提高新型態駭客攻擊或勒索病毒成功的門檻,無法僅仰賴單一郵件安全機制來達成,並須發展整合式防禦體系,可能得重新思考整個網路安全架構,在閘道端善用防火牆本身具備的應用程式控管與偵測,一旦發現內部網路有疑慮,可藉由觸發交換器執行封鎖或隔離指令來阻斷,建構閘道端、交換器、郵件系統的協同防禦。
 |
| ▲政府電子採購網共同供應契約中已上架的雲端服務項目。
(資料來源:web.pcc.gov.tw/pis/main/pis/client/pai/bulletin_view.do?id=50004214) |
設備攤提屆滿 雲端郵件成為選項
除了因應經由郵件發動的攻擊威脅以外,為協助中小企業或組織落實雲端化應用,原本提供軟硬體方案的郵件系統設備商,近來也陸續增添雲端郵件服務項目,例如網擎資訊建置的MailCloud郵件代管服務、眾至資訊於2015年也推出3QMail雲端郵件信箱。
在國內已推廣多年的MailCloud,林家正說明,最初發展的著眼點其實是針對日本企業對於雲端服務接受度相當高而設計,經過幾年來的經營,營收成長幅度已超過預期。依照過往的經驗,日本企業要求的功能機制或應用模式,將成為台灣企業學習參考範本,儘管目前願意採用雲端服務的本土企業用戶仍為少數,一方面是心態較為保守,對於新興公有雲服務在安全方面仍有疑慮;另一個重要因素則是顧及既有投資,或許在實體建置折舊攤提年限期滿,準備進行下一階段採購時,就未必非得沿用實體設備,雲端服務將會一併納入評估。畢竟系統轉換到雲端後,軟硬體、機房空間、電力成本,皆不需再額外支出,原本維運的IT人力亦可較多時間處理更具價值的工作。
而眾至資訊推出軟體式的服務,目前提供的作法是以軟體方式架構在虛擬伺服器平台上運行,採購模式同樣可選用租賃。但是現階段,中小企業接受度較高的仍偏向硬體架構。部份評估雲端軟體建置的中小企業,則是著眼於價格,期待更便宜的收費方案,但如此一來,即非眾至資訊主要的目標客群,畢竟郵件系統後續的維護服務相當重要,對於一昧追求低價的用戶,王建忠坦言寧願忍痛不承接,也不願因此降低服務品質。
雲端郵件納入政府共同供應契約
值得一提的是,近來率先公開採用郵件雲端服務反而是對資安敏感度較高的公部門。由經濟部工業局成立的軟體採購辦公室,於2015年開始已正式將雲端服務納入政府電子採購網共同供應契約,EaaS(Email as a Service)則是被列為第一階段開放項目之一,未來亦將開放類似Dropbox儲存雲應用模式。
「其實以政府單位的角度所考量的安全性,主要是廠商來自於哪個國家。就美國公司為例,會受限於美國法令規定,若法院需要調取資料,美國公司必須得配合,即使資料中心設置在台灣,或是資料本身擁有者本身非美國公司,仍舊有義務配合提供。如此之下恐涉及到國家安全問題。」林家正說。對網擎資訊這類本土廠商而言,接受的是台灣法律規範,不致有此疑慮。
此外,各機關單位在資安政策推動下,必須將事件記錄資料回傳至資通安全會報技術服務中心負責的「政府資通安全防護監控中心(G-SOC)」,落實國家資安二線監控機制,因此對於事件資料數據上傳欄位定義、格式規範、關聯規則等,皆必須遵循才得以聯通,同樣也成為擁有研發能量的本土廠商介接門檻較低、較可發揮之處。