隨著攻擊手法與IT應用的不斷改變,網路使用行為安全管理似乎是個永不退燒的議題。最新的例子就是多數上班族仰賴的即時通訊軟體MSN已被微軟整合到Skype,使得Skype的使用監控再度成為企業IT討論的一個話題。
關於即時通訊軟體的監控,早在2004、2005年就已有相關產品,只是那時的重點在於MSN、ICQ,甚至是大陸的QQ等軟體監控。但隨著時序的移轉,以往監控的軟體不是退出市場,就是使用人數變少,只是接著Skype和其他網路應用的興起後,讓企業必須得重新檢視員工網路行為控管的議題。
之所以會特別討論Skype的監控,主要是因為Skype所使用的通訊方式有經過加密,以往在多數網路監控產品無法處理加密的流量下,多半直接用阻斷封鎖的方式來禁止員工使用。但如今除了Skype外,其他像是Facebook、Gmail等越來越多網路應用服務採用https傳輸,因此對於網路加密流量的監控也逐漸成為重點之一。
在台灣的網路資安市場,像是防毒、IPS、DLP、SIEM等解決方案,總是以國外的資安廠商為主,相形之下,網路行為記錄監控卻是國內本土的資安業者較有發揮,或許是因為較能了解國內企業主的思維與實際需求,再加上對中文語系的支援等因素,使得本土產品在此領域反而更有競爭優勢。
網路應用服務多加密
利基網路總經理魏煥雲觀察,企業在一開始選購安裝時,多半會著重在產品的功能面,Skype雖然是監控的重要標的之一,但企業員工不會只用Skype進行通訊,而且除了即時訊息外,其他還有像是P2P分享、影音…求職網站、穿牆軟體等應用,都可能讓企業網路遭到濫用而導致員工生產力的下降。所以除了Skype的應用外,企業應從員工的整個網路使用行為來進行管理。
首先IT人員必須掌握企業內部的網路應用狀態,區分哪些是必要且需管控的應用,再按照控管的標的尋求可支援的監控工具。但是魏煥雲亦指出,市面上沒有產品能涵蓋一切的網路應用,因此建議,對於無法支援管控的部分,還是以安全為重,建議最好直接予以封鎖不讓員工使用。
還有一個現象值得注意,就是網路加密。魏煥雲指出,據研究預估到2015年時,網路中將有40%是屬於加密流量,像Facebook、Gmail、SkyDrive等網路服務,預設都是採https協定,而以往對於網路加密機制一般廠商都較少提及,「因為沒有解決方案,所以大都被忽略」,他表示。所以員工在使用Gmail、SkyDrive等服務時,通常也只能仰賴服務供應商所提供的病毒檢測機制來確保安全,但這對企業來說當然不夠。
所以如果要記錄加密通訊的話,就要用類似中間人(Man-in-the-middle)的方式,將設備放在Client與Server中間,並透過InstantKey為假造憑證。在Active Directory網域伺服器上將側錄設備所發的憑證設定為可以被信任後,就能讓Web Server將側錄設備視為使用者,而用戶端則認為側錄設備是Web Server,如此便可在用戶端不安裝Agent的情況下,從中做到對兩方通訊的解密,進而加以記錄。
不過魏煥雲提醒,雖然這種機制的技術不難,但重點在進行加解密時,設備效能會變得很差。而利基網路累積了過去幫網通大廠做防火牆設計代工的經驗,充份掌握硬體VPN加解密的技術,因此可順勢搭載專屬硬體晶片,來執行AES、3DES等加解密演算法,解決效能瓶頸的問題。
側錄Skype需裝代理
比較特別的是像Skype,由於它不像一些Web Mail或其他的網路應用服務是透過瀏覽器執行,而這些瀏覽器可仰賴第三方憑證工具,所以能用憑證欺騙的方式來進行兩邊的解密。但Skype是利用自己的程式進行連線,因此不仰賴第三方憑證而只相信自己所發佈的憑證,「此時就無法直接從設備進行加解密,而需要在使用端安裝Agent,直接Hook程式的API,來取得Skype程式所傳送的檔案、訊息對話內容,然後再傳給設備端。」魏煥雲解釋。
目前像是新軟系統的IDR網路記錄器(Internet Recorder)、利基網路的InstantScan上網行為管理與側錄器,雖然都是部署在網路閘道端,但針對像Skype這類較特殊的加密連線,都需要另外安裝Agent才能達到內容記錄的效果。
|
▲ 新軟系統的IDR網路記錄器提供查看記錄的畫面,不僅顯示使用者瀏覽網頁的標題,點選連結後,亦可呈現該網頁畫面的快照。(資料來源:新軟系統) |
當設備上線開始運作監控後,這時最常接觸到該設備的就不一定是IT人員了,針對員工上網行為的監控可能是由部門主管,中小企業或許就直接由企業主來進行,因此直覺化的可視介面就很重要。也就是說,必須把記錄的結果用老闆可接受的方式呈現。
以Skype為例,除了文字訊息的傳遞外,由於語音對話是Skype主要的功能,因此也要經過特別設計。新軟系統市場業務部產品副理程智偉表示,像新軟的IDR,除了會將雙方的對話以MP3的格式錄下存檔外,更特別是還會將原本單聲道的音源,依對話的雙方區分成左、右聲道,「這樣的好處是除了讓雙方的對話更清楚外,當有必要進行聲紋比對時,也不會發生相互干擾,以方便成為事後的數位證據。」
Web Mail與網頁不同
另一個直覺化呈現的例子就是網頁記錄機制。記錄器在側錄員工瀏覽的網頁時,最簡單的記錄方式就是顯示出網頁的連結位址,但對於管理者來說,一連串英文與數字根本毫無意義,因此通常記錄報告中也能提供網頁快照的方式,讓管理者一眼就可看出員工瀏覽的網頁。例如新軟IDR在使用者瀏覽列表的記錄中,顯示的是使用者瀏覽網頁的標題,如果有需要再進一步點選該連結,就會顯示出該網頁瀏覽當下的快照。