羅健豪
許多企業主管都發現到,明明已經建置了相當完整的防護體系,為什麼在企業內部還是有病毒或是木馬程式到處肆虐。其實這項問題的答案相當簡單,雖然已經在閘道端建立了堅固的防禦體系,卻忽略掉了內部網路中是否有其他的後門可供潛入,這就像是雖然把大門關得緊實,卻忘記還有落地窗沒有鎖上一樣。
當然,在每一臺電腦裡面都安裝防護軟體可以得到一定的功效,但若沒有一定的集式管理平臺,管理者並不會知道目前企業內部發生什麼樣的攻擊事件或狀況,更遑論要如何提前因應各項威脅。
並不是安裝各種防護軟體,就代表達成防禦終端的目標,根據 IDC(國際數據公司)所提出的意見,資訊安全除了網路與資料安全之外,應該要增加「終端防禦(Endpoint Security)」的項目。但隨著所關注的要點不同,終端防禦在不同領域也有不同的看法,無論是 PC 、筆記型電腦、 PDA 或是手機等各項終端設備,都需要有一定的安全機制,而無論是防毒、入侵偵測、個人防火牆與內容過濾等,都只是技術方面的安全,事實上,終端防禦架構中,最重要的並不是具備多少防護機制,而在於該怎麼管理那些項目。
本文目錄
集中管理為首要
不可諱言,每個企業主管都希望屬於公司的所有資產都可以納入管轄範圍之內,過去在缺乏完整的管理平臺時,雖然主管可以得知終端設備的部分狀態,但卻無法得知相關的資安訊息,在終端防禦部分最重要的機制,就是建構一套完整的集中管理平臺。
該平臺不但需要收集終端設備的各項軟硬體資訊之外,還要集中各項如病毒攻擊次數、掃瞄狀態或病毒碼版本等資安相關報告,但最主要的工作則是將企業相關政策規範,派送到各個終端裝置上,同時藉由安裝於其中的代理程式協助管理,避免使用者無意間觸犯公司管理政策而不自知。
防護之外,更要管制
過去已經有多家防毒軟體廠商推出具備集中管理平臺的企業級防毒系統,但對於這些解決方案而言,雖然可以防護病毒、蠕蟲、木馬及間諜程式等惡意程式,但也只能過濾已知的各項安全威脅,而不能阻擋未知的攻擊。
後續版本逐漸加上個人防火牆、入侵偵測及內容過濾等機制,希望能夠透過這些技術,強化終端裝置連接網路時的安全性。不過這些雖然可以協助終端設備防堵外界的各項威脅,但僅能被動地防護各項入侵,不能主動的阻止使用者行為。
但事實上,現今大多數危害的來源,其實不是外界的惡意入侵,而是使用者不當行為所導致。因此,現在的終端防禦要求的不單只是提供各項防禦技術,更重要的是如何協助企業管理使用者行為,避免使用者嘗試存取不當資源或網站。
目前的終端防護解決方案,都包含各項內容過濾機制與網路存取管理技術,並且藉由整合企業內部政策管理設備,避免使用者執行不當的應用程式或連結惡意網站。這樣的作法可以防止使用者從外部網路引進各種有害程式,確保內部網路安全。
不過由去年多起事件可以得知,木馬或間諜程式已經不完全是資料外洩的主因,取而代之的是使用者不當存取資訊,甚至是有意洩漏造成的。而如何進一步確保企業機密資訊由終端裝置外洩,就成為新一代終端防禦的課題。
我們綜合各個不同領域對於終端防禦的看法,其實可以為終端防禦下一個較為完整的定義:具備企業內部集中式管理平臺,可整合各項政策與資安規範,藉由代理程式控管使用者的行為與周邊裝置,同時利用不同防禦技術避免各種網路攻擊,進而確保終端設備的安全,避免資料外洩。
本次參與測試的廠商包括 Check Point 、 ESET 、 Kaspersky 、 McAfee 、 Symantec 與 Trend Micro,其解決方案架構皆為透過集中管理伺服器與主控臺,管理網路中已安裝用戶端軟體或代理程式的電腦,藉此強化管理效能及設備安全性。
為了測試終端防禦解決方案的安裝與設定,我們使用 VMware Workstation 架設虛擬環境,並安裝 1 臺 Windows Server 2003 提供 DHCP 伺服器及 AD 伺服器的服務,另外安裝 2 臺 32 位元 Windows Vista 及 2 臺 Windows XP 作為用戶端電腦。
所有的用戶端電腦都加入 AD 網域之中,各終端防禦解決方案的伺服器與主控臺除特殊需求之外,都安裝在 Windows Server 2003 上,並整合 AD 網域以直接派送用戶端代理程式。整個安裝過程以所有用戶端能夠完成安裝,並在管理主控臺出現後結束。
……未完(更多內容請參閱網路資訊雜誌 2009 年 1 、 2 月號 206 、 207 期)