著眼於人工智慧(AI)和雲端應用的普及,為企業帶來了效率和創新的同時,也增加了資料外洩和合規風險。Forcepoint基於資料外洩防護(DLP)核心技術建構的SASE(安全存取服務邊緣)平台,可延伸DLP控管政策至雲端應用、網頁瀏覽及電子郵件等多種工作流程之中,使企業能夠將其資料防護策略無縫地實施在所有溝通管道,讓整個資料生命週期得以套用一致性的保護措施,有助於IT管理者掌握風險態勢與及時回應異常活動,並且藉此符合法規遵循要求。
Forcepoint北亞區技術總監莊添發指出,在當前資安領域中,SASE平台已成為企業保護資料和網路安全的重要框架。對此,Forcepoint認為資料安全保護應該是SASE的核心原則,並將此發展理念稱為「Data-first SASE」。透過SD-WAN與Forcepoint ONE整合,提供集中化的可視性與控制能力,以確保無論機敏資料儲存在何處,即便是未受管理的無代理設備也能安全地進行存取。
資料保護為優先延展至雲端
在SASE框架中,關鍵的DLP、網頁安全閘道(SWG)、雲端存取安全代理(CASB)、零信任網路存取(ZTNA),皆屬於SSE(安全服務邊緣)的範疇。而SSE技術的需求愈來愈重要,原因在於企業對雲端應用的廣泛採用。這些應用存在於雲端環境中,因此需要專門的SSE雲端服務來保障這些應用的安全性。
莊添發說明,以往的資料防護方式主要集中在公司內部,透過桌上型電腦、筆記型電腦,以及網頁閘道器和電子郵件的DLP機制來進行資料安全控管。然而,現代企業的應用場景已大幅變化,隨著雲端應用的增多,傳統的DLP機制也必須延伸至SSE環境,確保所有資料的安全防護策略都能在新的雲端環境工作流程中運行。這樣一來,企業不僅能夠保留其既有的資料防護政策及其強度,還能透過統一的控管平台,將資料保護延展至新的雲端應用場景。
Forcepoint的策略就是從這個角度出發,將SSE視為企業資料防護的一環,幫助企業IT和資安團隊在管理雲端應用的同時,將資料安全性置於最優先的地位。「相較於市場上提供SASE解決方案的廠商,Forcepoint不僅專注於管控不同的對內、對外溝通管道,更確保在不同應用場景執行的資料存取或資料交換,得以具有可視性與控管措施,這正是Forcepoint技術優勢。」
風險自適應保護機敏資料
對企業而言,無論選擇何種安全防護技術,最終的目的都是為了保護機敏資料。即使是防範駭客攻擊的手段,核心仍是保護資料的安全性。如果駭客攻擊成功,損害的是企業的聲譽,但只要沒有洩露機敏資料,對業務的正常運行影響相對有限。因此,企業在實施SSE時,關注的焦點始終是資料外洩防護。
Forcepoint提供一套基於行為分析的資料外洩防護(DLP)解決方案,專注於保護各種潛在的資料外洩風險環節,進而減少資安事故發生機率。其核心在於將上下文資訊整合到所有策略中,透過使用正規表示式、分類、機器學習以及自然語言處理技術進行資料辨識,並配合指紋識別技術持續監控潛在的危險行為。
莊添發進一步說明,Forcepoint提供的DLP解決方案,日前最新發布的是Forcepoint ONE資料安全(Data Security)服務,為Forcepoint首次推出雲端原生的DLP SaaS解決方案,針對端點設備提供保護,範圍涵蓋電子郵件、網頁、列印、USB連接埠、檔案共享和雲端應用等多種使用場景。其特色之一是基於AWS公有雲平台的自動擴展架構,可支援大量端點進行擴展。
在風險管理方面,Forcepoint的風險自適應保護(Risk Adaptive Protection,RAP)系統透過分析使用者行為與DLP事件來降低內部風險。這一系統利用Forcepoint的行為指標(Indicator of Behavior,IoB)模型計算使用者風險,並根據不同使用者的風險評分來動態調整DLP政策,使配置的控管措施能夠自動適應跨端點、雲端應用、網頁、電子郵件等各種溝通管道的風險情境。
他舉例,當一名受信任的員工在其行為風險評分累積到某一個高風險等級時,Forcepoint的DLP系統會自動調整其存取權限,阻止該員工進行機敏資料的存取操作。這種即時調整的能力能夠有效降低內部威脅,防止機敏資料的外洩。
發揮零信任控管模式效益
現代企業普遍施行的遠端工作模式,經常需要連線回到公司內部網路存取ERP等系統,可藉由零信任網路存取機制來操作執行。為了進一步保障資料安全,企業可以針對資料查詢操作設定DLP控管措施,特別是機敏資料,可禁止遠端工作者下載。例如,當遠端工作者使用私人裝置發起連接,可限制其下載動作;而若是使用公司配發裝置,則可允許下載,但必須對所有下載行為進行詳細的記錄,以便後續追蹤與稽核。
Forcepoint提供的SASE解決方案,不僅涵蓋SSE平台的全面管控,還將最關鍵的Enterprise DLP整合到單一平台中。SSE解決方案包含了RBI(遠端瀏覽器隔離)、檔案內容撤銷與重建(CDR)、沙箱技術(Sandbox),這些技術皆屬於網頁應用安全的範疇。
Forcepoint北亞區技術總監莊添發表示,Forcepoint ONE提供了模組化的SASE架構,讓企業以機敏資料為核心,在數位轉型計畫執行過程中,逐步地增添雲端安全防護項目。並轉向零信任控管模式,增進整體資安體質。
此外,在雲端應用方面,Forcepoint的解決方案也涵蓋了CASB(雲端存取安全代理)的部分。莊添發說明,在零信任的架構中,Forcepoint分別涵蓋了上網、檔案以及存取的零信任保護。過去,企業內部的應用系統通常透過VPN連線來提供存取,如今藉由ZTNA,使用者無需再透過VPN,即可安全地存取企業內部的應用程式。
Forcepoint提供了兩種部署模式:Agent和Agentless。在早期的IT維運中,遠端桌面連線是常見的做法,即便使用者不在公司內部網路,也能登入系統進行維護。隨著資安意識的提升,這種做法逐漸被淘汰。透過ZTNA,IT人員僅能連線登入防火牆的管理控制台,並只能執行必要的管理操作。當需要下載防火牆的日誌或設定配置檔案時,可以藉由Enterprise DLP進行管控,嚴格禁止任何用戶在公司配發或私人裝置上進行下載操作。這樣的零信任機制,不僅加強了存取控制,也大幅降低了潛在的資料外洩風險。透過RBI、CDR以及ZTNA等技術,零信任的實際效益得以充分發揮。