在雲端時代下,愈來愈多企業開始採用SaaS取代既有自建系統,以撙節建置與維護成本,但SaaS採購模式愈來愈偏向由需求單位自行評選合適的公有雲方案,IT部門往往難以涉入掌控。結果導致究竟外部公有雲平台是否存放機敏資料、或是檔案中是否有夾帶攻擊程式碼,變得無從得知,使得企業邁向雲端後反而帶來資料外洩風險。
近年來資安市場上開始出現新興的Cloud Access Security Broker(CASB,雲端存取安全代理)解決方案,即是為了解決SaaS應用模式下潛藏的安全問題,在終端裝置與SaaS之間扮演中介角色,進行存取控管、偵測分析、加密等資料保護措施。
原本在資安市場中以Proxy技術著稱的Blue Coat,近年來持續透過併購擴展解決方案能力,Blue Coat亞太區技術長Matthias Yeo說明,先是於2013年收購取得反惡意程式技術供應商Norman Shark,2015年又相繼買下Perspecsys與Elastica,補足雲端資料保護能力,產品線整合既有的ProxySG、MACH5等網路設備,以及沙箱、鑑識等資安技術,搭配Blue Coat全球情報網路(Global Intelligence Network),協助企業採用公有雲建置服務系統時,得以建立重要資產的偵測與保護措施。
其實以Office 365、Salesforce.com這類的SaaS服務來看,已歷經多年發展,技術平台日趨成熟,且具備以往大型企業規模才有能力建置的高可用性機制,遠比自建的穩定程度更高,也因此吸引全球企業的青睞。
但隨之而來勢必需要解決的挑戰,首當其衝即是法規遵循,儘管應用服務改採用雲端平台,若資料內容涉及個資法定義範疇,例如客戶名稱、信用卡號等,仍舊必須建立保護措施。Matthias Yeo觀察,多數企業採用外部公有雲服務時,只能仰賴服務供應商簽定的合約約束與保障,過去制定的資安管理政策,以及建立的控管措施、防禦機制,已無法完整涵蓋現今的企業應用模式。
在業務單位自行訂閱SaaS提升生產力的同時,IT部門也失去了控制力。例如無法要求公有雲服務供應商定期執行漏洞掃描、產出風險評估報告,只能依據合約協議的保護條款建立保護機制,無法針對機敏等級較高的資料,提供更多的存取控管措施。
|
▲Blue Coat CASB解決方案中的Cloud Visibility & Intelligence,可搭配ProxySG所產生Proxy Log,並依據Blue Coat全球情報網路進行風險評估,即可分析允許與非允許使用的SaaS。(資料來源:Blue Coat) |
收購取得Elastica 補齊雲端安全技術
「我曾詢問過幾個掌管亞太區的CIO,為什麼至今仍未採用SaaS,得到的回答大多是雖想利用公有雲服務來節省IT支出,問題是機密資料放在外部仍舊會有安全疑慮。他們真正需要的是一個可以保護存放在公有雲平台上的技術,即便是公有雲服務提供商發生問題,機敏資料仍舊可以被保護。」Matthias Yeo強調。
他進一步說明,其實要邁向公有雲,除了首先要決定採用的公有雲服務;其次就是必須建立使用者存取控管(Access Control)機制,以符合資安管理政策。但是在公有雲服務平台無法被納管的情況下,根本難以掌握使用者的存取行為資訊,以往規範的存取管控自然無法達成,即便是公有雲服務供應商可提供基本的保護措施,也無法確實判別使用者行為的正當性。
因此欲達到辨別雲端服務的存取行為,勢必需要可視化能力,才能及時發現異常行為。而Blue Coat收購Elastica取得的CASB,正是為了雲端應用安全性而研發的方案。
SaaS可視化能力 掌握合法與非法用戶
Blue Coat CASB主要即是提供可視化能力,先行掌握內部員工已採用的SaaS種類。Matthias Yeo從客戶端實際的狀況發現,有些業務單位已自行採用雲端服務,或是內部員工習慣於採用Dropbox等雲端儲存服務,甚至即便公司內部有自建類似的應用服務也不願改變使用習慣。
「我們曾協助企業執行雲端應用安全風險評估,結果發現,實際上在公司內部被使用的App,往往超過預期,高達72%非公司允許使用。」Matthias Yeo強調。該數據的意義是有高達七成以上員工使用的是私人App在執行工作項目,這即是IT失去控管的結果,無法綜觀員工行動裝置上的App使用狀態,因此可視化成了首要必須具備的能力。
就資料保護架構來看,Cloud Visibility & Intelligence可說是CASB的強項,搭配Blue Coat既有的ProxySG所產生Proxy Log,依據Blue Coat全球情報
網路進行風險評估,即可清楚掌握允許與非允許使用的SaaS。
此外,CASB還可進一步偵測SaaS中的檔案,以近年來相當盛行的APT攻擊為例,大多會採用沙箱模擬分析以判斷檔案是否具威脅性,可是放置於雲端平台之上的檔案,IT部門根本無法掌控,也就無從發現、偵測與分析。經由CASB提供的可視化能力,同時具備控管政策措施,可有效監看SaaS使用行為,避免遭受CryptoWall等先進的勒索軟體襲擊。
即時偵測辨識行為 攔阻加密勒索攻擊
CASB解決方案的特點之一即為具備CloudSOC雲端平台。Matthias Yeo說明,傳統上資安單位會建置SIEM,以協助進行風險評估、資安事件管理、資產控管等措施,主要即在於保護資產。當應用系統遷移上雲端後,過去的資安控管政策已無法生效,而CloudSOC則可提供稽核、偵測,進而保護雲端應用安全性。例如,事前先定義控管政策,限制允許被上傳到Dropbox的文件格式,萬一使用者上傳的檔案中內含機敏資料,且預設為開放存取權限的設定值,CloudSOC基於機器學習(Machine learning)技術可即時偵測發現並予以阻斷,進而通知使用者該行為已違反資安政策。
「在客戶端曾發生實際遭到CryptoWall攻擊的案例,受感染的裝置登入雲端儲存服務後,CryptoWall隨即開始快速地加密檔案,當加密到第十?個檔案時,CASB判斷在一分鐘內加密超過十?個檔案已非正常行為,於是將該帳號停權。事後使用者發現自己的帳號無法登入時,才驚覺帳號密碼已被盜用,且已經有十?個檔案被加密。若非及時執行阻斷,災情可能更大。」Matthias Yeo說。
儘管來自加密勒索軟體的威脅,並非技術上可解決的問題,仍可基於使用行為的正常或異常判別機制,來協助及時攔阻惡意加密執行。