只是,面對為數眾多的端點設備,對IT人員而言,在管理方面將是一個頭痛的問題。舉例來說,雖然企業針對使用者的資訊安全防護,制定了安全存取政策(Policy)和控制措施,若是要透過人工的方式,一一部署到使用者端並且強制實施,似乎不太可能,所以必須要尋求一個自動化的方案。不過,在端點上所需的安全防護甚多,如果防毒有一項政策、防火牆有一項政策、遠端連線也有一項政策,需要分開部署或是安裝多重的使用者端代理程式(Agent),對於使用者日常作業的穩定性和方便性,勢必會造成一些影響。因此,尋求一個可以全面整合並管控的端點安全方案,在單一Agent上支援所有的端點安全防護功能,會是比較好的實施辦法。
端點設備面臨的資安威脅
根據日前資安廠商Websense的2008年資料外洩意見調查指出,有高達99%的IT人員非常關心資料外洩的問題,其中有44%的受訪者更認為,企業最重要的資安問題就是「智慧財產權遺失」,其次則為「客戶個人資料遺失」、「財務資料遺失」和「員工個人資料遺失」。另外,也有63%的受訪者認為,由於外接式儲存裝置便於攜帶的特性,是最容易發生資料外洩的首要管道。
企業的端點設備,皆存放著大量的企業資料,一但遭到入侵成功,損失可能難以估計,特別是一些行動裝置如筆記型電腦,一旦離開了企業實體環境,就會有容易遺失或被竊的風險,如果硬碟裡所儲存的敏感資訊,沒有適當的加密防護,就等於是將企業機密雙手奉上給別人。目前,端點設備所面臨的資安威脅與管理挑戰,基本上有以下幾種:
- 惡意程式入侵 - 惡意程式像是病毒、蠕蟲、間諜程式的攻擊已愈來愈頻繁,尤其是駭客可跳過企業對外的資安防護,直接透過網頁瀏覽方式,讓使用者不小心下載惡意程式,直接入侵端點設備。
- 遠端連線竊聽與儲存媒體遺失 - 隨著行動使用者的增加,其所使用的行動設備與儲存媒體,在離開企業之後,會面臨遠端存取時的安全問題,企業必須要有可靠的身分驗證與資料安全傳輸機制,並針對行動裝置上的硬碟和USB儲存媒體,做好適當的管控與防護。
- 端點難以集中管理 - 企業內眾多的端點裝置,要如何進行統一的資安政策部署,並且增加資安管理的可見度,對於IT人員來說難度甚高,除了會增加管理成本支出外,更有可能影響使用者系統的穩定與效能。
為了因應以上的威脅與挑戰,企業可考慮部署端點安全解決方案,藉由全面性的安全防護來因應資安問題,不過在選擇評估時,建議需考慮以下幾點:
- 能偵測並阻擋惡意程式 - 端點必須具備防毒、防間諜軟體、防火牆等功能,並可透過中央控管方式,提高端點的可見度,也就是說管理人員有能力針對所有端點進行定期掃瞄,並且可掌握有哪些設備已經中了毒,還能夠針對端點設備的現況,提出詳細的安全報告。
- 可加密保護敏感性資料 - 行動裝置已經愈來愈輕薄短小,若是一不小心遺失了設備,而且資料本身並沒有保護措施,那麼重要的資訊就會立即面臨遭到揭露或存取的風險。保護端點資料安全的控制措施,應包括了磁碟加密、外接式儲存媒體加密和周邊連接埠控管等。目前針對資料的加密方式,可以對儲存媒體進行單一檔案加密、資料夾加密,或是整顆硬碟加密。另外,控管周邊連接埠的好處是,可防止資料被複製到外接式的儲存媒體中,也可同時防止像是USB病毒感染,避免惡意程式透過這些管道直接滲透至企業內部之中。
- 統一部署安全政策 - 在端點部署了安全政策,即可針對連線設備做好網路存取行為的管理,例如在連線之前可要求必須更新病毒碼和安裝最新的系統修補檔,並且限制其執行不被允許的應用程式,像是P2P軟體等。另外,針對遠端連線的使用者,透過安全政策的要求,可以檢查系統狀態是否安全,並且在安全的傳輸通道下,才允許他們連回企業的內部網路。
- 確保遠端連線安全 - 端點安全方案必須確保遠端設備能使用加密的安全通道,才可進行資料的傳輸,例如使用者在咖啡廳、機場等地使用公開的無線網路時,應透過VPN的運用,來避免連線過程可能被竊聽而導致資料外洩。
- 提供中央控管機制 - 具有中央控管機制,將可大幅降低IT人員在管理時的負擔,除了能協助派送必要的軟體或政策更新之外,還能夠即時監控、掌握目前的端點安全情況。對管理者而言,提供清晰的報表也是很重要的,因此良好的端點安全方案,應該要能協助管理人員簡化對於安全事件的管理。
- 減少對使用者的影響 - 一項新的安全控管措施在佈署時,最重要的就是要避免影響使用者現有的工作,降低對於使用者作業系統的衝擊。因此,好的端點防護方案應避免佈署多重的Agent,以防止系統資源過度消耗,造成系統的不穩定,雖然安全控制措施多少都會有一些效能的影響,但是應控制在正常運作的範圍之內。
在端點安全方案出現之前,有許多企業已經部署了單一的資安防護措施,但是彼此之間卻缺少整合管理的能力,因此,目前的端點安全方案,最大的優勢就是可以進行安全防護的一致性整合,提供企業更快速簡便的管理方法。
如果企業已開始評估導入端點安全方案,對於產品的功能、建置時程、人員訓練,一定要記得詢問協助建置的廠商是否有完整規劃,尤其要考慮到可擴充的問題。因為事實上,如果有些產品功能目前並沒有迫切的需求,就不需要一次全部都導入,而是可採取適當的配套方法,先針對目前的需求來循序進行。
舉例來說,端點安全方案提供了全面性的防護功能,但是若現在最需要的是針對防毒、遠端連線安全、集中式管理所有端點設備,那麼防止惡意程式、個人防火牆、遠端連線VPN、中央政策控管就是該先行規劃的項目,至於硬碟加密、周邊控管、應用程式控管等功能,只要確認廠商有提供可擴充的方案,即可留待有需求時再行導入。(本文刊載於2008年10月號網管人雜誌)
沒有留言:
張貼留言