呂宗翰網際網路的普及與發達,不僅縮短人與人的距離,也大大的改變了企業的生存型態。網路成為了企業與客戶聯絡、交易的主要管道,在現在這個時代,幾乎沒有企業能夠不使用網路而能生存下來。
但就在網路成為企業命脈的同時,伴隨而來的資安問題也越來越嚴重。不論是大企業或中小企業,都有其視為生存命脈的重要資料,如廠商或客戶的資料,研發部門的開發資料或是重要的商業機密等等。任何一家企業,都不希望這些資料遭別人竊取盜用。在一些新聞大量報導某些企業的客戶資料遭駭客入侵竊取或破壞等事件後,資訊安全這個議題在企業間夯了起來,而「窮不能窮教育,省不能省安全」也終於不再是口號,逐漸受到重視。
企業的安全防護,可分為閘道端的防護及各端點的防護。多數企業會在閘道設置防火牆管控流量,並且在各端點安裝防毒軟體。但所著重的仍是在各端點的管控,較少針對閘道端的防護著墨。
傳統的防火牆多半隻能針對來源、目的端 IP 以及 TCP 或 UDP 的 Port Number 做為管控的對象。隨著網路攻擊手法的翻新及惡意程式的進化,一些病毒或木馬會透過標準的 80 port 去下載新的病毒變種或是將資料傳送出去,又如垃圾郵件循正常的 SMTP 協定進入企業內部等等,僅使用防火牆做為閘道端防護已不足以維護企業所需的網路安全。
企業為了本身網路的安全,可能需要閘道端的防毒設備 (Anti-Virus) 預先過濾透過網際網路傳輸的惡意程式。為了防護網路上駭客的入侵,需要入侵偵測防禦系統 (IPS) 。為了防堵垃圾郵件,需要防垃圾郵件系統 (Anti-SPAM) 。為了避免員工使用 P2P 軟體耗用公司網路頻寛,可能需要頻寛管理 (Bandwidth Manage) 。為了提供在外員工可以安全的透過網路存取公司內部資源,可能需要虛擬私人通道 (VPN) 等等……
大型企業通常人力資源較為充足,同時為避免單一設備失誤所造成的影響,通常會對上述的需求分別設置不同的專門硬體或軟體設備。但中小企業人力通常較為不足,如果需要分別管理多項設備,恐怕會使得網路管理人員的負擔太重。
但誠如先前所言,所有的企業都需要安全的防護。因此,集上述功能於一身的整合式威脅管理設備 (UTM) 便成為了中小企業在閘道端防護的首選。
過去由於 UTM 設備的效能不佳以及功能不強為人詬病,但現在硬體的效能大幅提昇,UTM 效能不彰的問題己獲改善。而在各家廠商投入功能改善研發的努力下,各項功能不再只是「有」,也漸漸達到「好」。
閘道端使用 UTM 就如同大門的管理員,可說是端點防護的先期過濾。但基於閘道端仍需注重效能的考量,在防護的政策上與端點防護著重的要點也不同。一般來說,閘道端的防毒通常是根據企業最常用的五種通訊協定 HTTP 、 FTP 、 SMTP 、 IMAP 、 POP3 等執行病毒的掃瞄工作,與端點是以程式或檔案為主的防護不同。
根據調查 80% 以上的攻擊其實來自企業內部本身,例如內部有電腦中了木馬程式,不斷的將內部的資訊傳送給遠端的駭客,或是成為殭屍網路的一員,成為攻擊別人網路的跳板。因此閘道端的防護不僅僅需放眼外對內的防護,其實更應注重在內對外的管理。
以本人先前去服務的某公司為例,該公司雖然有佈署端點防護,卻沒有在閘道端做好管控。員工每天會收到大量的垃圾郵件,真正重要的郵件夾雜其中常被誤刪。郵件伺服器由於員工設定太簡單的密碼而被駭客入侵,當作發送垃圾郵件的跳板而不自覺。沒有入侵偵測與防禦系統,網頁被駭客植入惡意程式碼。內部員工使用 P2P 軟體下載,除了導致頻寛被耗用,還常常下載到夾帶有惡意程式的檔案等等,網管人員每天面對的就是一場惡夢。
所幸後來將閘道端的設備由原本傳統的防火牆改為 UTM,並針對提供外部存取的伺服器啟用入侵偵測防禦,防止伺服器被入侵或破壞。啟用垃圾郵件防護,過濾不必要的郵件,讓員工不再每天收到的都是不必要的垃圾信。再加上頻寛管理及使用者身份驗證的機制,使公司的網路除能保持順暢達到最大的效能外,在有異常的流量發生時,管理人員也可以快速的找出問題來源。
由此案例可知,在現在的網路環境中,只注重端點防護並不能保障企業網路環境的安全。必須要閘道與端點同時配合,才能達到企業真正的安全。
(本文由奕瑞科技企業服務組提供)