做好端點防護 降低資訊安全風險

加強控管最容易被攻擊的途徑

「絕對安全」不存在，企業最關心的就是有效的降低資訊安全風險，但是究竟該怎麼做？專業代理卡巴斯基企業產品的湛揚科技，售前工程師呂政穎建議，可以針對最容易被攻擊的途徑切入，其中端點威脅永遠都是必須關注的焦點之一。因為駭客大多是透過公司內部使用者的電腦進行入侵，而這些用戶往往擁有內部重要伺服器的存取權限，甚至本機中就存放許多機密資料，很容易成為駭客覬覦對象。

卡巴斯基過去較著重於病毒偵測，現在則加入了網路使用行為監控技術，像是瀏覽網頁、下載免費軟體，甚至是P2P軟體，皆容易遭受到惡意程式攻擊，因此可瀏覽網頁的控制、應用程式的執行、外接式硬體設備，皆可制定管理政策來加以控管，如此才能達到減少人為因素造成威脅入侵的管道，藉此來降低風險，提高工作效率。

但是惡意程式碼的變種極為快速，呂政穎表示，現今每2.5秒就會誕生一個新種病毒，因此端點防護除了有效控管以外，還必須具備即時辨識的能力。於是卡巴斯基也開始針對最多企業採用的Windows環境，推出更深入防護與控制的機制，也就是雲端防護與應用程式回溯。

雲端防護及時阻擋惡意程式入侵

利用網路之便，收集來自全球的病毒特徵碼到防毒研究實驗室，以進行檔案比對分析特徵，是防毒業者目前常見的做法。卡巴斯基早在二年前就已將這類被稱為雲端防護的機制加入到消費端產品線中，期間所累積大量樣本數的資料庫，規模與成熟度皆完備後才在今年（2012）以卡巴斯基安全網路（Kaspersky Security Network）的面貌提供服務，給予企業用戶更進一步的防護。

用戶端會自動提供近期內可疑應用程式、網頁連結或下載檔案資訊給實驗室，若為正常的檔案會被歸到白名單資料庫中；一旦跟資料庫比對後發現屬於惡意程式或連結，則會被加入到緊急偵測系統（UDS），讓實驗室專家們繼續分析這些可疑的程式，之後再決定其威脅的風險程度，並且加入到特徵碼資料庫中。

▲ 湛揚科技負責卡巴斯基售前工程師呂政穎提醒，考量資訊安全防護軟體時，管理介面是否具直覺、友善的操作設計，攸關建置部署與日後維護效率，評估時不可不慎。

事實上，現在的防毒軟體廠商不單只是利用特徵碼來做辨識，而是以活動行為特徵碼（Behavior Stream Signatures）來分析比對，因此會記錄下應用程式運作行為，用以判別是否為惡意程式。

「而可回溯惡意程式的修改行為，可說是卡巴斯基端點防護較獨特之處。」呂政穎強調，以往常面臨病毒軟體解毒後，因為登錄檔或dll檔等這類系統核心程式損毀而造成電腦無法開機的窘境，由於此回溯機制可記錄應用程式運作的行為，因此在解毒同時，就可以追溯病毒程式發作時的行為路徑，將其所變更的檔案加以還原，來降低檔案因此損毀的機率。

他進一步解釋，由於卡巴斯基加入應用程式的監控功能，能追蹤惡意程式不當修改系統檔案的方法，如此一來，遇到不是預期或經過判定屬惡意程式行為時，就可以從它執行的行為路徑中，像是步驟還原一樣，還原重要的系統檔案。

現代企業少不了虛擬化、行動化防護機制

端點安全除了一般員工工作時所使用的電腦設備外，手機、平板電腦也逐漸加入防護的一環。除了常見的防毒、防火牆、防竊盜等功能以外，隱私資料亦被內含在卡巴斯基的防護機制中，像是特定人士的通話、簡訊等往來互動紀錄與資訊，在手機中皆會被隱藏。

而這些防護功能，管理者皆可透過卡巴斯基安全管理中心，直接以管理政策同步的方式對Android系統平台的裝置進行管控，省去逐台安裝與設定的麻煩。

面對越來越多企業導入VMware伺服器虛擬化技術來簡化IT基礎架構的建置，同樣的，防護軟體的保護也必須跟得上企業進步的腳步。對此呂政穎提到，一旦企業運用vCenter配置虛擬化平台，且含有vShield Endpoint套件，卡巴斯基即可利用vShield套件做為介接，不需在每一個虛擬主機中皆安裝代理程式，只要架構在VMware vSphere環境，即可讓實體伺服器中所有的虛擬主機皆可使用單一病毒特徵碼資料庫和防毒引擎保護。

單一平台操控 簡化管理複雜度

通常各種不同系統平台的管理，廠商往往會針對不同平台，提供其專屬工具遠端控管，不僅麻煩，還需要時間學習。也因此，「從客戶使用卡巴斯基的經驗來看，實用性最高的部分莫過於具備整合操作平台的安全管理中心。」呂政穎表示，不論是員工工作用的電腦、行動裝置、虛擬伺服器環境，皆可進行控管或安全防護。

卡巴斯基的安全解決方案為自主研發，因此在操控介面上也較容易整合在單一平台，達到統一控管的目的。呂政穎強調，「這種同一個面板能夠看到所有解決方案的設定與管理介面、同一份報表能夠看到所有解決方案相關資訊，才可協助彈性調整防護機制，及時因應突如其來的資安威脅事件。」