零信任与安全边界如何有效的防护企业安全
日期:2022年09月14日 阅:44
资讯安全的概念,在许多攻击中我们都可以了解到企业对于资讯安全,都做了非常多的防护措施,但层出不穷的资安事件却没有丝毫停歇的趋势,着实让资安团队在面临问题的当下,成为一个头痛难解的课题。
近期,我们可以发现在许多的攻击事件中,弱点的利用成为了一个主要的攻击武器,在资安新闻中可以看到许多的弱点被利用,甚至是存在许久的弱点都变成了攻击者的武器,其实我们都可以在事前做许多的预防措施;那为什么存在这么久的弱点都可以被利用呢?其实这存在着许多的背景因素,旧的系统无法即时更新,弱点公布后的细节无法实行在所有的范围中,那么就只能坐以待毙吗?让我们来探索一下,怎么在一个不安全状态下做好资讯安全,这关键在于数据及服务的边界,此外也包含了可利用范围的控制。
SASE ( Secure Access Service Edge) 的话题,在这些年不断地被讨论着,这样的网路架构在于网路边界的定义,例如网路安全闸道、云端存取、防火墙及零信任网路等方式,其主轴在于为企业实现安全网路模式的愿景;Garner在2022年初提出 Secure Service Edge. , SSE (安全服务边界)的概念,其出现取代了原先的 Cloud Access Security Broker. ,CASB (云端存取安全闸道)的概念,主要原因在这些年疫情爆发后,改变了许多企业办公的型态,以往的办公环境转变成混合办公或是完全远距办公的环境,于此之时企业安全面临到重大的挑战,OPSWAT也看到了这样的需求及改变,MetaAccess就是这样的一个解决方案,为提供安全的网络访问和深度的端点合规性,当用户连接到相关资源前,检查端点上相关的合规性,确保用户连线的环境如:防毒软体以及重要的系统是否安装、更新,端点中是否存在安全疑虑等问题,避免因为混合办公环境为企业带来的风险;同时也可整合MetaDefender Core为企业提供更高的安全性。
图一、MetaAccess 网路边界安全访问、存取架构
MetaDefender Core的技术中包含了主要的MultiScan(多防毒引擎技术)及Deep CDR(档案深度清洗技术),此外也可为档案进行弱点辨识,让资安团队增加对于弱点的可视性,针对档案进行扫描时,MultiScan的多引擎扫描技术,整合了高达30多家以上的资讯安全厂商的扫描引擎,不仅仅只是利用特征辨识,还包含着各防毒引擎的AI、ML(机器学习)、异常感知及模拟技术等,其优势在于我们可以透过这样的技术早期侦测在不同国家所发现的恶意程式,例如:Sophos (英国) 、MacAfee(美国)、Trend Micro(亚太),在不同区域的侦测率,都可以预先防护我们对恶意程式的侦测与攻击。
图二、 MetaDefender Platform Technology
图三、资安厂商区域地图
什么是Deep CDR? 其全名为Deep Content Disarm and Reconstruction (深度内容解除及重建),我们可以简单的解释成-档案解除武装化(深度清洗);解除武装?没错!我们可以思考一下如果所有的档案进到企业环境前,都缴交了具攻击性的武器,那进到企业内部后就不存在任何的威胁了,这就是我们一直在提到的“档案零信任”,Trust no Files. Trust no Device. ,同时Gartner 也提及了一件重要的事,越来越多的恶意软体正在做着规避侦测的动作,以往利用特征、沙箱等技术都存在着许多被规避的风险,CDR的技术可以大幅提升防护等级。
图四、 Gartner 提到CDR的优势性
好的,那重要性是什么!?我们所知道的攻击,叫做“已知”攻击可利用,但存在于很大一块的“未知”攻击事件,对于零时差攻击来说,其利用“未知”弱点进行攻击,换言之在一个弱点探知利用的周期(弱点公布、利用、修补),很多的安全防护是无法侦测防护的,那么我们要怎么预防呢?这答案就是深度清洗,把一切可能被利用的介质,解除它的武装,让使用者接触时皆是属于一个安全状态,这样一来我们就可以达到一个边界的安全防护。
底下是个范例:当文件中存在本质上不应该存在的物件,透过解除武装后,同样的档案还是可以正常使用,将具备武装的物件清洗移除。
图五、文件清洗范例
2022年3月,日本总务省发布了地方政府信息安全政策指引(https://www.soumu.go.jp/main_content/000805453.pdf),该安全政策指引中提到LGWAN (Local Government Wide Area Network) 需注意的关键事项,需注意危险因子去除的重要性,其关键在于档案交换、使用时之安全性强化,着实也强调着CDR的重要性。
OPSWAT 透过DEEP CDR的技术来强化企业的安全边界,现在您可以将MetaDefender Core的技术应用在Mail Security、Network Security、File Secure Storage、Kiosk、Vault 等等的应用场景,此外MetaDender Core API 提供更多整合的方式,让CDR的技术更易于整合在各种不同的环境中,多样的部属模式选择包含云端、地端、封闭式网路及Docker部署架构满足在不同环境下的需求。
图六、OPSWAT 提供多样化的部属选择
文章来源:Kent Chou / OPSWAT技术顾问