以史為鏡,除了可讓人從歷史中得到經驗與教訓,甚至能成為現代資安教戰原則。就以中世紀時代的日耳曼民族入侵事件舉例,除了在各地建構強固的堡壘外,還需要設置快速反應部隊以因應各種攻擊。
中世紀的城堡總是用土、樹木跟石塊搭建而成,雖然安全卻也偶爾會產生缺陷。為了防禦這些可能因時間而逐漸擴大的缺陷,在城堡中往往不會只有一道城牆,而是有多種防禦措施,除了城牆外,城外還有隱蔽用的土溝,城內則還有許多小碉堡可作為第二層防線,避免敵軍攻破主城牆後長驅直入破壞指揮中心。
而除了城堡整體的防禦結構之外,所有的戰士都會披甲攜盾,避免各式各樣的武器攻擊。為了因應中世紀的長槍、弓箭與各種火炮,城堡與戰士都各自發展出不同的防禦架構與護甲,以強化相關的安全等級。
回顧現今企業的資訊安全體系,企業內部網路架構可被視為一座城堡,其中擁有相當多樣化的網路資安設備,如防火牆、IPS、各類內容過濾設備及VPN連線裝置等解決方案,因此城堡本體的防護性就非常堅強。反觀企業內部員工與其他使用者,雖然科技不斷進步,但使用者的終端裝置卻不具備完整且健全的防禦設備,在企業內部使用或許還能藉由其他網路端的資安設備防禦企業資訊安全,然而只要員工離開防禦範圍,潛在的資安漏洞將馬上暴露在各種攻擊下。
企業城堡外的安全隱憂
根據最近針對全球企業內部資深IT人員的調查報告中指出,只有49%的人表示已在企業終端設備上安裝防火牆軟體,而不到一半的人有安裝VPN用戶端軟體確保遠端連線安全;安裝反間諜軟體的比例較高,但也僅有56%。唯一可喜的是,有90%的人已經安裝了防毒軟體。
從上述數據可以得知,大多數企業員工的筆記型電腦依然存在許多安全隱憂,當這些筆記型電腦使用者離開辦公室後,就可能成為潛在的風險。雖然目前坊間有著各式各樣的終端安全解決方案,但外部威脅也已經隨著技術進步而不斷更新演化。傳統的防護機制,如安裝防毒或基本防火牆軟體,已經沒有辦法有效防禦各種藏匿在網站內的資安威脅,而這也是目前新興且主流的攻擊模式──並非是各種病毒或駭客入侵,而是隱埋在合法網站中的非法外掛程式。
新的威脅需要新的防禦體系
過去無論是防禦或是攻擊的一方,都不斷發展各式各樣的最新技術,只希望能夠擊潰對方。但我們不得不承認,防禦這方總是較為遲緩且被動,只有當防禦方偵測到新的攻擊出現時,才有辦法研究並發展新的防禦方式。
傳統上常見的主動式病毒或惡意軟體已日漸式微,而攻擊方的技術也已逐漸往更難以察覺的趨勢發展,欲藉此躲避企業原有的防毒軟體與相關資安防護檢查,只要這些潛在地雷成功地點燃導火線,就算是企業認為已是安全的員工電腦,都會在毫無警覺的狀況下爆發災情。
不論是攻擊者的心態或手法,相較於數十年前都已有不同的發展。攻擊者從追求聲名大噪變成以獲利為訴求,攻擊手法與目標從破壞變成竊取,而竊取目標則是從個人資料到金融詐騙等不一而足。另外,目前新的攻擊手法包括利用假網站進行釣魚攻擊、誘使使用者從不安全的網站下載惡意檔案,或是安裝鍵盤側錄軟體讓所有使用者輸入的資訊曝光等。
從上述攻擊手法可以得知,目前主要的攻擊手法都是利用網站作為媒介,不管是利用惡意外掛感染合法網站,或利用偽造得幾可亂真的假網站,或是置放熱門資訊以引人注意的惡意網站等,都會讓不知情且不夠警覺的使用者,在瀏覽網站的過程中受到潛藏的惡意程式攻擊,進一步成為駭客攻擊的溫床。
如果說傳統的防毒與防火牆軟體是保護終端裝置的全身裝甲,那麼新一代的攻擊手法就像是一根瞄準裝甲縫隙的細針,專門刺入裝甲防禦不到的弱點。為了防禦這些弱點,中世紀的騎士利用自己可以操控防禦位置的盾牌,作為主動性的防禦裝置,騎士可以根據攻擊方所持的長槍位置,移動盾牌並使用主動防禦攻擊,而這也是新一代資安防禦體系的主要概念。
虛擬盾牌強化終端安全
新一代的資安解決方案就是建構一面如同中世紀騎士所用的「虛擬盾牌」,用以防護瀏覽網站時所使用的各類瀏覽器。此面虛擬盾牌主要的功用就是強化瀏覽器的安全措施,在瀏覽器讀取網際網路上的內容前,先行啟動一套虛擬瀏覽器,預先讀取並過濾該網站的內容,避免實體機器直接存取網站內容。
此虛擬盾牌不單只是主動式防禦,更是主動檢視並過濾網站內容。過去的各種防禦機制,並不會阻擋或檢視由使用者主動發起的各種連線要求或下載動作,但在虛擬盾牌中,不但會檢視網站提供的各種主動元件與內容,也會檢查由使用者發起的各項要求,確保使用者所執行的動作是使用者已知且完全安全的項目,避免使用者在網站不當外掛的誘使下,不知情地下載各種惡意軟體。
面對各式各樣的攻擊手法與工具,利用防毒與基本防火牆軟體防禦是必須且基本的,因為這些措施提供了可防禦大多數攻擊的全身裝甲,並能夠降低受駭客或病毒入侵的機率。但面對新一代的網站攻擊,只有基本的防禦措施就相形不足了,只有透過可以主動過濾防禦的終端虛擬盾牌,才能進一步利用先進的虛擬機制,過濾且防堵有害內容進入終端裝置中,避免使用者受到未知或是其他變種威脅的侵擾。
陳建宏目前擔任Check Point台灣區技術顧問。其主要職責包括推廣Check Point全方位安全解決方案,與通路及經銷商密切合作、協助所有業務人員以及合作夥伴、提供技術諮詢及產品訓練,進而對客戶與商業夥伴傳達Check Point的產品價值,協助銷售團隊提高Check Point在市場上的競爭優勢。
陳建宏在網路安全領域有10年經歷,熟悉系統、網路及各種安全技術,尤其在安全技術方面更是專精,特別在防火牆(Firewall)、虛擬私有網路(VPN)及入侵偵測(IDS/IPS)方面有豐富的規劃及安裝經驗。