全球COVID-19疫情持續延燒,企業除了實施遠距工作政策維持營運,同時也必須補強衍生的資安風險。根據Fortinet日前發布《2020年遠距工作網路資安報告》統計,全球超過8成企業面臨的挑戰,主要在於確保網路的安全連接、業務持續性等方面。
更棘手的是有5成左右的企業欠缺可確保遠距工作安全風險的熟練IT技術人員,顯見資安技術落差同樣也是亟待解決的問題。 各國企業因應疫情嚴峻實施遠距工作,常見的狀況是員工電腦通常為私人裝置,且有家人共用,導致資安風險議題變得較以往更加擴大,許多企業認為必須有所控制,因此配發裝置讓員工在家辦公。這也是疫情期間筆電銷售量大增,甚至出現缺貨的因素之一。
Fortinet北亞區資深技術協理劉乙指出,回顧2020年本土多起國際級製造業接連遭遇勒索軟體感染事件,日常備份較嚴謹的企業可能可透過回復降低災損,當然也可能選擇支付贖金來解除當下危機,不論採取何種行動因應當下的事故,企業勢必會正視勒索軟體感染的危險性,甚至在營運風險管理中加入購買比特幣也成為一種選項。
劉乙認為,台灣企業尚待教育的是投保資安險。他以多年前美國洛杉磯醫院遭勒索軟體感染事件為例,該醫院公開承認已支付高額贖金,主要因素是任何涉及人身安全的風險皆必須更嚴肅看待,所幸在遭遇此重大事故前已投保資安險,以確保不至於影響病患醫療,同時降低財損。
運用既有技術落實零信任控管
針對遠距工作制定的零信任控管模式,善用發展已相當成熟的資安解決方案與專家服務可說是疫情之下的最佳選擇。劉乙指出,Fortinet核心優勢在於軟體與硬體整合,即使是現代企業IT已演進到混合雲架構,同樣得借助軟硬整合的力量來達到防護效果。藉由Fortinet倡議的安全織網(Security Fabric)建立完整生態,運用開放的API介接各領域相關技術達到整合運行。
Fortinet提供自主研發身分辨識與存取管理(IAM)方案,也就是FortiAuthenticator來達成員工身分識別與存取控管;搭配FortiNAC與FortiClient,先行盤點與定義資產,並且配置應有的權限,完整記錄端到端行為資料,最後統計數據以圖表方式呈現,讓抽象的存取行為轉變為可視化,以便針對異常活動採取控管措施。
既有已經部署FortiGate的企業,若欲著手落實零信任控管,劉乙建議,首先要建立加密的SSL-VPN連線,其次是須增添雙因素驗證,FortiGate既有的FortiAuthenticator與FortiToken即可協助。基於Fortinet長期以來自主研發資安技術,足以引導企業逐步落實零信任控管模式。
FotiNAC盤點資產與定義政策
前述提及的FortiNAC解決方案,為Fortinet來自於2018年收購Bradford取得的技術,提供連網裝置的可視化、控制力、自動化回應機制。經過資產盤點後定義公司配發或私人筆電,並記錄MAC位址、主機名稱以及加密金鑰,FotiNAC便可協助比對是否允許登入,進而套用存取權限。
劉乙說明,可控可管的第一步,類似於多年前企業相當關注的自帶裝置(BYOD)工作模式潛在風險問題,如今在遠距工作環境的破口則變得更多,凸顯NAC機制的重要性,必須在終端裝置上部署端點防護方案以便納管。對此,Fortinet除了既有的FortiClient,2019年經由收購enSilo取得EDR技術推出FortiEDR,可強化進階威脅防護能力。 針對無法部署代理程式的連網裝置,例如網路攝影機、銀行補摺機等,為了避免因內部網路遭受感染後成為橫向擴散的跳板,即使是執行簡單任務的裝置都必須納入管理,此時可運用NAC基於MAC位址精準辨識,發現異常行為時可呼叫交換器指令逕行阻斷。
收購技術團隊增強專家服務能量
過去端點防護方案,主要是針對已知病毒運行偵測與阻斷,資安市場上又提出EDR代理程式,增添探索、預測、預防機制,運用機器學習演算分析來執行,完全跳脫以病毒資料庫為基礎的防護思維,演算分析可即時發現異常行為邏輯,依據風險等級主動通報IT管理者或直接先行阻斷。
端點安全防護方案增添EDR能力已成為主流,FortiClient也不落人後,藉由收購enSilo讓既有的FortiClient整合FortiEDR技術,並且讓enSilo研發單位主導新世代的端點安全防護,補強傳統防毒軟體缺乏的可視性、自我保護與防禦,以及自我修復能力。例如探索發現到可疑執行緒時,會主動觸發在檔案被異動前先行備份,萬一最終確認為惡意程式,便可回溯還原曾被變更的檔案,達到自我修復。
「根據國外實際遭受滲透工具襲擊發動勒索病毒的案例,當電腦尚未啟動完成,FortiEDR內嵌在核心層的程式就已偵測到加密行為,隨即進行阻斷,成功化解勒索軟體的攻擊。同時亦可辨識無檔案的惡意程式感染,例如運用PowerShell、JavaScript等執行緒,一旦發現風險等級過高亦可直接阻斷。」劉乙說。
面對攻擊威脅手法多變,技術再精良的工具仍舊得有專家依據不同狀況調整措施,問題是全球資安人力稀缺的困境近幾年始終無法得解,對此,Fortinet於日前(2020年12月)宣布收購新創公司Panopta,基於SaaS雲端服務提供監控網路、應用系統、容器環境、資料庫等運行狀態與效能,讓網路維運中心(NOC)與安全維運中心(SOC)團隊藉此快速地執行回應行動。
Fortinet北亞區資深技術協理劉乙建議,基於Fortinet長期以來自主研發資安技術,可引導企業逐步落實零信任控管模式,首先要先建立SSL-VPN加密的連線,其次是須增添雙因素驗證,FortiGate既有的FortiAuthenticator與FortiToken即可協助。
劉乙指出,Fortinet同樣在2020年剛收購擅長SASE(Secure Access Service Edge)領域的OPAQ Networks,提供的功能性服務項目相當多,不見得每個企業都有專家得以應用配置,如此情況下勢必會較以往更仰賴託管模式協助,因此Fortinet收購Panopta公司,主要可解決專業人力不足與技術落差的問題。
國際資訊安全認證聯盟(ISC²)發布最新網路安全勞動力研究統計,2019年全球資安工程師缺口大約為400萬人,委由外部專家協助幾乎已成大勢所趨,再加上雲端平台提供的服務逐漸為企業端所接受,愈來愈多控管平台改以雲端原生所打造,以便利用彈性資源調度來彙整蒐集取得的資料,即時地運行機器學習演算分析指出根本問題。