忘了要安内
几年前,网络上的黑客圈内盛传,许多公司的来源码遭窃,甚至连知名安全软件的来源码都已经可以公然在网络上买到。这听起来不禁让人有点胆颤心惊,其中的缘由,据说是因为当时无线网络开始盛行,许多企业由于尚未对无线网络安全做出有效的管理,便因此遭到了入侵与破坏。
忘了要安内
不管是安装防火墙、入侵检测系统等等,企业的着眼点往往是放在外部的威胁上,企业网内部的安全管理,就常常被忽略了。从上一段的例子可以了解到,随着网络技术的演进,整个网络世界已与以前大大不同,不再只是单纯的有线环境,网络控管也变得较为困难。
此前,企业习惯于攘外再安内的原因是,以往对于企业网络的攻击主要来自于企业外部,所以企业习惯先部署防御外在威胁的安全架构,如防火墙、入侵检测系统等;然而现今的网络攻击模式,如间谍软件等,都是先在企业内部网络进行档案破坏或密码解译等动作,更有甚者是在之后再将企业内部信息打包送出,这种攻击模式已经变成一种新的趋势。因此,企业网络安全要做得透彻,应该要从连上网络的那一刻便开始注意。
企业控管有三大层面,除了管制使用者能否上网之外,接下来要管制使用者的上网行为,让其符合公司的安全规范;最后一个部份则是分层管理,也就是针对使用者取得内部网络使用授权之后的资源管理,像是每个部门都应该受到不同的权限要求与保障。
零时差攻击所造成的惨剧
所谓的零时差攻击(Zero-Day Attack)意指从安全漏洞发生时到自动攻击开始的时间急遽缩短,由于类似浏览器攻击的模式大幅增加,企业网络常因员工不慎上了恶意网站而导致单机被植入后门程序,企业网络系统也常因此受到影响。
我们见到许多恶意软件作者在“空窗期”(辨识出恶意软件并提供修补程序之前)试图感染计算机,此趋势似乎一直延续至今。即便企业已经部署了所有必要的防火墙、入侵检测系统、病毒防护程序等,此类利用 WMF 弱点的零时差攻击就足以让企业 IT 管理者头痛不已。
越来越多的员工现在都使用笔记本电脑在家工作,或是出差时在旅馆或机场内工作。不过一个非常重要的环节却可能被忽略:公司网络内部的接入控制。因此在员工直接联机到企业内部网络时,审慎控制接入流程 (包括员工的身份认证、检查 PC或笔记本电脑的安全状态等) 是非常重要的。不过,Gartner 最近的报告指出,即使最好的企业也只能控制大约 80% 的网络端点 (员工的笔记本电脑/PC)。
UAC的概念与管理(见下图)
所谓UAC (Unified Access Control,统一接入控制) 是产业级的协同研究成果,可以协助保证每一个接入点在进入网络前皆符合网络安全规范,每个使用者要先取得PC及其它装置的接入权限才能进入特定的网络。UAC的解决方案保证端点设备在接入网络前是完全遵循已建立的安全策略,并确保不符合安全策略的设备无法接入该网络、并设置可补救的隔离区供端点修正网络政策,或限制其可接入的资源。
UAC的架构基本上是由三个主要的组件所组成,包含了Policy Server (政策服务器,即控制器)、Agent(代理器)以及 Enforcer(执行器)。政策服务器(控制器)的作用是检查从网络接入装置转送来的端点安全凭证,判定并给予其适当的接入权限 (如允许进入、隔离或拒绝进入);Agent 的功能在于搜集端点的安全信息与设定等信息,并把这些信息传递到网络接入装置 (Enforcer);Enforcer 则是强制执行的设备,负责阻挡或隔离不符合网络政策的网络行为。
UAC是业界对企业网络更高的安全需求所产生的反应,是一种更为全面性的防护方式,持续监控使用者的联机,而不是单纯假设只要使用者通过网络联机一开始的安全和恶意软件检查,便不会做出其它违反安全规范的行为。基本上,完整而有效的UAC 架构应该要能提供以下几个层面的安全功能:
端点安全状态检查 - 评估联机装置的“安全健康状况”。
零时攻击防御 - 主动预测出潜在威胁,而非只针对已发现的威胁做出反应。
动态执行政策 - 能够实时对网络上的高风险活动立即采取行动。
精确进行隔离与矫正 - 隔离威胁来源并排解疑难。
提供网络情报 - 提供 IT 管理人员进行管理决策所需的信息。
政策决定和政策执行 - 将网络接入对应至企业需求。 (下一页)
有了安全没方便
有了安全没了方便?
