最新消息

資安產品線相當完整的 Fortinet，在郵件、閘道端等實體設備皆採以相同 FortiOS 作業系統版本，在 2018 年發布 6.0 版本時，是以內建 CDR (Content Disarm and Reconstruction) 方式提供，既有 Fortinet 設備只要可安裝 FortiOS 6.0 版，無須額外授權立即可用。

Fortinet 技術顧問楊志豪指出，基於網路安全平台的資安廠商，優勢之一在於可延伸研發異質技術來建構多層次防禦架構，例如當前外部威脅滲透管道以網頁服務與郵件為大宗，便可基於 FortiGate 與 FortiMail 設備平台上啟用 CDR，把潛在威脅的部分予以去除，同時整合 FortiSandbox 模擬分析與偵測。

「通常啟用 CDR 機制的企業，主要是假設所有檔案都可能被利用來發動攻擊，經過進階分析確認安全性後，才讓使用者可取回完整的檔案，即可大幅降低遭受感染的風險，同時也確保使用者體驗。在便利性與安全性方面取得平衡，始終是資安控管政策與措施持續改善的要項，這也是 CDR 機制整合沙箱技術的用意。」楊志豪說。

沙箱模擬分析確認檔案安全性

經過 FortiSandbox 模擬分析後取得的情資，會分享給部署在不同位置的 Fortinet 解決方案以擁有辨識能力，藉此預防資安事件的發生，這正是 Fortinet 近年來提出安全防禦織網（Security Fabric）的主軸，包含網路節點、後端伺服器、網路接入點、終端等應用場景，皆已具備相關的解決方案，讓彼此可共享不同環境下所掌握的情報。

其中 FortiSandbox 扮演相當重要的角色，基於沙箱技術模擬分析可進一步確認檔案的實際執行行為。楊志豪舉例，當外部檔案傳輸經過 FortiGate，可先行運用 CDR 來處理，再交付給最終用戶。經過 CDR 處理後的檔案，會在文件中加註，說明元件已經移除；同時原始檔案會交付給沙箱，運行模擬執行分析，產生的結果除了發布給 SIEM 等統一控管平台，終端用戶的系統環境亦會出現視窗通知原始檔案已可下載，只要點選連結即可執行。

CDR 機制之所以搭配沙箱技術，主因在於許多使用者的工作流程難以忍受好幾分鐘的等待時間，若顧及安全性須先把檔案送到沙箱環境確認，此時透過 CDR 清除掉檔案內嵌可能被攻擊所利用的元件，即可在安全無虞之下降低對於使用者工作流程的影響，待檢查確認安全性後再自行完整取回，以降低在嚴謹的資安控管機制下影響生產力的程度。

高層授權嚴謹控管工具輔助發揮效益

較可能產生爭議的是傳統文件本就運用巨集、VBA 語言來提升效率，接收到的檔案卻已經被 CDR 機制所清除，儘管嚴謹的資安控管機制不應該有妥協餘地，但是就真實現況來看，CDR 控管政策幾乎皆有提供例外的配置，以便於排除特定人士。

「資安控管相關的人、工具、流程，三大要素中，人的問題最難解，原本在工作流程中設計的保護措施，可能為了提高特定人員的生產效率被迫失效，成為流程中最大的資安漏洞，特別是高階管理層。」楊志豪說。CDR 機制的作法確實可去除掉檔案潛在威脅，但是當老闆收到的報表檔案居然無法呈現時，承辦人員勢必會接收到壓力，開始增添例外設定，最終導致 CDR 無法發揮效益。由此可發現，資安控管措施必須要有法規或高層的支持，否則很容易受到人的因素影響而失效。

就產業現況來看，楊志豪觀察，除非是軍方單位才可落實達到百分之百運用CDR 控管進出的檔案，就連過去的 DLP（資料外洩防護）技術也能做到嚴格實施，例如紙本文件在列印時無須人為介入即可自動加上浮水印等機制，以便於追蹤使用單位與個人。「金融業中涉及個資的相關部門，對於資安要求也相當嚴格，至於一般企業，實際上需求則不多。會採用沙箱技術防護 APT 攻擊的單位已經具備資安意識，至於搭配 CDR 的需求，則可能是觀念更進階的企業，整體市場仍舊需要經歷一段時間教育宣導才會普及。」

平衡安全與便利性降低用戶的反彈

為了對抗日漸刁鑽的滲透攻擊，Fortinet 亦持續不斷地強化現代資安防護基本應該具備的功能性，CDR 即為其中一項，直接內建在作業系統環境，不用授權立即可用。可支援的程度亦會優先以大眾需求為主，現階段 CDR 可處理的檔案格式主要為 Office 、 PDF 文件，也是如今攻擊者主要利用來散播攻擊程式的主要載體，尤其是 PDF 格式可內嵌 JavaScript，等同於具備執行能力的文件檔，且功能元件隨著版本更新日漸增多，不僅產生漏洞的機率變高，同時也可利用來植入滲透程式碼。

對於剛開始接觸 CDR 機制的 IT 人員而言，實際上只要懂得 Fortinet 設計的操作邏輯，即可快速上手。楊志豪說明，Fortinet 操作介面的排版模式，從以前的 FortiOS 2.8 直到現在的 FortiOS 6.2，幾乎沒有變過，讓 IT 管理者得以在 FortiOS 版本的迭代過程中，仍舊可基於慣性的功能排序與設定配置邏輯，很容易理解與上手，達到無痛升級，如此一來，IT 管理者才可善用解決方案之力發揮應有的效益。針對不同應用場景可能遭遇到複雜的設定需求，Fortinet 亦有提供指令集模式讓進階IT管理者可細部微調，以達到控管的目的。

Fortinet技術顧問楊志豪指出，Fortinet在發布 FortiOS 6.0版本時即已內建CDR機制，只要是可安裝該作業系統的機種皆可採用，不用額外授權即可強化現代資安防護基本應該具備的功能性。

至於控管架構，欲分隔網路與郵件流量以便個別進行解析與偵測，可部署FortiGate 與 FortiMail 實作，搭配 FortiSandbox 建立共享情資。楊志豪認為，資安技術是確保安全性的手段，勢必會有為圖方便而犧牲安全性的使用者，就得由制度面來建立強制性，例如日本政府於 2017 年實施的郵件無害化措施，或是持續透過資安教育提高使用者意識。當使用者無法自主提升資安意識的狀況下，只好由技術手段來防範遭到勒索與詐騙事件。

事實上，日本政府實施的無害化即是運用 CDR 來實作。只是日本政府規範相當嚴謹，整份檔案是直接轉換成純文字檔，CDR 機制則是增添可取回原始檔案的設計，目的即是為了在安全與便利之間取得平衡，可依據各家企業的管理文化彈性調整。

此外，整合 FortiGuard Labs 提供的威脅情資服務，亦可說是 Fortinet 的優勢之一，例如若透過 FortiAnalyzer 運行分析後才發現已經遞送到終端用戶的檔案為最新惡意攻擊手法，屆時亦可通知 FortiGate 執行攔阻措施，防範新型態威脅入侵。「現代資安無法採以過去單打獨鬥的模式，必須要整合多重領域的能力，CDR 機制則只是其中一項功能，在安全無虞的前提下最大程度降低影響使用者工作，至少保有最低限度的生產力。」楊志豪強調。

文 / 洪羿漣  < 全文轉載自網管人 >

https://www.netadmin.com.tw/netadmin/zh-tw/trend/226EC5D168CF4945A835CB5879F5E4C5