Forescout:CARTA資安策略架構 IT/IoT/OT設備持續的可視性與風險評估
「為何企業使用了各種防護設備與工具後仍然無法有效防禦?為何以前的防禦方式開始失效?其實問題均指向無法做到內網持續性風險評估與變化監控,達到持續性風險揭露,進而協助企業內網資安風險持續性改善。」Forescout台灣區總經理張恩綾指出今日資安防禦的一大癥結。

張恩綾進一步解釋,許多非傳統裝置飛速成長,然而這些裝置無法安裝傳統資安防護所用的代理程式,導致防護大幅失效;其次,過去的周邊防禦也不再有效,周邊存有許多漏洞,使得網路釣魚、內部憑證被濫用;三是BYOD、IoT風氣的興起使企業難以如過去般完全掌握裝置的設定配置。
其他資安挑戰也包含威脅不斷在進化、防護配置日益複雜卻缺乏整合等,對於日益嚴峻的資安挑戰張總經理引用Gartner副總裁分析師Neil MacDonald的建言:在資安的世界裡所有狀態不是靜止的,唯有持續性監控才能掌握風險。Gartner也針對此提出其資安策略性觀點CARTA。

CARTA在於實現持續監控、時時風險盤點、對威脅即時反應、即時控制的管理程序,內容包含預測與預知威脅、預防攻擊、偵測事件以及應對事件等,各程序為循環相續、持續改善精進。
以IoT資安防護為例,過往以NAC白名單綁定管理的作法已無法掌握管理風險,必須從想法上開始改變,運用Proactively Protect IoT Devices超前佈署防禦機制,方能降低風險或然率及風險衝擊度。
另也運用IoT Security with Forescout方案,建立起零信任資安管控架構,讓前述的Proactive Protection超前佈署與Adaptive Mitigation持續監控與降低風險,兩者密切合作、循環精進。
進一步的,Forescout的方案可以在不使用代理程式的情況下即時發現與分析連上企業網路的設備,提供管理人員設備的深度能見度(可視性),並持續監測設備的連線狀態。更具體而言,Forescout可探索到連上線的裝置設備,而後對裝置設備分門別類,進而持續評估評量其資安風險威脅的或然率與衝擊度。

除實現CARTA外Forescout平台也支援建立零信任資安,張恩綾建議以四步驟來建立。首先是建立設備類別的專屬網段,進而能自動辨識類別並矯正至正確歸屬;其次是監督各區塊間的網段流量,對異常或非法流量發出告警;三是模擬實施控管後的狀態,透過評估找出最佳管制方案;最後運用多重管制手段使內網能構築出聯合防禦機制。
進一步的,若將上述的需求對應至Forescout的防護方案上則有eyeSight、eyeSegment、eyeControl,以及eyeExtend等。透過eyeSight可以揭露風險因子,並進一步從業務邏輯層面監看流量,而後eyeSegment能依據設備功能建立不同的設備網段,並依區塊進行存取等細部管理,至於eyeControl則能時時監控動態,並在危急時立即矯正應對。
最後張恩綾用數字成績證明Forescout是實現IoT/OT防護的最佳選擇,包含有3,750家企業用戶且持續增長、現有1.2億個設備特徵且持續成長的特徵資料庫、8億個以上的已售出設備授權數,以及50%的用戶不需要代理程式也能實現堅實防護。換言之,Forescout是目前業界最廣泛大量佈署與被使用之設備的風險管控方案,值得青睞與信賴。