資安產品線相當完整的Fortinet,在郵件、閘道端等實體設備皆採以相同FortiOS作業系統版本,在2018年發布6.0版本時,是以內建CDR(Content Disarm and Reconstruction)方式提供,既有Fortinet設備只要可安裝FortiOS 6.0版,無須額外授權立即可用。
Fortinet技術顧問楊志豪指出,基於網路安全平台的資安廠商,優勢之一在於可延伸研發異質技術來建構多層次防禦架構,例如當前外部威脅滲透管道以網頁服務與郵件為大宗,便可基於FortiGate與FortiMail設備平台上啟用CDR,把潛在威脅的部分予以去除,同時整合FortiSandbox模擬分析與偵測。
「通常啟用CDR機制的企業,主要是假設所有檔案都可能被利用來發動攻擊,經過進階分析確認安全性後,才讓使用者可取回完整的檔案,即可大幅降低遭受感染的風險,同時也確保使用者體驗。在便利性與安全性方面取得平衡,始終是資安控管政策與措施持續改善的要項,這也是CDR機制整合沙箱技術的用意。」楊志豪說。
沙箱模擬分析確認檔案安全性
經過FortiSandbox模擬分析後取得的情資,會分享給部署在不同位置的Fortinet解決方案以擁有辨識能力,藉此預防資安事件的發生,這正是Fortinet近年來提出安全防禦織網(Security Fabric)的主軸,包含網路節點、後端伺服器、網路接入點、終端等應用場景,皆已具備相關的解決方案,讓彼此可共享不同環境下所掌握的情報。
其中FortiSandbox扮演相當重要的角色,基於沙箱技術模擬分析可進一步確認檔案的實際執行行為。楊志豪舉例,當外部檔案傳輸經過FortiGate,可先行運用CDR來處理,再交付給最終用戶。經過CDR處理後的檔案,會在文件中加註,說明元件已經移除;同時原始檔案會交付給沙箱,運行模擬執行分析,產生的結果除了發布給SIEM等統一控管平台,終端用戶的系統環境亦會出現視窗通知原始檔案已可下載,只要點選連結即可執行。
CDR機制之所以搭配沙箱技術,主因在於許多使用者的工作流程難以忍受好幾分鐘的等待時間,若顧及安全性須先把檔案送到沙箱環境確認,此時透過CDR清除掉檔案內嵌可能被攻擊所利用的元件,即可在安全無虞之下降低對於使用者工作流程的影響,待檢查確認安全性後再自行完整取回,以降低在嚴謹的資安控管機制下影響生產力的程度。
高層授權嚴謹控管工具輔助發揮效益
較可能產生爭議的是傳統文件本就運用巨集、VBA語言來提升效率,接收到的檔案卻已經被CDR機制所清除,儘管嚴謹的資安控管機制不應該有妥協餘地,但是就真實現況來看,CDR控管政策幾乎皆有提供例外的配置,以便於排除特定人士。
「資安控管相關的人、工具、流程,三大要素中,人的問題最難解,原本在工作流程中設計的保護措施,可能為了提高特定人員的生產效率被迫失效,成為流程中最大的資安漏洞,特別是高階管理層。」楊志豪說。CDR機制的作法確實可去除掉檔案潛在威脅,但是當老闆收到的報表檔案居然無法呈現時,承辦人員勢必會接收到壓力,開始增添例外設定,最終導致CDR無法發揮效益。由此可發現,資安控管措施必須要有法規或高層的支持,否則很容易受到人的因素影響而失效。
就產業現況來看,楊志豪觀察,除非是軍方單位才可落實達到百分之百運用CDR控管進出的檔案,就連過去的DLP(資料外洩防護)技術也能做到嚴格實施,例如紙本文件在列印時無須人為介入即可自動加上浮水印等機制,以便於追蹤使用單位與個人。「金融業中涉及個資的相關部門,對於資安要求也相當嚴格,至於一般企業,實際上需求則不多。會採用沙箱技術防護APT攻擊的單位已經具備資安意識,至於搭配CDR的需求,則可能是觀念更進階的企業,整體市場仍舊需要經歷一段時間教育宣導才會普及。」
平衡安全與便利性降低用戶的反彈
為了對抗日漸刁鑽的滲透攻擊,Fortinet亦持續不斷地強化現代資安防護基本應該具備的功能性,CDR即為其中一項,直接內建在作業系統環境,不用授權立即可用。可支援的程度亦會優先以大眾需求為主,現階段CDR可處理的檔案格式主要為Office、PDF文件,也是如今攻擊者主要利用來散播攻擊程式的主要載體,尤其是PDF格式可內嵌JavaScript,等同於具備執行能力的文件檔,且功能元件隨著版本更新日漸增多,不僅產生漏洞的機率變高,同時也可利用來植入滲透程式碼。
對於剛開始接觸CDR機制的IT人員而言,實際上只要懂得Fortinet設計的操作邏輯,即可快速上手。楊志豪說明,Fortinet操作介面的排版模式,從以前的FortiOS 2.8直到現在的FortiOS 6.2,幾乎沒有變過,讓IT管理者得以在FortiOS版本的迭代過程中,仍舊可基於慣性的功能排序與設定配置邏輯,很容易理解與上手,達到無痛升級,如此一來,IT管理者才可善用解決方案之力發揮應有的效益。針對不同應用場景可能遭遇到複雜的設定需求,Fortinet亦有提供指令集模式讓進階IT管理者可細部微調,以達到控管的目的。
至於控管架構,欲分隔網路與郵件流量以便個別進行解析與偵測,可部署FortiGate與FortiMail實作,搭配FortiSandbox建立共享情資。楊志豪認為,資安技術是確保安全性的手段,勢必會有為圖方便而犧牲安全性的使用者,就得由制度面來建立強制性,例如日本政府於2017年實施的郵件無害化措施,或是持續透過資安教育提高使用者意識。當使用者無法自主提升資安意識的狀況下,只好由技術手段來防範遭到勒索與詐騙事件。
事實上,日本政府實施的無害化即是運用CDR來實作。只是日本政府規範相當嚴謹,整份檔案是直接轉換成純文字檔,CDR機制則是增添可取回原始檔案的設計,目的即是為了在安全與便利之間取得平衡,可依據各家企業的管理文化彈性調整。
此外,整合FortiGuard Labs提供的威脅情資服務,亦可說是Fortinet的優勢之一,例如若透過FortiAnalyzer運行分析後才發現已經遞送到終端用戶的檔案為最新惡意攻擊手法,屆時亦可通知FortiGate執行攔阻措施,防範新型態威脅入侵。「現代資安無法採以過去單打獨鬥的模式,必須要整合多重領域的能力,CDR機制則只是其中一項功能,在安全無虞的前提下最大程度降低影響使用者工作,至少保有最低限度的生產力。」楊志豪強調。
【專題報導】:CDR檔案除污 力抗滲透危害