[觀點] 從資安威脅挑戰談端點安全防護

所謂的端點設備是泛指所有具備運算功能，並且會連接企業網路的桌上型電腦、筆記型電腦、PDA等手持裝置，以及具備無線網路、儲存媒體、可程式化控制的相關系統裝置等。在企業之中，一般使用者的電腦系統是比較容易受到惡意入侵的管道，因為駭客不需要去和企業的資安防護系統硬碰硬，就可以透過Web或是email直接滲透到使用者端，取得其所想要的資訊，而且每當有端點設備，在離開了企業的資安防護範圍之後，所面臨的資安風險更會大幅增加。

只是，面對為數眾多的端點設備，對IT人員而言，在管理方面將是一個頭痛的問題。舉例來說，雖然企業針對使用者的資訊安全防護，制定了安全存取政策(Policy)和控制措施，若是要透過人工的方式，一一部署到使用者端並且強制實施，似乎不太可能，所以必須要尋求一個自動化的方案。不過，在端點上所需的安全防護甚多，如果防毒有一項政策、防火牆有一項政策、遠端連線也有一項政策，需要分開部署或是安裝多重的使用者端代理程式(Agent)，對於使用者日常作業的穩定性和方便性，勢必會造成一些影響。因此，尋求一個可以全面整合並管控的端點安全方案，在單一Agent上支援所有的端點安全防護功能，會是比較好的實施辦法。

端點設備面臨的資安威脅

根據日前資安廠商Websense的2008年資料外洩意見調查指出，有高達99％的IT人員非常關心資料外洩的問題，其中有44％的受訪者更認為，企業最重要的資安問題就是「智慧財產權遺失」，其次則為「客戶個人資料遺失」、「財務資料遺失」和「員工個人資料遺失」。另外，也有63％的受訪者認為，由於外接式儲存裝置便於攜帶的特性，是最容易發生資料外洩的首要管道。

企業的端點設備，皆存放著大量的企業資料，一但遭到入侵成功，損失可能難以估計，特別是一些行動裝置如筆記型電腦，一旦離開了企業實體環境，就會有容易遺失或被竊的風險，如果硬碟裡所儲存的敏感資訊，沒有適當的加密防護，就等於是將企業機密雙手奉上給別人。目前，端點設備所面臨的資安威脅與管理挑戰，基本上有以下幾種：

1. 惡意程式入侵 - 惡意程式像是病毒、蠕蟲、間諜程式的攻擊已愈來愈頻繁，尤其是駭客可跳過企業對外的資安防護，直接透過網頁瀏覽方式，讓使用者不小心下載惡意程式，直接入侵端點設備。
2. 遠端連線竊聽與儲存媒體遺失 - 隨著行動使用者的增加，其所使用的行動設備與儲存媒體，在離開企業之後，會面臨遠端存取時的安全問題，企業必須要有可靠的身分驗證與資料安全傳輸機制，並針對行動裝置上的硬碟和USB儲存媒體，做好適當的管控與防護。
3. 端點難以集中管理 - 企業內眾多的端點裝置，要如何進行統一的資安政策部署，並且增加資安管理的可見度，對於IT人員來說難度甚高，除了會增加管理成本支出外，更有可能影響使用者系統的穩定與效能。

端點安全的部署建議

為了因應以上的威脅與挑戰，企業可考慮部署端點安全解決方案，藉由全面性的安全防護來因應資安問題，不過在選擇評估時，建議需考慮以下幾點：

• 能偵測並阻擋惡意程式 - 端點必須具備防毒、防間諜軟體、防火牆等功能，並可透過中央控管方式，提高端點的可見度，也就是說管理人員有能力針對所有端點進行定期掃瞄，並且可掌握有哪些設備已經中了毒，還能夠針對端點設備的現況，提出詳細的安全報告。

• 可加密保護敏感性資料 - 行動裝置已經愈來愈輕薄短小，若是一不小心遺失了設備，而且資料本身並沒有保護措施，那麼重要的資訊就會立即面臨遭到揭露或存取的風險。保護端點資料安全的控制措施，應包括了磁碟加密、外接式儲存媒體加密和周邊連接埠控管等。目前針對資料的加密方式，可以對儲存媒體進行單一檔案加密、資料夾加密，或是整顆硬碟加密。另外，控管周邊連接埠的好處是，可防止資料被複製到外接式的儲存媒體中，也可同時防止像是USB病毒感染，避免惡意程式透過這些管道直接滲透至企業內部之中。

• 統一部署安全政策 - 在端點部署了安全政策，即可針對連線設備做好網路存取行為的管理，例如在連線之前可要求必須更新病毒碼和安裝最新的系統修補檔，並且限制其執行不被允許的應用程式，像是P2P軟體等。另外，針對遠端連線的使用者，透過安全政策的要求，可以檢查系統狀態是否安全，並且在安全的傳輸通道下，才允許他們連回企業的內部網路。

• 確保遠端連線安全 - 端點安全方案必須確保遠端設備能使用加密的安全通道，才可進行資料的傳輸，例如使用者在咖啡廳、機場等地使用公開的無線網路時，應透過VPN的運用，來避免連線過程可能被竊聽而導致資料外洩。

• 提供中央控管機制 - 具有中央控管機制，將可大幅降低IT人員在管理時的負擔，除了能協助派送必要的軟體或政策更新之外，還能夠即時監控、掌握目前的端點安全情況。對管理者而言，提供清晰的報表也是很重要的，因此良好的端點安全方案，應該要能協助管理人員簡化對於安全事件的管理。

• 減少對使用者的影響 - 一項新的安全控管措施在佈署時，最重要的就是要避免影響使用者現有的工作，降低對於使用者作業系統的衝擊。因此，好的端點防護方案應避免佈署多重的Agent，以防止系統資源過度消耗，造成系統的不穩定，雖然安全控制措施多少都會有一些效能的影響，但是應控制在正常運作的範圍之內。

循序漸進來解決問題

在端點安全方案出現之前，有許多企業已經部署了單一的資安防護措施，但是彼此之間卻缺少整合管理的能力，因此，目前的端點安全方案，最大的優勢就是可以進行安全防護的一致性整合，提供企業更快速簡便的管理方法。

如果企業已開始評估導入端點安全方案，對於產品的功能、建置時程、人員訓練，一定要記得詢問協助建置的廠商是否有完整規劃，尤其要考慮到可擴充的問題。因為事實上，如果有些產品功能目前並沒有迫切的需求，就不需要一次全部都導入，而是可採取適當的配套方法，先針對目前的需求來循序進行。

舉例來說，端點安全方案提供了全面性的防護功能，但是若現在最需要的是針對防毒、遠端連線安全、集中式管理所有端點設備，那麼防止惡意程式、個人防火牆、遠端連線VPN、中央政策控管就是該先行規劃的項目，至於硬碟加密、周邊控管、應用程式控管等功能，只要確認廠商有提供可擴充的方案，即可留待有需求時再行導入。(本文刊載於2008年10月號網管人雜誌)