為提供您更佳的服務,本網站使用 Cookies。當您使用本網站,即表示您同意 Cookies 技術支援。更多資訊請參閱隱私權聲明確定

端點控管必須內外防護兼具

精品科技 資安顧問 陳育徽 (Alden Chen)

內部威脅或外部攻擊危害大?

根據 Verizon 發布資料外洩事件調查報告 (DBIR),內部攻擊或威脅肯定是重要的因素之一,實際上,大約有 30% 的外洩是內部威脅。到目前為止,對組織的最大威脅仍然來自外部參與者。據去年的數據顯示,有 70% 的違規行為來自外部參與者。其中有 1% 涉及多方人馬,而且也有 1% 涉及第三方合作夥伴。

人們普遍認為內部人員是組織安全的最大威脅,這可能有點偏誤。誤以為來自特定來源威脅的「數量」,相等於這些威脅所帶來的安全衝擊「嚴重度」。因為一次內部威脅爆發,可能造成的危害是外部攻擊的十倍,還是要取決於事件的性質。

攻擊及威脅動機是什麼?

在絕大多數情況下的攻擊事件最大的動機是經濟利益,資訊安全從業人員並不會感到驚訝。除了對金錢報酬的需求外,還具有另一個有趣特點:攻擊者進行的攻擊,大多不會超過兩到三個步驟。如果需要更複雜的手法才能成功,可能會放棄尋找下一個目標;除非是為了更具規模或針對性的攻擊。

挑軟的柿子下手總比在堅固的目標上,投入過多時間和精神的成本要好得多。快速大規模的操作並使用自動瞄準和開發工具是一個正常的 ROI 選擇。身為捍衛者的策略是非常直接的,如果您保護好了城堡,並讓壞人努力成為白工,那麼絕大多數攻擊者會轉移到其他的目標上。

儘管財物可能是攻擊者最終真正想要的東西,但他們往往會想獲得更多其他收益。用戶憑據也是攻擊者的主要目標,除了直接存取寶藏之外;組織還可能被突破淪陷之後,成為通往另一個更有價值目標的墊腳石。對攻擊威脅者而言,真正有價值的可能是你的客戶,而不是你的組織。

邊境界線逐漸消失中

傳統的資訊外洩防護方案,可在資料儲存、使用、傳遞等三方面提供保護。如果存取的資料都可以保留在這些端點、邊境防火牆範圍內,以往這也許是足夠的。但是,安全防護的邊界越來越不明顯,而且一旦使用超出邊界範圍,它的資訊安全政策就無法被落實。這意味著,現在的工作及供應商的合作方式,不再有明顯的界線可以分出信任區域。

COVID-19 下遠距工作的安全疑慮

在疫情之下,各種規模的公司都受到一定程度打擊。對於期望維持業務連續性的現代組織來說,遠端工作已成為必需。遠端工作對資訊安全形成了獨特的挑戰,因為遠端工作環境通常沒辦法提供與辦公室相匹敵的保護措施。當員工在辦公室時,他們在預防性的安全控制層後面工作。雖然不完美,但在辦公室環境工作時不容易違反安全性規定。但是當設備離開組織 IT 邊境外圍,在遠程工作時將帶來新的風險,因此必須採取附加的安全保護策略。

轉移雲端平臺不是一個有沒有必要的問題,而是一個「什麼時候開始」的問題。遠端工作員工、供應商、客戶服務和策略夥伴合作的需求,只會加快推動雲端的使用。例如公司依賴於員工從其個人智慧手機,存取行動業務相關應用程式(稱為自有設備或 BYOD)。此外,近四分之一的千禧代員工表示,他們會將公司檔案下載到這些設備上,並安裝了第三方雲端應用程式(私有雲或 BYOC),但沒有知會 IT 或資安人員;這代表企業並非能夠有效控制使用雲端的時間和方式。

但無論速度如何,傳統固定的安全政策都難以與跟上這工作需求。原因之一是雲應用程式供應商傾向於優先考慮方便性、可存取性和易用性,資料使用的安全性就不一定周密。他們專注於共同開發合作模式,用傳統方式保護基礎設施的安全,但讓用戶確保在基礎設施中共享的數據。這意味著,鑒於當今工作內容的變化、移動性,無論您的人員在哪裡,都有責任構建資料保護。

端點資料活動監控保護方案

 長久以來資料安全與業務績效之間,在某些需求面存在矛盾。畢竟保持競爭優勢的最簡單方法,就是企業保有其「秘密配方」的能力。將內部重要資料無論是專有工序流程、關鍵智慧財產權,甚至是專利配方文件等,通通都保護在城牆之內,遠離街頭。

