網頁隔離 x 文件清洗 居家辦公也能共享企業級資安

鑑於疫情可能成為新常態，愈來愈多企業允許員工居家辦公(WFH)，然而居家連線缺乏過去辦公室內所具備的各種防護，如防火牆、入侵偵測等，形同直接暴露於外，此可能成為企業資安的破口。或許有人認為可要求員工都運用VPN連回公司再行上網，如此企業的連外頻寬量將暴增，並不務實。

對此，應使用遠端瀏覽器隔離(RBI)提供居家防護，同時以檔案清洗(CDR)為第二線防護，方能維持企業級資安。

居家辦公：用戶成為新網路邊界

「過去企業如同城堡、護城河的層層資安防護已逐漸不適用。」亞太區系統工程總監Boon Peng Lau直陳此為疫情開始後多數企業最擔心的問題，工作連網不再是從辦公室連出，而是從居家連出，企業原有的防護被跳繞過，員工若遭到網路釣魚、社交工程的引誘，點按不明網址、下載不明程式，即可能危害企業整體。

對此可運用Menlo Security的RBI技術，居家工作電腦先連至Menlo Security的公有雲，發出瀏覽某網站網頁的需求，Menlo Security會在其機房以防護容器(Disposable Virtual Container, DVC)建立一個瀏覽器，由其代理居家電腦代為瀏覽網站，並執行與檢查網頁程式，確定無害後，再重新描繪網頁畫面，將畫面結果傳遞給居家工作者，以此確保安全。

採行Menlo Security目前最指標性的案例為美國國防部，美國國防部評估過，所有居家工作者都以VPN連線工作，則現行頻寬只允許20%至30%員工回連，因而美國國防部改用RBI方案，讓所有員工持續保有資安防護。

由於Menlo Security很早投入RBI技術開發，歷經多種經驗磨練，隔離查核後再次呈現的網頁仍保有高忠實度，亦即「保留原生用戶體驗」。同時，為表示對自家方案有信心，Menlo Security特別因此提出100萬美元的惡意軟體保險，歡迎用戶挑戰。

尋找最棒的檔案清洗解決方案

「惡意程式更新改版快速，要防範威脅，隔離與清洗作法，將比特徵行為的查核比對更為穩當。」OPSWAT大中華區技術總監Richard Lee針對愈來愈多的零日攻擊提出更好的防護建言。

檔案清洗的CDR(Content Disarm & Reconstruction)技術顧名思義是解除檔案內容的武裝成份再重新建構，亦即把可能被威脅所利用的部份都先行移除，包含未用及的物件、巨集程式、網址連結等，只保留無害內容。

事實上檔案清洗早於2004年即由北約所提出，初期稱為ExeFilter，歷經多年概念與市場發展，於2016年由Gartner重新將此概念的防護技術定調稱為CDR。

檔案清洗防護手法是否奏效？答案是肯定的，舉兩個實例，Locky勒索軟體是以Word的惡意巨集來啟動，OPSWAT的Deep CDR即能先行移除，避免其發作；又如HAWKBALL後門程式是利用OLE物件的漏洞來開啟後門，同樣運用Deep CDR便能移除OLE物件，使其沒有執行機會。

了解CDR防護機理與實例效用後，企業若要評估選擇CDR方案當考量兩大重點，一是支援檔案格式的多寡，能支援愈多格式愈能為企業帶來防護價值，OPSWAT Deep CDR即支援超過100種檔案格式，同時具有200種以上的檔案格式轉換選項，以及50種以上的清洗設定。

另一則是能否廣泛支援各種佈署情境，現行企業可能以自有資訊機房(On-Premises)為主，或已在資訊基礎建設層面上採行公有雲(Cloud/IaaS)，或已在使用雲端應用程式(SaaS)等，無論是何種佈署型態CDR方案都必須有對應方案。

針對此，OPSWAT在On-Premises上提供MetaDefender Core或MetaDefender ICAP Server兩種Deep CDR方案，而在SaaS上提供MetaDefender Cloud API方案，另外上述方案均可用於Cloud/IaaS上，同時還能使用MetaDefender Core AMI方案。唯有滿足廣泛檔案格式支援、彈性佈建，方能稱為最佳的CDR方案。