駭客為了牟利不斷變換攻擊手法,趁著企業工作模式轉換為混合辦公,資安管理政策正轉向零信任之際,極可能提高滲透成功的機率。對此,Forcepoint自去年(2022)集結旗下多種類別技術,基於雲端原生技術發展Forcepoint ONE平台,整合了雲端存取安全代理(CASB)、網站安全閘道(SWG)、零信任網路存取(ZTNA)、資料外洩防護(DLP)、遠端瀏覽器隔離(RBI)等機制,藉此協助企業落實零信任控管措施,降低複雜度與維運負擔。
Forcepoint北亞區技術總監莊添發觀察,隨著企業對於雲端服務接受度增長、法規制度也較為鬆綁,IT架構演進到混合雲/多雲,資安控管措施須有因應對策。「以資料保護為優先」理念設計的Forcepoint ONE雲端平台,融合了資料中心閘道端發展已相當成熟的技術,轉換為雲端服務方式提供,將可更貼近現代企業需求。
他舉例,台灣某知名高科技製造業者,在疫情期間須緊急開放員工利用OneDrive、Google Drive等雲端儲存空間服務進行資料交換,為確保營運核心的智慧財產安全性,便首度訂閱雲端安全服務,採用了Forcepoint ONE雲端平台的網站安全閘道、資料外洩防護方案。
單一控管介面配置零信任政策
針對金管會提出上櫃上市公司須設立資安專責單位的要求,莊添發認為,新就任的團隊須有所作為,首要便是採行零信任控管政策,再引進相關工具落實執行。另一種方法是先導入工具盤點數位資產、增進可視化能力,並轉化為統計與分析數據,輔助資安長依據工作流程擬定控管措施。
資安政策的落實,通常須仰賴不同技術領域的解決方案輔助。對於IT或專責資安人力配置相當精簡的企業而言,往往難以完整地掌握操作技巧、發揮工具技術的效益,須仰賴系統整合商、資安服務廠商的協助。
「Forcepoint One方案的設計,核心主軸正是簡化IT或資安人力的維運複雜度。把艱澀難懂的資安技術轉化為視覺呈現,以雲端平台設計單一控管介面,引導維運人員正確地操作配置、讓隨處工作的員工皆可套用相同控管措施。」莊添發說。
針對本土企業正在積極引進的零信任控管政策,莊添發指出,主要應聚焦在三個部分。首先是保障使用者在任何地點皆可透過安全的方式存取應用系統;其次是資料防護,當用戶存取營運核心資料須有安全機制;第三是在使用資料時,須持續透過使用者行為分析(UBA)監測風險性。Forcepoint以自身擅長的資料保護技術為基礎,建構了統一的Forcepoint One平台,既有的客戶亦可延伸採用,藉此落實零信任措施。
控管平台藉公有雲擴展覆蓋率
Forcepoint One平台核心來自2021年收購Bitglass取得SSE(Security Service Edge)方案技術,整合Forcepoint同年度連續收購的新創公司,包含Cyberinc的遠端瀏覽器隔離、Deep Secure的內容清理與重建(CDR)技術,為採用Microsoft 365、Google Workspace等雲端服務的應用場景增添資料安全防護。
莊添發指出,過去導入資料外洩防護機制的企業,主要是著眼於辦公室環境的機敏檔案存取安全。然而隨著雲端服務採用數量增加,機敏資料亦可能存放在外部以便遠距取用,因此勢必須把資料外洩防護機制進一步延伸到雲端環境,才能保障員工協同合作過程的檔案交換、存取活動等安全性。
Forcepoint One是基於AWS公有雲開發的控管平台,全球143個地區皆有提供服務。已安裝代理程式的公務裝置,或是無法安裝代理程式的私人裝置,皆可導向透過Forcepoint One增添安全防護。
他進一步說明,員工存取公有雲與私有雲服務時,代理程式可主動把流量導向Forcepoint One進行安全偵測,通過後才可放行存取。至於無代理程式的存取行為,則通過身分識別供應商(IdP)驗證後再導向Forcepoint One,須由Forcepoint One代為執行存取請求。藉由Forcepoint One平台,可在企業應用服務與終端存取之間增添安全屏障,萬一端點系統遭到社交工程滲透入侵,駭客成功提權,也無法橫向移動感染營運系統。
企業級資料外洩防護即時回應阻違規
針對營運核心的資料保護,以往企業多是部署在閘道端,藉由控管郵件與網頁連線進出管道來降低資料外洩風險。但如今工作模式已不限制在辦公室,更多知識工作者是遠端執行任務,利用各種SaaS工具來提高生產力。企業欲保護機敏資料不被竊取,以往基於網路、端點、儲存裝置建立的政策措施已無法涵蓋全部應用場景,如今Forcepoint One雲端平台提供的資料外洩防護機制,將更適用於混合辦公或行動辦公模式。
莊添發說明,市場上的資料外洩防護機制主要分為整合式與企業級。整合式機制是在現有資安產品上增加資料外洩防護功能;企業級則是依據符合企業各種應用場景獨立開發,為郵件系統、上網行為檢查、端點、雲端平台提供服務。
Forcepoint One的資料外洩防護機制屬於企業級,有助於建立統一控管政策、操作行為與告警事件彙整記錄,以集中化系統釐清來龍去脈。他舉例,當用戶試圖上傳含有機敏內容的檔案到雲端儲存空間,被攔阻後,可能會轉而存放到隨身碟、郵件附加檔案傳送出去。若非採取資料為核心的控管政策,搭配集中記錄與分析行為模式,恐難以關聯不同事件、判斷意圖。
Forcepoint One的資料外洩防護機制可依據人事時地物檢視機敏資料的存取行為,同時保留存取標的原始檔案,採以加密方式留存。此外,Forcepoint One平台的操作介面具備事件回應能力,當用戶觸發事件後,企業IT或資安長即可利用內建超過上千筆的控管條件,簡單地選擇套用來符合法規規範。
莊添發建議,預算有限的企業,可先行針對風險性最高的管道增添資料外洩防護服務,再逐漸擴充到企業內部與外部所有溝通管道。運用Forcepoint完整企業級防護,便能強制一致性控管政策,讓資料存取行為更具可視性,事件被觸發當下可立即回應。