但這個問題要複雜得多。據估計世界上 90% 的數位資料是在短短兩年之內創造的;存取方式幾乎都是透過網路。跨組織合作使保護資料安全更加複雜,行動裝置、遠距工作的用戶端、供應商、承包商、內部遠端服務和漫遊員工等的激增,資料外洩事件可能性增高,對公司的品牌形象和客戶的信任感造成嚴重損害。長期以來,醫療和金融服務等受到嚴格監督的行業,一直受到主管機關當局法律規範,以確保機敏資料的安全。


以下是 X-FORT 提供的監控防護建議:

User Activity monitoring 使用者活動控制與監視

X-FORT 提供用戶追蹤端作業系統、使用者操作活動記錄,違反安全規定時予以阻擋控制。

使用者活動日誌

· 軟體執行記錄:記錄使用者執行軟體,或執行軟體視窗標題名稱變動。

· 網頁瀏覽記錄:使用瀏覽器 IE, Chrome, FireFox, Edge 時視窗標題變動,記錄視窗標題與網址。

· 檔案操作記錄:記錄透過檔案總管對檔案的操作細節,範圍包含本機檔案系統的建立、刪除、更名、移動、複製;存取網路芳鄰、外接式儲存裝置、MTP 裝置等。

作業系統相關記錄

· 作業系統活動記錄包含系統檔案名稱異動,記錄更名前後的相關資訊,系統檔案被刪除的事件記錄與備份被刪除的檔案。

帳號管理

· 管理用戶端的本機帳號,可新增、修改、刪除本機帳號,可啟用或停用本機帳號。

本機裝置控管 (Host Device Control and Monitor)

· 控制本機所有連接裝置的使用

· 管理信任儲存裝置

· 管理儲存裝置存取方式,包含外接儲存裝置、燒錄器

· 控制列印裝置及列印行為,包含禁止列印、強制浮水印、暫時開放印表機;記錄及備份列印內容,備份列印檔案。

網路控管 (Network Control and Monitor)

記錄與控制用戶端網路存取活動,包括共用資料夾控管、應用程式、網路連線、網站存取、檔案傳輸、電子郵件等。

應用程式控管 (Application Control and Monitor)

用黑名單與白名單機制管理非授權的應用程式執行;以及保護資料夾被未經授權的程序存取。

軟體執行控管

· 提供軟體禁用功能外,控制軟體使用時段控管軟體只能在規定的時段內被使用,其他時間禁止使用。

· 被禁用的軟體,使用者無法自行安裝。使用者嘗試執行被禁止或非允許的軟體,留存記錄。

資料夾存取防護

· 限制異動副檔名:限制資料夾中特定副檔名的檔案(如*.exe);該資料夾中新增、變更特定副檔名檔案。

· 應用程式白名單:用戶端特定資料夾允許「信任程式」存取檔案,防止其他程式存取,或檔案加入。保護資料不被惡意程式存取或竄改。

· 例外處理名單:在限制異動副檔名清單及應用程式白名單中,設定排除控管的例外名單。

稽核與分析 (Audit and Event investigation)

記錄與資料整合分析

· 記錄查詢結果根據分權與管轄範圍,依登入的管理者身份,檢視管轄範圍內人員或電腦的記錄;不同管理者顯示不同結果。針對人員、日期等組合篩選條件,可指定欄位 (如:記錄時間) 順序排列,檢視多種類記錄或資料。

儀表板

· 自行組合多個小工具 (Widget) 在同一頁面,一次查看各種相關結果,即時掌握資安狀況。

· 管理者登入系統主頁,依管理角色的管轄範圍篩選結果,呈現特定儀表板。

端點事件偵測與反應 (Endpoint Incident Detect and Response (EDR))

· 監視及偵測違規行為,主動反應控制風險。

· 用戶端自動反應包含螢幕浮水印、警示、限制網路傳輸、禁用隨身碟、禁用印表機等;管理者處置包含強制關機、遠端命令等。

· 記錄各種違規事件、反應動作與處置方式。

主動適應安全政策 (Adaptive Policy )

解決靜態規則無法適當應對變動的環境,主動適應政策根據不同環境條件提前,建立不同對應行動計畫,可簡化團隊管理複雜度,並減低對使用者工作的干擾。安全政策依下列類型自動調整

· Role based (使用者): 依登入使用者身分生效,在其他裝置上登入也具備相同政策。

· Location based (地理位置): 所在地理區因基礎建設完善度不一,可能安全性不足等顧慮。

· Host based (電腦政策):固定政策,不受登入使用者身分影響。

· Site Based (跨廠區工作):受工作區管轄,配合當地的安全管理政策。

· Telework (遠距工作):以公司裝置利用 VPN 存取公司的服務、以自用裝置 RDP 連入公司裝置、以公司裝置 RDP 到另一台公司裝置。