TOGETHER, WE
RESPOND
FASTER
2019 臺灣資安大會
臺北國際會議中心 & 世貿一館 2 樓
文/ | 2019/01/15 10:01:46 星期二 發表
PIXIS飛泓科技股份有限公司 CEO 鄭偉鵬
不管各大組織的資安防線有多嚴密,2018 年依然發生層出不窮的資料外洩,每個事件的主因當然不同,但是美國知名研究機構指出有高達 65% 的資料外洩源自於內網的實體設備,這正包含了訪客設備、員工自帶設備、甚至是承包商的連網裝置,凸顯出了各大組織在規劃資安策略時的盲點:習慣優先將防禦放在對外的閘道,而容易忽略了組織內網 layer 2 的存取控制,導致在提供訪客或是員工設備存取權限時,內網大門洞開。
「我們在海外拓展通路時,發現歐美的用戶很容易接受 NAC 內網存取控制的概念與重要性,相對來說,在台灣比較沒有這樣的感覺。」飛泓科技執行長鄭偉鵬表示:「台灣的機關企業比較不覺得 IP 管理系統或是內網存取控制這樣的解決方案是資安防禦系統的一環,而只是一種管理工具,而管理可以透過人力時間來達成,所以這樣的工具並不是必要的。這個邏輯其實是讓自家網路暴露在更高的風險當中。」
鄭執行長更提到,即便是自認網路環境單純的用戶,往往也無法靠著人工的方式確實地記載環境內所有的連網裝置,更加無法控制這些裝置的網路存取了。「現在每個人都持有兩三台裝置,再加上 IP 電話、印表機、監視器等等,一個只有兩三百名員工的中型企業,整個內網卻有超過五六百台連線裝置,其實也挺常見的。」擁有多個辦公室的企業,管理難度更是翻倍。在人力編制較少的外點,資訊人員往往身兼多職,因此一套好的內網存取控制系統,可以讓總部的管理人員直接佈達端點設備的政策,是一個更能提高組織效率的管理模型。
飛泓科技建議網管在選擇內網存取控制或是 IP 管理系統時考量幾個方向:首先,一個完整自動化的系統是必要的,畢竟建置一套系統費神費工,日後若還要依賴人工更新資訊才能運作部分功能,是一件浪費資源的事情。第二,這個系統應該不依賴交換機,就可以進行封鎖的功能,因為在台灣,仍然有許多網路環境內部有不可管理的交換機,甚至 hub 的存在,這些限制都會讓只依賴交換機的內網存取控制系統變得無用武之地。最後則是這套系統對於網路趨勢的適應能力,飛泓科技建議各組織在測試時,試試封鎖 IPv4 以外的 IP 協定,例如 IPv6 的 Global IP 以及 LinkLocal IP,以免未來企業網路因應物聯網需求升級 IPv6,原採購系統更新不及,又產生更多資安漏洞。
鄭執行長最後強調,「飛泓科技在台灣的客戶目前主要以跨國企業、政府單位為主。這些組織之所以採購,並不是因為它們的規模大,而是他們的資安意識很強。」相信能夠和飛泓科技諮詢的企業或是機關,也可以相對了解這些先進的資安觀念,與飛泓科技相對整合出的解決方案。