在這個數位犯罪橫行的時代,僅僅是瀏覽網頁都可能面臨相當多的安全威脅,輕者被惱人廣告騷擾,重則遭受惡意程式入侵,更可怕的是,企業內部重要資料恐因此外洩。
為此有不少企業導入網頁瀏覽安全(Web Security)解決方案,為內部使用者存取網際網路的行為增加一層防護機制,然而看似安全的社群網站很可能藏著有害的連結或網頁應用程式,可靠的商業網站也隨時會因駭客攻陷而成為攻擊跳板,如何真正保障用戶上網安全,考驗著各種解決方案的實際功力。
目前在台灣較猖獗的攻擊手法,當屬結合社交平台來進行釣魚與詐騙,最常見的便是盜用使用者登入帳號,請該帳號的朋友幫忙接收簡訊。Websense台灣區技術總監莊添發說明,但企業端則不同,其目的性主要是以竊取資料為主,手法不外乎魚叉式攻擊,有別於誘使人上鉤的釣魚網站,魚叉式是鎖定特定對象發送郵件,讓對方點選,或者是附件檔中藏有惡意程式,進行針對系統或應用程式的零時差攻擊。
McAfee技術經理許力仁指出,日前爆發IE瀏覽器漏洞即為此例,一旦用戶端連上該網站就立即被入侵;另一種利用PDF夾帶惡意程式也是較常見的手法。其實此問題不容小覷,因為Adobe發現漏洞後,往往需要更新補強,而程式更新通常都是以管理員身分來執行,因此若含有惡意程式也將順勢被植入。
 |
| ▲McAfee搭配雲端網頁防護服務的Hybrid架構。(資料來源:McAfee) |
因此在企業端會區分為事前、事中、事後,不同階段採用不同防禦方式。其實終端資安產品絕大部分在協助「防呆」,畢竟在資安防護中最弱的一環就是人,因設備與軟體皆可更新程式碼,但是人要更新大腦,所花的成本跟時間會更高。當惡意程式不斷進步的同時,軟體廠商的防禦能力也跟進提昇,駭客不得其門而入之下轉而循正常管道進入,再搭配人性弱點引君入甕,自願執行看似正常的檔案或連結。
Web安全逐步演進
從Web Security解決方案的演進來看,莊添發說明,最早是由Proxy轉化而來,因為以往頻寬很貴,藉此可加速網頁回應速度;接下來是想進一步控管員工上網行為,限制某些網站不能瀏覽,因此增添網頁分類以方便控管;之後衍生出安全防護,因為Web、E-mail是駭客入侵的最主要管道,開始出現使用者僅瀏覽網站就會中毒或被植入木馬程式,因此提供對惡意連結、網頁攻擊的防護。此外,Botnet要回傳控制中心、網路應用程式皆是透過HTTP傳輸,甚至是行動裝置上常見的Dropbox、Evernote等APP,皆是透過通用的80或443連接埠來傳遞,即需再增添可辨識應用程式行為與分析的機制。
至於加入資料外洩防護則可說是進階版。近來相當盛行的網路硬碟,可方便使用者把所有的資料都放到雲端,當然安全性就會有疑慮。因此莊添發觀察,現在企業最頭痛的兩個問題可說是Webmail與網路硬碟,控管規範較嚴格的公司規定雖禁止使用,卻難以強制執行,總是會有例外開放的狀況(特別是高階管理層),導致漏洞無法避免。就目前來看,除了透過資料外洩防護協助外,多數企業仍在想方設法從政策面強化控管。
以防資料外洩為核心
其實不管透過哪種管道、運用什麼手法,其目的多是為了竊取資料,因此Websense強調採用內容感知技術,了解網路中流動的資料內容,是否包含機密資料。對此現在較進階的作法,則是以即時安全分類、動態內容分析來協助。莊添發解釋所謂動態內容分析,指的是當使用者瀏覽網頁,資料載入到使用者端之前,安全防禦機制會先查看網頁內容,也就是去分析HTML、JavaScript語法,甚至是在Flash中是否有隱藏的攻擊程式或網址。
萬一該正常網站已被駭客植入JavaScript惡意程式碼,若沒有進一步分析內容,解碼查看,事實上根本無法偵測。簡單的攻擊是直接放入一串惡意連結的網址,進階的攻擊則會在合法的網頁連結中,透過JavaScript語法設計一套函數,執行後加總的結果即是該惡意連結,來躲避各類資安偵測與防禦。「因此防禦無法只仰賴單一偵測技術,而是透過多種分析來決定是否為異常,此部份即為Websense TRITON架構中的核心引擎ACE(Advanced Classification Engine)。」莊添發說。
而McAfee對此則是以閘道端安全控制、瀏覽行為控制、效能,三方面來強化防禦。許力仁說明,McAfee的Web Gateway內建Proxy、身分認證、網站過濾、防毒、檢查加密通道、網頁應用程式控管、GTI(Global Threat Intelligence)等機制,現在資料外洩是比較熱門的議題,對此Web Gateway在7.2版中已內建DLP機制,以Intel伺服器為基礎的專屬設備中就有提供,不需兩台設備來運作。
由控制面來看,McAfee採用的是Rules-Based引擎,條件定義可以細化到HTML語法的動作,像是Post、Get等,達到更深入的防禦。例如可阻擋Facebook網站連結很簡單即可達成,但若是只針對Facebook右邊的廣告列,也就是只阻擋網站上的某型態資訊,就必須透過程式語法來實現。而這些控管政策已內建基礎範本,套用後即可執行,當然也可由IT人員根據企業規範客製化政策。
Hybrid模式架構
雖然資安廠商提供解決方案各有其不同切入點,就McAfee與Websense來看,卻同樣都強調Hybrid(混合式)部署架構。莊添發說明,Websense提供Hybrid的方式,以Web Security為例,客戶可以選擇軟體式或專屬設備,若遇到有外點辦公室,採用專屬設備過於龐大,或是其實外點辦公室的員工都是行動工作者,就可以改採雲端服務方式,在作業系統上安裝代理程式,即可利用雲端來進行Web Security防護。而控管方式仍舊是採用統一控管平台,且控管政策亦可跟內網建置的設備同步。
McAfee提供Hybrid的方式,是透過終端用戶代理程式中所內含的MCP(McAfee Client Proxy)機制,主動詢問Web Gateway,若在公司內網,網頁瀏覽就會透過Web Gateway來防護;但若是用戶端到企業外部,MCP則會透過網際網路連線回到公司Web Gateway,但並非防禦機制是每次都要連線回到公司來進行,而是會自動轉至雲端網頁防護服務,如此一來才不致佔用企業頻寬,同時不影響瀏覽速度。
當Web Security的功能越強,可做到的事越多,相對效能負擔就會越重,部分機制由雲端防護中心來提供,搭配應用,不失為安全防護與效能平衡的合理作法。