網頁隔離 x 文件清洗 居家辦公也能共享企業級資安

鑑於疫情可能成為新常態,愈來愈多企業允許員工居家辦公(WFH),然而居家連線缺乏過去辦公室內所具備的各種防護,對此,應使用遠端瀏覽器隔離(RBI)提供居家防護,同時以檔案清洗(CDR)為第二線防護,方能維持企業級資安。

鑑於疫情可能成為新常態,愈來愈多企業允許員工居家辦公(WFH),然而居家連線缺乏過去辦公室內所具備的各種防護,如防火牆、入侵偵測等,形同直接暴露於外,此可能成為企業資安的破口。或許有人認為可要求員工都運用VPN連回公司再行上網,如此企業的連外頻寬量將暴增,並不務實。

對此,應使用遠端瀏覽器隔離(RBI)提供居家防護,同時以檔案清洗(CDR)為第二線防護,方能維持企業級資安。

居家辦公:用戶成為新網路邊界

「過去企業如同城堡、護城河的層層資安防護已逐漸不適用。」亞太區系統工程總監Boon Peng Lau直陳此為疫情開始後多數企業最擔心的問題,工作連網不再是從辦公室連出,而是從居家連出,企業原有的防護被跳繞過,員工若遭到網路釣魚、社交工程的引誘,點按不明網址、下載不明程式,即可能危害企業整體。

對此可運用Menlo Security的RBI技術,居家工作電腦先連至Menlo Security的公有雲,發出瀏覽某網站網頁的需求,Menlo Security會在其機房以防護容器(Disposable Virtual Container, DVC)建立一個瀏覽器,由其代理居家電腦代為瀏覽網站,並執行與檢查網頁程式,確定無害後,再重新描繪網頁畫面,將畫面結果傳遞給居家工作者,以此確保安全。

圖1:Menlo Security隔離安全防護平台示意圖。(圖片來源:Menlo Security)
圖1:Menlo Security隔離安全防護平台示意圖。(圖片來源:Menlo Security)

採行Menlo Security目前最指標性的案例為美國國防部,美國國防部評估過,所有居家工作者都以VPN連線工作,則現行頻寬只允許20%至30%員工回連,因而美國國防部改用RBI方案,讓所有員工持續保有資安防護。

由於Menlo Security很早投入RBI技術開發,歷經多種經驗磨練,隔離查核後再次呈現的網頁仍保有高忠實度,亦即「保留原生用戶體驗」。同時,為表示對自家方案有信心,Menlo Security特別因此提出100萬美元的惡意軟體保險,歡迎用戶挑戰。

尋找最棒的檔案清洗解決方案

「惡意程式更新改版快速,要防範威脅,隔離與清洗作法,將比特徵行為的查核比對更為穩當。」OPSWAT大中華區技術總監Richard Lee針對愈來愈多的零日攻擊提出更好的防護建言。

檔案清洗的CDR(Content Disarm & Reconstruction)技術顧名思義是解除檔案內容的武裝成份再重新建構,亦即把可能被威脅所利用的部份都先行移除,包含未用及的物件、巨集程式、網址連結等,只保留無害內容。

圖2:OPSWAT Deep CDR技術能移除檔案中可能惡意執行的部份。(圖片來源:OPSWAT)
圖2:OPSWAT Deep CDR技術能移除檔案中可能惡意執行的部份。(圖片來源:OPSWAT)

事實上檔案清洗早於2004年即由北約所提出,初期稱為ExeFilter,歷經多年概念與市場發展,於2016年由Gartner重新將此概念的防護技術定調稱為CDR。

檔案清洗防護手法是否奏效?答案是肯定的,舉兩個實例,Locky勒索軟體是以Word的惡意巨集來啟動,OPSWAT的Deep CDR即能先行移除,避免其發作;又如HAWKBALL後門程式是利用OLE物件的漏洞來開啟後門,同樣運用Deep CDR便能移除OLE物件,使其沒有執行機會。

了解CDR防護機理與實例效用後,企業若要評估選擇CDR方案當考量兩大重點,一是支援檔案格式的多寡,能支援愈多格式愈能為企業帶來防護價值,OPSWAT Deep CDR即支援超過100種檔案格式,同時具有200種以上的檔案格式轉換選項,以及50種以上的清洗設定。

另一則是能否廣泛支援各種佈署情境,現行企業可能以自有資訊機房(On-Premises)為主,或已在資訊基礎建設層面上採行公有雲(Cloud/IaaS),或已在使用雲端應用程式(SaaS)等,無論是何種佈署型態CDR方案都必須有對應方案。

針對此,OPSWAT在On-Premises上提供MetaDefender Core或MetaDefender ICAP Server兩種Deep CDR方案,而在SaaS上提供MetaDefender Cloud API方案,另外上述方案均可用於Cloud/IaaS上,同時還能使用MetaDefender Core AMI方案。唯有滿足廣泛檔案格式支援、彈性佈建,方能稱為最佳的CDR方案。

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416