歷經疫情大流行後,如今許多企業已可隨處辦公。為了有效地緩解攻擊面擴大後的風險,企業資安策略演進到零信任控管,可說是當前主流的應對措施。Skyhigh Security(原McAfee Enterprise服務部門)基於雲端平台建構的SSE(Secure Service Edge)方案,擁有網站安全閘道器(SWG)、零信任網路存取(ZTNA)、雲端存取安全代理(CASB)、資料外洩防護(DLP)、遠端瀏覽器隔離(RBI)等技術,正可協助企業落實零信任管理政策。
Skyhigh Security資深技術工程師姚振鴻指出,原名為Skyhigh Networks的公司創立於2015年,自主研發CASB服務以協助企業解決「影子IT(Shadow IT)」問題,於2017年被McAfee收購。隨後2021年私募基金業者STG(Symphony Technology Group)同時收購McAfee與FireEye,合併兩大品牌改名McAfee Enterprise。
其後觀察到資安市場伴隨企業數位化轉型演進,再加上疫情改變現代人工作樣貌,STG發現旗下的SSE、擴展式偵測及回應(XDR)兩大產品線為數位化企業不可或缺的防護技術。於是2022年決定將產品線拆分獨立營運,新成立Skyhigh Security(以下簡稱Skyhigh)負責SSE方案、Trellix負責XDR方案。
SSE保護雲端與地端的資料安全
如今Skyhigh不僅擁有CASB服務,還包括McAfee發展已相當成熟的SWG、ZTNA、RBI、DLP等資安技術。姚振鴻說明,ZTNA須同時確保外到內、內到外的網路連線行為安全性。內網連外的存取行為可藉由閘道端部署的SWG進行檢測;至於外網連回到內網的需求者大多是高階管理者、差旅員工、IT維運廠商,採用VPN連線通過身分驗證即可登入。
隨著疫情緊急實施居家辦公,企業IT大量採購VPN授權,開放每個員工皆可遠端登入內網執行存取,以維持生產力。實際上VPN連線只要登入成功,內網的應用系統幾乎全數可存取,只要其中一名員工私人或公務裝置遭釣魚郵件感染,即可藉由VPN連線進入內網感染關鍵應用系統。
為解除居家辦公後衍生的資安風險,Skyhigh提供企業內網可部署Cloud Connector扮演反向代理者,直接掛載到虛擬平台立即啟用。姚振鴻進一步提及,Cloud Connector主要任務是接取雲端安全平台,把機敏資料在本地端先行轉換標記,確保法規要求的個資、營業秘密保留在地端;再搭配SSE平台提供的Private Access雲端服務(核心為CASB、SWG、ZTNA技術)實施零信任控管措施,通過身分驗證的員工可透過瀏覽器介面顯示允許存取的應用。其他不具權限的應用服務員工根本無法看得到,藉此作法阻斷惡意程式橫向移動感染應用系統的途徑。
姚振鴻強調,Skyhigh的優勢是可提供混合雲部署的SSE方案,正可符合台灣多數企業實際應用需求,藉此同時保護雲端與地端的資料安全。他舉例,2021年開始採用Skyhigh解決方案的某跨國半導體業者,總部資料中心的應用系統堅持不遷移上雲,但是安全防護機制則可接受混合雲方式建構。最後該業者的總部資料中心決定導入部署Skyhigh網站安全閘道方案,其他地區的分公司則採用Skyhigh雲端安全服務。
此外,差旅或遠距工作者亦可透過Skyhigh雲端安全服務進行防護,回到辦公室則自動切換由地端網站安全閘道機制接手。IT或資安維運人員僅須透過單一介面配置統一政策,即可為企業分散各地的員工建立完善防護。
SASE框架中必要的SSE方案
以往資安防護架構主要由不同技術供應商所建構,企業可依據控管政策需求選擇導入各種資安產品。因應企業IT架構演進到混合雲,資安市場開始興起SASE(Secure Access Service Edge)框架,整合跨領域技術為單一解決方案。至於僅具備特定技術的供應商,則常須透過整合生態系的方式來提供。
SASE本質為安全框架,姚振鴻認為,關鍵是必須由單一廠商基於雲端平台,融合廣域網路與資安技術來提供服務。不過,考量目前難以有單一廠商可完整提供實作SASE的解決方案,因此後續市場再切分為廣域網路與資安兩個領域,資安領域被稱為SSE(安全服務邊緣)。Skyhigh即為SSE供應商之一。
「Skyhigh本就是從早期CASB的技術供應商,演進到提供SSE雲端安全平台,相較於其他廠商,技術發展已有一定成熟度。」姚振鴻說。此外,Skyhigh SSE解決方案的提供方式,較特殊之處在於可選擇自建部署或完全採用雲端服務,正可滿足台灣多數企業IT的應用需求。藉由SSE解決方案的特性,可讓IT團隊採以單一控管平台、單一政策措施,確保員工在任何地點工作的安全性。
三階段偵測保障資料安全
Skyhigh SSE發展策略是「以資料安全為優先」,借助McAfee發展已相當成熟的DLP技術以及進階威脅防禦(Advanced Threat Defense)方案,採用沙箱檢測、遠端瀏覽器隔離上網等機制,落實零信任控管措施。
姚振鴻指出,Skyhigh提供的偵測方式大致分為三個階段。第一階段是依據已知的惡意特徵碼資料庫進行分析比對。第二階段是非特徵碼判讀,作法是針對無法判斷安全與否的檔案與網址,運用類似沙箱技術模擬解析用戶實際點選後的執行行為,防堵惡意程式滲透、勒索軟體惡意加密等事件發生。
Skyhigh Security資深技術工程師姚振鴻指出,藉由SSE(Secure Service Edge)解決方案的特性,可讓IT團隊採以單一控管平台、單一政策措施,確保員工在任何地點工作的安全性。
即便透過前述兩階段檢查皆未能發現惡意行徑,仍可能有潛藏風險。為保障偵測方式不被技術精良的攻擊者成功繞過,第三階段可將用戶的存取行為導向Skyhigh SSE雲端平台,運用RBI技術來開啟網址與檔案。
他進一步說明,當用戶實際點選開啟檔案或瀏覽網址時,系統背景會主動呼叫RBI執行代為存取。控管措施亦可進一步定義為禁止檔案上傳或下載、限制複製貼上等操作。萬一檔案或網址夾帶惡意程式碼,僅能影響到RBI運行環境,不至於感染到用戶端作業系統環境。
前述三階段的檢查機制,在傳輸過程中即可快速地執行完成,主要因素是Skyhigh擁有輕量型沙箱系統的專利技術,稱為Gateway Anti-Malware(GAM)。
「GAM有效地解決了傳統沙箱技術須佔用大量實體資源、模擬分析時間至少要等待2分鐘以上的限制。運用地端設備搭配雲端安全服務提供的龐大情資,以行為分析方式,不到一秒鐘即可判斷是否潛藏惡意程式,大幅降低用戶遭到社交工程攻擊的風險。」姚振鴻說。