[焦點議題] 資安防護 決戰端點

隨著端點防護越來越受到企業重視，不僅僅防毒軟體廠商推出解決方案，就連閘道端設備商也跳進此市場想要分一杯羹。

然而，在這場軟體商與閘道設備商的大混戰當中，企業能否從中獲得好處？還是仍只能無奈地在眾多資安防護設備中選邊站？

您覺得在您的企業環境當中，哪一塊是最脆弱的部分呢? 多數的人應該都會認同，終端的電腦 (endpoint) 是目前整體企業資安防禦體系中最弱的一環。現在多數企業大多已經在閘道端打造了銅牆鐵壁，佈署了多層的防禦設備，卻忽略了終端電腦的漏洞也可能引起企業內網的大災難。

試想看看，貴公司是否可能會發生某臺電腦因為感染 USB 病毒，而影響了公司內部的其它的電腦? 是否可能因為端點電腦系統有未修復的漏洞而導致攻擊事件? 別以為只是小小的端點影響不了什麼，事實上往往會導致大規模網路癱瘓的情況發生。

此外，隨著個資法即將通過，個人資料保護以及防止機密資料外洩的議題越來越受到重視，要如何避免讓合法的內部使用者將機密資料傳遞出去，也成為重要課題，因此企業在端點佈署 DLP 產品的需求也越來越高。

不只是防毒
由此可知，在企業內部的電腦當中僅安裝防毒軟體已不足以保護其安全了。因此，類似於「端點 UTM」一般的端點防護 (Endpoint Security) 解決方案應運而生。

端點防護除了具備基本的防毒、防駭能力之外，還加入了原本在閘道 UTM 上的功能，例如入侵偵測 (IPS) 、個人防火牆、應用程式控制、內容過濾等。包括賽門鐵克 (Symantec) 、McAfee 、Sophos 、ESET 等以防毒軟體起家的廠商，都推出了這類以防毒引擎為核心，再加上多種安全防護功能與政策規範的端點防護解決方案。

賽門鐵克首席技術顧問蕭松瀛表示，目前企業會想要選擇探用端點防護，主要還是重視防毒的能力與偵測率的高低。但是企業必須瞭解的是，防毒已經是資安防護的最後一道防線，因此所謂端點防護即是在端點中探用階層式的部署。舉例來說針對網路層的攻擊可以先透過端點的入侵偵測 (IPS) 與個人防火牆進行偵測與阻擋，即可擋下約 70%-80% 的攻擊; 若有漏網之魚，不慎讓惡意程式入侵至電腦中，此時可以再透過防毒/防駭工具快速移除; 再透過行為導向的主動式威脅掃描可抵禦初始攻擊威脅與未知威脅等各種型態的威脅; 此外，利用應用程式控制可允許系統管理員控制使用者與其他應用程式存取特定的程序、檔案與資料夾，防止惡意程式蔓延甚至損害端點。

端點防護解決方案在企業內的佈署方式通常是在每一臺端點安裝軟體，並透過一個集中管理平台 (管理伺服器與主控臺) 去監控與暸解每個端點電腦的資安狀況，並派送相關的資安政策到端點中。

「單一」的重要
不過，將這麼多功能同時安裝在終端電腦上，是否會再次重演閘道端 UTM 效能問題呢？過去，由於聞道端 UTM 每一項功能的引擎各自獨立，因此封包需要透過層層檢測與過濾，往往會影響效能，若能透過單一引擎進行全功能掃描，則能加快檢查的速度; 在端點防護也是一樣的道理。不過，現在開道端設備可以用專責的高速處理器來執行檢測、掃描、過濾等動作，但是端點電腦則難有如此高的處理效能，因此，必須要透過單一代理程式 (Agent) 才能簡化檢測流程，不至於拖慢端點的電腦效能。

McAfee 的 Total Protection 就是提供單一代理程式負責收集各項模組 (如防毒/防間諜程式、桌上型電腦防火牆、網站瀏覽安全、主機入侵防禦、網路存取控制、資料外洩防護等) 的日誌 (Iog) , 與管理伺服器溝通，以及執行相關政策等工作。McAfee 技俯經理沈志明強調，除了單一代理程式之外，每一個功能模組也都是非常小的程式，不至於會造成系統的負擔。

賽門鐵克 (Symantec) 的 SEP(SymantecEndpointProtection) 與 Symantec Data LossPrevention 則是不同的代理程式。賽門鐵克首席技俯顧問蕭松瀛表示，兩套產品的解決方案不盡相同，為了增加企業的應用上的彈性，因此切割不同產品線，但賽門鐵克有計畫將兩項產品的部分功能進行整合，但最終是否會整合成單一代理程式，目前則還在評估當中。

蕭松瀛補充，為了避免影響端點的效能，賽門鐵克在各產品間的共用元件 (如 Live Update) ，不會重覆安裝在用戶端電腦中，如此可以降低對端點電腦效能的影響。

除了在端點電腦中安裝單一代理程式之外，單一的主控臺也是很重要的事情。McAfee 技術經理沈志明表示，在端點佈署單項功能產品會增加企業成本及管理的複雜性，想想看，如果防毒/防間諜程式、桌上型電腦防火牆、網站瀏覽安全、主機入侵防禦、網路存取控制、資料外洩防護等功能，每一個都有不同的管理主控臺，甚至是採用不同廠商的解決方案，如此將會大大增加管理的複雜度，不僅效率不彰，也可能不會達到應有的效益。

（…未完，更多精采內容請參閱網路資訊雜誌 222 期 5 月號）