精品科技資安顧問陳伯榆指出,並非所有應用程式都可觸及到受保護的資料夾,就像是近來許多廠商在談的軟體白名單,依正向表列方式執行存取。儘管白名單機制由來已久,但隨著應用情境的轉變增加許多細微設定,以避免原本以為是離線使用的軟體工具,實際上在背景執行時卻是具備連網能力;或是作業系統本身的通訊協定,可被利用來傳送檔案。SVS模組在建構受保護的資料夾時,不只是正向表列可執行存取的白名單,同時也禁止連網的通訊行為。
「事實上,資安的有效性,取決於雙方技術的不對稱程度,若防守方只有二成功力,資料竊取者即有八成機會可得逞。儘管資安工具無法達到百分之百的防護,但是對於已知的攻擊型態,仍必須想辦法盡力守護。或許企業會納悶,為什麼有那麼多種類的資安產品,仍舊無法阻止資料外洩事件發生,主要原因仍舊是對於已知攻擊的防禦措施不夠完整所導致。」陳伯榆強調。
善用基本資安技術即可具備防護力
通常公司內部最敏感的角色,不外乎新進員工與即將離職的員工,皆會被特別關注是否出現大量刪除、複製檔案的行為,也就是針對數量的偵測。其實企業很清楚機敏資料是營運命脈,卻允許新進員工可以觸及核心文件,這種控管思維上的問題並非IT技術得以解決。陳伯榆指出,「以X-Fort方案為例,是否允許列印、嵌入浮水印識別,皆可透過預先設定的控管政策來決定,並非無法可管,端看高階管理者的重視程度。」
萬一真的爆發資料外洩事件,之後也應回歸到管理政策的本質,探究遺漏或疏失之處,接下來才是檢查技術手段達到目的的程度。若高階管理者不願意內部自我檢討,即便資安界發展出再先進的技術,也難以達到應有的效果。例如資料外洩常見的狀況是終端用戶操作疏失所導致,往往可藉由權限控管機制來補救。多數企業應用環境,善用既有的技術即可發揮效益。
陳伯榆以日前接觸實際導入X-Fort電子資料控管系統的客戶舉例,該企業為IC設計公司,創辦人原本在美國工作期間習慣採用Apple筆電,回台後設立公司自然也配發Apple筆電給員工。沒想到營運一段期間後卻發現,每次設計完成的新產品,市場上的競爭對手居然飛快速度跟進。於是創辦人決定回收所有筆電,改配發Windows作業系統,並部署精品科技的X-Fort電子資料控管系統,開始正視資料外洩問題。「這就是思維上的轉變,取決於主事者的魄力,只要高層管理者重視,並且運用合適的工具輔助管控,員工在存取機敏資料時勢必會有所警惕。」
積極研發EDR機制快速呈現資安風險
台灣資安專才缺口亦是不可忽視的問題,通常只能交給IT人員負責兼任與執行,問題是資安領域並非全然為技術導向,必須先擬定合適的控管政策,依據自家工作流程中潛在的弱點環節施以控管措施來降低風險。IT人員平日既有的維運工作已相當繁瑣,根本難以有足夠時間投入學習資安領域相關知識,再加上高階管理層尚未把資安納入企業風險的一環,使得資安管理對於多數IT人員而言,只能「頭痛醫頭、腳痛醫腳」,無法根本的改善整體資安體質。
台灣是自從「資安即國安」政策方向確認後,資安意識才逐漸在產業間發酵,近年來開始思考風險控管相關議題,精品科技產品研發的方向也隨之有些改變。
陳伯榆說明,近來市場上常見的做法是藉由端點環境部署EDR,蒐集累積的大數據再運用機器學習演算模型來輔助釐清問題根源,精品科技也是以此為方向,正在積極的發展中。現階段是先行納入無需經過分析,立即可判定為異常的行為,例如印表機的紙張消耗數量,一旦出現超量使用,此時負責採購的總務通常會關切使用行為的差異之處,這類日常工作需留意的細節,X-Fort DLP文件防護機制即可提供輔助。
現階段精品科技會優先研發完成EDR機制,以快速呈現風險,讓IT管理者及早解決問題。畢竟內部威脅範疇相當廣,包含勒索軟體、違反內部監控、配置異常等狀況,例如有心人士藉由竄改MAC位址來掩蓋非法存取行為,一旦觸發這類明顯為惡意的動作,端點保護立即予以隔離,以降低資安事故發生的機率。
不僅只是強化偵測機制,同時也要搭配回應措施,同樣是精品科技近來發展的主要目標。即時回應除了降低資安風險以外,另一層面的價值是藉此讓高階管理層得以簡單地方式理解資安風險狀態。
至於人工智慧的應用,目前正在規畫中,例如X-Fort提供螢幕截圖功能,可藉由圖片辨識演算法,讓系統自主判斷存取行為的合理性;SSL加密傳輸亦可透過憑證交換技術蒐集相關資訊,就以存取的URL來看,可能是員工正在刺探內部資訊系統,達到竄改或竊取機敏文件的目的。
SVT與代理程式配對成功才可登入系統
為了因應企業內部檔案可能分散存放到外部雲端平台,X-Fort電子資料控管系統亦有提供支援。陳伯榆指出,「企業資訊系統部署到雲端平台,首要的關鍵機制在於身份驗證,X-Fort DLP內建SVT(Secure Virtual Tunnel)伺服器防護機制,可扮演敵我識別(Identification Friend or Foe)的角色,意思是,只有安裝了代理程式的端點環境,搭配登入的帳號密碼才得以成功登入,即使竊得帳密也無法得逞,必須要代理程式與SVT雙方持有的金鑰配對。」
以企業端最常見的Office 365為例,員工可能會把機敏文件另存到本機儲存,或是做為Teams的附件傳遞出去,X-Fort電子資料控管系統則可限制在企業內部,而且是只有安裝了代理程式才可成功登入Office 365,藉此限制應用範圍,以免使用者誤操作導致資料外流。