防毒软件可说是多数企业IT应用环境中最基本的资安防护建置,从以往避免破坏性病毒大肆感染,发展至今为防堵黑客攻击并降低资料外泄风险,早期以病毒扫描引擎为核心的解决方案,也陆续增添软件式的防火墙与入侵防御侦测、USB设备、网页与应用程序存取等控管能力,逐渐完善端点安全(Endpoint Security)的防护机制。
如今随着移动化设备加入,端点应用环境不再只有桌上型计算机、笔电,同时除了以Windows为主的系统平台外,新兴的iOS、Android也开始被纳入成为端点安全防护不可或缺的一环。趋势科技技术总监戴燊即指出,企业用户对于以防毒软件为核心的资安机制,近年来的询问重点较以往大不相同。过去关注的焦点大致不脱离病毒的侦测率更高、占用系统资源更少,内建分析报表以掌握病毒或恶意程序感染途径等,现今企业更在意的却是移动设备应用可能为企业带来资安风险。
“主要原因是来自于员工私人的移动设备开始加入,增加企业应用环境复杂度,过去认为只要将黑客攻击阻挡在外部的思维已逐渐失效,现在必须假设外在的威胁一定会进入到企业内部,所以端点防护是否有能力进行第二次的防护,变得更加重要。”戴燊说。
中芯数据技术顾问许志成观察,以现在企业应用环境来看,多数朝向BYOD应用模式,除了既有桌上型计算机或笔电,外勤业务还有平板计算机、智能型手机,基本至少提供接取公司邮件系统来收发邮件,一旦终端设备被恶意程序渗入或遗失,个人账号资料被窃,极可能引发后续资料外泄危机,对此企业势必须审慎因应。
肩负APT清除工作
赛门铁克首席技术顾问张士龙亦观察到,客户的思维确实已随着信息安全演进而改变。“以近年来最热门的进阶持续性渗透攻击(Advanced Persistent Threat,APT)事件为例,端点安全业者常被客户询问是否具有防护与证明遭受攻击的能力,于是传统以特征码比对为基础的侦测防御技术,自然必须进一步演进,朝向更进阶的主动式安全防护发展。”
尤其是移动设备应用行为加入后,现代工作者随处皆可办公,而目前APT攻击防御机制较多是由闸道端提供,在公司内部网络确实可发挥,若离开内网又该如何防护?张士龙认为,端点安全要防御APT攻击,不能只采用传统特征码辨识技术,毕竟APT攻击手法中已具备可规避现有防毒软件侦测,较有效方式是搭配档案信誉评等技术来协助。
“多数APT攻击发动管道会利用邮件内的恶意连结或附加档案,当使用者点选执行时,赛门铁克的端点防护会先针对该档案分析全球的使用状态,若发现该档案是全球首见,即可归类为高风险性的档案予以拦阻,并传送至云端平台,执行更进阶的分析。”张士龙说。现阶段因应APT攻击行为,只仰赖闸道端绝对不够,毕竟端点可说是信息安全防护最后的堡垒,才可控制感染避免持续扩大危害范围。
戴燊认为,完整处理APT攻击事件的程序,需包含辨识、拦截、清除,三阶段缺一不可。其中端点安全主要是扮演接受指令的角色,至于辨识未知型攻击程序的工作,必须交由网络闸道端、邮件系统、网页服务等系统上建置防护机制来进行侦测,再把可疑的档案交由APT解决方案提供的沙箱(Sandbox)技术模拟执行,完成分析作业后产出的Log档案,可进一步透过API介接到防火墙或入侵防御侦测等资安设备执行拦截,该Log档也会同时回报云端安全平台以制作病毒码,再发布更新至各端点引擎,才得以扫描并清除所有攻击程序。
单一界面配置与监看
包含在端点安全防护范畴中的服务器端防护,则是随着服务器虚拟化应用发展被企业广为接受,不论规模大小皆有采用,端点安全防护也必须跟进支持虚拟化,提供可架构于Hypervisor上的部署方式,目前较常见的做法是整合VMware vShield Endpoint来实作。湛扬科技企业产品技术支持中心工程师陈政安表示,卡巴斯基在今年新版本中会进一步提供Hyper-V、Xen平台支持,不单只有系统防护,也可达到周边应用控制,即类似于实体防护,不致因为架构在虚拟环境,就无法进行完整防护控管。此外,藉由卡巴斯基安全管理中心(Kaspersky Security Center)即可进行统一配置与管控,IT管理者不需额外学习操作立即可用。
“其实端点安全防护发展至今已相当成熟,市场上可见的方案大多已涵盖用户端、服务器、移动设备,可提供的管控机制亦差异性不大,唯有整合各式端点的管理与操控界面,以降低管理复杂度与学习成本,会是专业厂商持续发展的方向。”湛扬科技业务处副总经理刘忠瑞观察。 不论异质设备或系统,都采用单一平台、单一政策配置与套用,才能简化企业IT应用环境日渐复杂下控管作业。俊端科技资安事业处技术与客服部技术支持工程师韩宗延举例,G Data的端点防护方案中内建的策略管理器机制,即设计提供USB连接埠管控、上网时间管控、网页浏览行为、应用程序等简易配置政策,透过独立的管理控制台统一发送与监控端点。
云端跨平台防护兴起
除了采主从式架构(Client-Server)的企业端点安全防护,市场上亦有提供以云端服务为基础的机制,近期由中芯数据代理的Webroot即为其一。许志成表示,采用云端服务控管的优势即在于不论终端平台,只要连接网络皆可纳入管控,支持程度会较传统架构来得更广泛。
“不论是桌面端、移动设备、虚拟或实体服务器,只要安装大约700K的代理程序,不须跟作业系统元件绑在一起,即可在背景撷取端点的档案指纹(Fingerprint)信息,传送至架设在Amazon云端平台的数据库进行比对,除了可实时回应与拦阻外,若档案在执行过程中出现连线至恶意网站行为,也会被Webroot云端系统发现并阻挡。相较于传统端点安全防御,其实时性更高、占用资源更少。”许志成说。毕竟恶意程序已不仅针对单一系统的渗透感染,甚至可达到跨平台攻击,运用云端服务提供的数据库比对与沙箱分析机制,无须导入各式不同控管方案即可建立防护,不失为贴近现代化企业应用环境的方案之一。
推荐经销商