病毒与蠕虫不断的透过网络来影响企业营运,因为它而导致企业必须面对停工、恢复所需费用、无止尽的修补、公共责任、收入损失等等。零时差攻击表明了,系统安全更新 (patch) 远跟不上脆弱的系统被攻击的速度,往往系统在安全管理者提供最新的更新码 (patch、病毒码) 前就已经遭受了攻击。UAC 是应对无所不在的攻击模式所产生的防护架构,只是,防堵了因为图一己之便所衍生出的网络安全问题,却有可能因此降低了企业流程的便利性?
企业在部署 UAC或其它安全防护机制时,一定要在安全维护与使用便利性上取得平衡。根据知名研究机构 Current Analysis调查指出,企业在部署安全防护方案时有四点基本的考虑与需求,第一个要求是部署简单,可以快速完成;第二个考虑是开放标准,也就是希望未来新的解决方案要能支持各端点的安全需求,要能整合各种增值应用,如此才不会被特定安全提供商所牵绊住,各项产品才有机会整合成一个完美的防护机制;第三个考虑则是希望除了内部员工之外,包括合作厂商、访客等在进入企业网络范畴之前都能够受到管控;最后一项则是,希望能够分阶段部署这些安全机制与设备,不管是按照部门或是依照网络层的不同来分段设置,也希望能够整合不同时间所设置的安全设备。
接入控制机制除了要针对内部员工之外,也常需针对外在的访客来作出反应。目前,一些先进的科学园区中许多企业在访客携带笔记本计算机进入公司之前,都会要求其填写一份安全防护问卷表,若是填写的问卷表中显示,访客没有符合该公司的安全防护规定,如未安装某些防毒软件等,常会被要求须在特定区域等候负责人员替访客执行笔记本计算机的扫毒动作,确认安全无虞之后才准在企业内部上网。如此的安全维护动作虽然很确实,但却是非常不方便,除了会增加企业 IT 人员的负担外,也耽误到访客的宝贵时间。
平衡方案与未来趋势
有了安全就没了方便,要方便使否就要忽略安全呢?有企业开始使用无代理的方式来平衡便利接入与安全防护这两个难以取舍的网络安全议题(下图)。许多企业开始以较简易而不用直接安装防护机制的方式来做到安全与便利性的并重;譬如当外来访客上网准备进入内网体系时,类似UAC架构中Enforcer(执行器)的机制,若发现访客电脑尚未安装某些防毒程序或是病毒码未更新等违反企业安全规范的状况,便会自动将其导引至某些特定的网页,让其自动可以更新病毒码,或是干脆让其只能接入特定网页,而无法接入企业网络内的资源,这就是系统的矫正以及隔离功能。
随着可选择的网络连结方式增加,企业网络的发展正逐步摆脱传统的思考模式与过去的约束。现在的企业开始认识到,互联网联机的普遍性所带来的弹性和赋予的能力,必须与完善详尽的安全措施达到一个平衡点,以保持企业的优势不受到负面影响。UAC 技术可说是应对此种趋势适时发展出来的技术,不但可解决目前及正在浮现的远程安全接入的需求,还可能成为接入控制机制的公认标准,完全改写目前有关使用者应该如何接入重要企业信息的想法。只是,对于UAC的架构,业界标准尚未完全确定,TNC 等团体的出现,为开放标准的统一拨开的一道曙光,也让企业网络安全的建构,有了更大的未来性。
网友评论