著眼於企業數位化過程中逐漸增加雲端服務的採用數量,Forcepoint近期發布基於雲端平台建構的Forcepoint ONE安全服務邊緣(Security Service Edge,SSE),整合旗下跨領域的資安技術,以降低企業IT管理辦公室與遠端工作者的資安風險,讓使用戶得以在安全可控的環境中接取網路、雲端、公司內部應用系統,防範機敏資料因人為疏失導致外流。
Forcepoint北亞區技術總監莊添發觀察,COVID-19疫情使得工作型態變成混合辦公,也改變了資料安全的態勢。過去企業在閘道端建置的防護措施,開放所有員工透過VPN連線回到公司內網,存取行為經過審查後預設為信任,便可取用地端與雲端的服務。但隨著辦公模式的改變驅動雲端服務採用數量增加,網頁安全、郵件安全、入侵偵測系統、防火牆等既有地端必備的資安建置,也必須逐漸轉向採用雲端服務來提供防護。如此,員工存取內部應用系統無須仰賴VPN傳輸,可透過Internet連線取用先接取到雲端邊緣的Forcepoint ONE,落實零信任控管原則,依據角色授權開放可存取的內部應用系統或SaaS,藉此增進資料管理與保護措施能力。若為公司難以強制要求安裝代理程式的員工私人裝置,發起存取雲端服務時,則必須通過多因素驗證身份,才得以取得檔案權限,透過OneDrive、Google Drive等雲端儲存空間來進行資料交換。
統一平台制定一致性控管政策
以往地端導入部署的資料外洩防護(Data Loss Prevention,DLP)措施,切入點主要為控管郵件與網頁對外溝通管道,至於端點,多數僅針對差旅需求的員工筆電才安裝代理程式,以確保離線狀態下資料仍可具備防護力。
莊添發指出,現代工作者皆仰賴行動裝置執行資料存取,再加上雲端應用模式已成為顯學,保護措施也得擴展與延伸。許多資料最初被存放到雲端硬碟時,通常是為了提高工作效率,並未全盤考量安全性,IT部門僅能呼籲同仁遵守資料管理辦法,缺乏技術上的強制力,也無法釐清員工存放在雲端儲存空間的檔案內容的機密等級。對此,新發布的Forcepoint ONE則可基於AWS雲端平台整合雲端存取安全代理(CASB)、安全網頁閘道(SWG)、零信任網路存取(ZTNA)技術建構安全服務邊緣,IT或資安人員能透過單一控管平台與代理程式,增進資料存取行為的可視性,並且強制套用一致性控管政策,同時在事件被觸發當下可立即運用控管平台執行回應。
有別於網路安全、郵件安全、端點防護內建的整合式資料外洩防護,Forcepoint設計研發的企業型解決方案更貼近各式企業應用場景需求。莊添發舉例,某家香港客戶的IT部門在郵件系統、上網行為管理、防毒引擎皆啟用資料外洩防護功能,希望根據不同管道客製化防護措施,實際運行後卻發現,不一致的控管政策不僅經常造成衝突,且用戶同時觸發異質廠商的技術產生的日誌記錄,即使蒐集彙整,也難以準確關聯事件釐清來龍去脈。改以單一平台建立一致性控管政策,更有助於達到企業對於資安風險控管的目的。
整合跨領域技術打造安全邊緣
傳統地端導入部署的資安基礎架構,評估思維是分別選用各該領域最多企業採購的設備方案,再交由系統整合商依據工作流程需求設定配置。演進到雲端化時代,則是仰仗雲端服務供應商彼此之間建立協同合作機制,或藉由開放API自行介接整合運行,莊添發說明,因此為了降低現代化混合雲應用環境的資安風險管理負擔,由單一廠商提供整套安全防護已逐漸成為市場趨勢。
Forcepoint理念是提供給客戶完整的安全邊緣,具備企業營運所需的資安防護機制,範疇涵蓋雲端存取安全代理(CASB)、網頁安全閘道(SWG)、遠端瀏覽器隔離(RBI)、防火牆即服務(FWaaS)、資料外洩防護,再加上去年(2021)接連收購Bitglass取得零信任網路存取(ZTNA),以及Deep Secure取得內容威脅解除與重組(CDR)技術,過去每個領域皆有專精供應商的技術,Forcepoint基於雲端平台建構安全邊緣則可全數提供,或是選用地端部署的解決方案。如此一來,才可更貼近應用情境制定資料管理流程與資安事件回應。
莊添發強調,Forcepoint ONE平台內建控管規則,累計至今已超過一千多筆規則範本,由專家團隊負責調整與維運,讓企業只要按照產業、地區的法規規範如GDPR等,在操作介面上勾選套用後即可建立資料保護措施。當資料外洩防護偵測到用戶開始執行上傳檔案動作時,可先行判斷資料內容具機敏性則予以禁止。若本就存放在雲端儲存空間的檔案,當用戶點選分享連結功能時,則立即觸發掃描。執行下載動作同樣必須通過檢測,可避免用戶不經意地把機敏資料轉存外流。
量化高風險行徑防範資安事故
針對存取機敏資料的行為,Forcepoint ONE平台具備動態用戶保護(Dynamic User Protection)機制,持續地掌握存取者與資料互動方式,計算風險分數,並根據標示為高風險的行為指標,動態地調整控管政策,進而預防資料遭竊取,甚至可進一步挖掘行為意圖。
其以人為中心的資料管理模式,有助於在事件發生前先行攔阻,降低企業營運風險,同時也減少IT或資安人員回應資安告警通知的負擔。過去依據管理辦法在工作流程中建立政策的防護模式,無法判定用戶行為當下的意圖,難以實際量化風險程度,只能一律先阻斷存取行為,恐因誤報影響生產力。Forcepoint ONE的動態用戶保護機制則增進了用戶行為能見度,且是以風險評分方式精準地指出高風險者,可具體提出封鎖因素與證據,以免釀成資料外洩事件。
伴隨企業應用場景的轉變,企業型資料外洩防護解決方案亦持續發展,不採取整合式架構才能便於強制套用一致性控管政策,讓資料存取行為更具可視性,並且在高風險事件被觸發當下立即回應。莊添發建議,預算有限的企業可先行針對風險性最高的管道導入部署方案,再逐漸擴充到企業內部與外部所有存取管道,讓資料外洩防護能力無處不在。