 |
| ▲達友科技副總經理/技術總監林皇興表示,普遍的上網行為是最大的內網資安風險來源,且雲端服務興起後,從企業內部上傳的內容和檔案,更要受到管控。 |
針對目前企業內網所面臨的威脅,專業提供資訊安全服務的達友科技副總經理兼技術總監林皇興提到,大部的使用者都是獲准可以上網,但是普遍的上網行為往往卻成為最大的內網資安風險來源。
資安威脅 管道眾多
他指出,連網行為帶來的就是檔案下載,由於惡意網站越來越多,現在超過一半的惡意程式碼,依靠傳統靜態Pattern比對的防毒已經無法偵測未知病毒,而且現在多半的攻擊都是以網頁的型態,所謂的網站信用評等已經失準,因為被攻擊掛馬的網站多半都是知名網站,而且這些網站點閱率都相當高,只要網站內某一個元件被攻擊,使用者上網而存取到惡意程式比率就會提高,而幾乎所有惡意程式最終的目的都在於竊取資料。
目前資料外洩的管道,利用Port 80和Port 443建立Tunnel的行為也越來越多,所以資料很容易透過這些管道偷渡。
「目前很多外部稽核最喜歡去查核的項目,其中一項就是一些Tunnel軟體在網路環境內會不會通。」林皇興表示,所以企業必須確定對網路流量的解析可否識別到Tunnel,或是當內部有人用SSL VPN去接到外面任何一個網路時,可否加以管控,此外還有遠端遙控可否識別。
他表示,這些其實都算是IT的工具,但是如果受到不當使用,就會變成為企業內網的後門漏洞,且很多資安設備已經無法看到使用者自建的後門通道,例如在家裡安裝像是TeamViewer等能穿越防火牆的遠端遙控軟體,使用者在家裡就可以遠端遙控到公司電腦,還可以傳檔案,且防火牆還無法看內容。
此外,針對性的攻擊行為在現階段更是熱門,像是駭客藉由IE漏洞攻擊Google的極光行動就是最著名的例子。林皇興表示,連Google做這麼多資安投資的公司,竟然都掃不到,因為當時都還是依靠惡意程式碼比對,但是Pattern更新建立的空窗期,就成為企業內網安全漏洞。
以往駭客用大範圍攻擊的方式,會因為太過招搖而引起防毒公司注意,就會快速的建立特徵碼,但是現在採取針對性攻擊,就顯得無聲無息,有可能後門程式已經藏匿了很久,卻都沒有被發現,只能仰賴企業組織有無認真執行資安稽核動作。
雲端上傳行為 外洩考量
林皇興指出,若企業有部署流量管理的設備,就應該要注意很多未歸類的流量,如果比例明顯偏高,可能就要探究原因何在,為何內部有電腦不斷連線到未歸類的網站,就可能是外部連入內網竊取資料,或是有問題的上傳行為。
早期防止企業內部使用者連外所盛行的URL過濾機制,現在已經不光只談URL過濾,而是以存取管控、安全閘道的概念將涵蓋範圍擴大,因此不是只阻擋惡意網站下載,還要能夠管制內部使用者上傳,透過DLP(Data Loss Prevention)的做法,就能跟其他資安工具介接來識別。
林皇興透過Websense的DLP解決方案,也發現一些有趣的現象,但卻可能也是企業資料外洩的考量點。他表示,現在有越來越多裝置是採用Android系統,透過DLP竟然發現,只要當裝置一連到Google首頁,就會自動開始送出個人訊息資料,首先是送出座標,再來送出所在的環境周邊有哪些無線AP、信號強度、MAC、SSID(服務設定識別碼)等,這些資料都被送到Google的雲端。
他表示,iPhone也會上傳座標,但是會有視窗跳出來詢問使用者是否要上傳座標給Google,但是Android卻不會問,會在後台直接發送。其實這個上傳目的只是為了偵測使用者位置,讓搜尋結果最佳化。以前僅以國家、城市、閘道來源IP來決定使用者位置,並不會構成資料外洩的敏感議題,但是如果把公司的MAC、SSID和隔壁公司的SSID等都上傳,就會有隱私的問題和安全考量。跟之前Google街景車在歐洲部份國家遭到抵制的原因類似,因為會側錄到封包,等於就會側錄到訊息傳遞。
這同時代表越來越多的雲端服務受到廣泛運用,同時也會有越來越多資料外洩的疑慮。例如微軟也開始提供Office Web Apps的服務,上面也提供免費的儲存空間,但是相對以往文件都存放在本機硬碟內,現在要將資料上傳至雲端,對企業而言就很難預估會有什麼樣的外洩威脅。企業開始使用雲端服務後,就需要教育使用者,提升資安意識。如果企業要彈性管控可以上傳的資料或訊息,就可以使用DLP解決方案來管控,將企業受管控的資料鎖定,使用者私人的訊息就放行,包含所有HTTP、HTTPS傳輸都可以控管。(更多精采文章詳見網管人第54期)