在企業資訊安全防護措施中,以防毒引擎為核心的端點安全解決方案,可說是最基礎的資安建置。但近年來,隨著駭客攻擊手法轉變,讓端點安全的防禦能力面臨不小壓力,甚至出現防毒引擎已無用處、因為擋不住新型態未知攻擊的說法。
事實上,不論IT架構如何變遷,例如員工自攜設備工作、多樣化的終端平台、雲端IaaS及SaaS服務、主機端虛擬化/?遠端虛擬桌面等,端點始終是資安防線中最脆弱的一環,勢必需要建立防護措施。而端點安全方案基於防毒引擎發展至今,企業IT在意的穩定度、成熟度、可管理性皆已具備,仍舊扮演無法被取代的重要角色。
多樣化攻擊威脅 端點安全重要性反升
從近兩年國際發生多起重大資安事件可發現,以APT(Advanced Persistent Threat)手法為代表的新型態攻擊,發動的目的多數是為了竊取具金錢價值的數位資料,自然較以往具廣泛破壞性的病毒程式不同,改採針對性設計的少量惡意程式,確保可低調、隱匿地繞過資安防線,成功滲透至終端。因此才使得端點安全防護的有效性遭受質疑。
賽門鐵克首席技術顧問張士龍不諱言,從防毒軟體逐漸擴展成為端點安全防護解決方案至今,不論是軟體本身運行的穩定度,抑或是安全控管功能的完整度,皆已相當成熟,但面對一些新型態的攻擊,防毒軟體似乎發揮不了作用,確實遇到客戶詢問過因應之道。
趨勢科技技術總監戴燊亦發現,前兩年客戶端對於APT攻擊手法還一知半解時,會認為防毒軟體應具備威脅防禦能力,經過市場教育至今更清楚了解攻擊行為後,才逐漸理解並非防毒技術可發揮之處。
「畢竟資安的議題,無法單純由防毒軟體廠商或其他單一的資安防禦機制得以全數解決,必須是結合不同技術領域共同建構而成。尤其是現代攻擊大多屬於未知型,更是需要各個擅長領域共同協助來因應。」張士龍強調。而端點安全的質疑聲浪,主要是針對偵測病毒樣本的特徵碼防毒,而非其他延伸的防護機制與技術。實際上,近年來的端點安全防護並非單純仰賴病毒特徵碼偵測,亦發展出行為式分析、雲端信譽評等、主機入侵防禦(Host IPS)等多種機制,即是因應攻擊型態轉變而陸續強化端點安全的防禦能力。
芬安全(F-Secure)大中華區總代理商翔偉資安科技營運長杜世鵬即指出,實際上,在現代企業的資安防線中,端點安全防護機制反而較以往重要性更高。儘管外部進來的攻擊威脅可交由閘道端防禦,但真正最容易失守的卻往往是資安意識不足的員工。像是去年全球爆發的CryptoLocker勒索軟體,即是透過釣魚郵件誘使收件者點選開啟附加檔入侵,台灣也有多家企業遭受感染。經過這類先進攻擊事件後,杜世鵬觀察到客戶對於端點安全防護的意識確實因此提升,不再僅偏向功能性,而是針對現代化惡意程式攻擊行為的防禦能力。
即時雲端情資協助 加快新攻擊辨識速度
在端點安全防護措施中,廣泛運用雲端資料庫協助蒐集與辨識惡意程式,可說是眾家方案提供者近年來一致的發展模式。例如趨勢科技發展已久的OfficeScan方案,以及為中小型應用環境設計的Worry-Free Business Security,皆是基於智慧型防禦網路(Smart Protection Network)來挖掘與分析威脅情報,提供檔案與網頁信譽評等機制。Symantec Endpoint Protection則是透過檔案信譽評等為基礎發展內容感知檢測的Symantec Insight,搭配SONAR即時主動式行為防禦,為端點建立多層次偵測與防護。
此外,市場上亦有今年透過代理引進的Webroot,早在2008年就已將端點安全產品技術全數改以雲端服務提供,即是試圖運用雲端架構,加快惡意程式的辨識速度。Webroot客戶經理劉琪表示,雲端服務所提供的端點保護方案,其實已遠超越防毒軟體帶給用戶的價值,即便是新型態攻擊大多以精心設計的未知惡意程式發動,亦可經由即時分析、辨識進行防禦。
像是傳統防毒引擎發現新的惡意程式,必須先行取得樣本,經過分析處理、製作特徵碼,再發布更新到全球用戶端,往往需要1至3天時間,用戶端可能於此期間遭受感染。而Webroot建構的智慧網路(Webroot Intelligence Network),擁有近160TB的威脅資料,擁有從全球端點蒐集資訊、自動分析處理能力,從發現新興惡意程式到產生特徵碼,平均只需要兩個小時即可完成,目前也提供合作夥伴做為比對基礎,如Cisco、Palo Alto、F5等網路安全設備廠商皆有應用。
但劉琪來台推廣後發現,即使現在的雲端安全服務相較於傳統端點安全方案具有優勢,台灣的公部門等單位,卻有點排斥雲端服務,尤其是中南部的企業,對於雲端服務的接受程度更低,大多數仍舊對雲端安全性存有不信任感。「當然也表示Webroot還有持續努力的空間,」他強調,其實Webroot並非將端點的檔案完整傳送到雲端系統分析,而是把硬碟中的檔案轉為MD5值後再遞送到雲端比對,不致會有資料外洩風險,或佔用頻寬的疑慮。
雲端中控訂閱服務 用多少才扣多少點數
為了因應現代中小企業人力資源規模大小不一,且人數可能頻繁隨業務量增減,近來翔偉資安與芬安全共同設計雲端訂閱服務,意即類似雲端服務扣除點數方式計費。杜世鵬表示,市場上同類型產品多數為盒裝,可能一組序號支援五個端點使用,採購時常見難以完全符合員工人數,因此才決定直接改採以員工數為基礎計算,企業用戶可藉由訂閱平台選擇增添或減少。實施方式是透過儲值點數,依據安裝端點防護的數量每月扣除。他舉例,若預先儲值十?人用的點數,隔月員工離職後只剩下八人,未用完的點數使用期間仍舊會予以保留,不致有浪費或權益受損的狀況。
雲端訂閱服務除了提供有別於傳統的計價模式,芬安全的中控台亦同時改以雲端平台提供,公司內部不需再準備伺服器安裝建置,IT管理者只要登入雲端中控台,即可進行政策派送與安全監控。端點安全解決方案從防禦能力的提升到提供模式的轉變,朝向雲端靠攏已成為業界不可或缺的發展方向。