降低風險兼顧用戶體驗 成功落實檔案安全化

台北報導 - 2019年10月29日
-

 

資安產品線相當完整的 Fortinet,在郵件、閘道端等實體設備皆採以相同 FortiOS 作業系統版本,在 2018 年發布 6.0 版本時,是以內建 CDR (Content Disarm and Reconstruction) 方式提供,既有 Fortinet 設備只要可安裝 FortiOS 6.0 版,無須額外授權立即可用。

Fortinet 技術顧問楊志豪指出,基於網路安全平台的資安廠商,優勢之一在於可延伸研發異質技術來建構多層次防禦架構,例如當前外部威脅滲透管道以網頁服務與郵件為大宗,便可基於 FortiGate 與 FortiMail 設備平台上啟用 CDR,把潛在威脅的部分予以去除,同時整合 FortiSandbox 模擬分析與偵測。

「通常啟用 CDR 機制的企業,主要是假設所有檔案都可能被利用來發動攻擊,經過進階分析確認安全性後,才讓使用者可取回完整的檔案,即可大幅降低遭受感染的風險,同時也確保使用者體驗。在便利性與安全性方面取得平衡,始終是資安控管政策與措施持續改善的要項,這也是 CDR 機制整合沙箱技術的用意。」楊志豪說。

沙箱模擬分析確認檔案安全性

經過 FortiSandbox 模擬分析後取得的情資,會分享給部署在不同位置的 Fortinet 解決方案以擁有辨識能力,藉此預防資安事件的發生,這正是 Fortinet 近年來提出安全防禦織網(Security Fabric)的主軸,包含網路節點、後端伺服器、網路接入點、終端等應用場景,皆已具備相關的解決方案,讓彼此可共享不同環境下所掌握的情報。

其中 FortiSandbox 扮演相當重要的角色,基於沙箱技術模擬分析可進一步確認檔案的實際執行行為。楊志豪舉例,當外部檔案傳輸經過 FortiGate,可先行運用 CDR 來處理,再交付給最終用戶。經過 CDR 處理後的檔案,會在文件中加註,說明元件已經移除;同時原始檔案會交付給沙箱,運行模擬執行分析,產生的結果除了發布給 SIEM 等統一控管平台,終端用戶的系統環境亦會出現視窗通知原始檔案已可下載,只要點選連結即可執行。

CDR 機制之所以搭配沙箱技術,主因在於許多使用者的工作流程難以忍受好幾分鐘的等待時間,若顧及安全性須先把檔案送到沙箱環境確認,此時透過 CDR 清除掉檔案內嵌可能被攻擊所利用的元件,即可在安全無虞之下降低對於使用者工作流程的影響,待檢查確認安全性後再自行完整取回,以降低在嚴謹的資安控管機制下影響生產力的程度。

高層授權嚴謹控管工具輔助發揮效益

較可能產生爭議的是傳統文件本就運用巨集、VBA 語言來提升效率,接收到的檔案卻已經被 CDR 機制所清除,儘管嚴謹的資安控管機制不應該有妥協餘地,但是就真實現況來看,CDR 控管政策幾乎皆有提供例外的配置,以便於排除特定人士。

「資安控管相關的人、工具、流程,三大要素中,人的問題最難解,原本在工作流程中設計的保護措施,可能為了提高特定人員的生產效率被迫失效,成為流程中最大的資安漏洞,特別是高階管理層。」楊志豪說。CDR 機制的作法確實可去除掉檔案潛在威脅,但是當老闆收到的報表檔案居然無法呈現時,承辦人員勢必會接收到壓力,開始增添例外設定,最終導致 CDR 無法發揮效益。由此可發現,資安控管措施必須要有法規或高層的支持,否則很容易受到人的因素影響而失效。

就產業現況來看,楊志豪觀察,除非是軍方單位才可落實達到百分之百運用CDR 控管進出的檔案,就連過去的 DLP(資料外洩防護)技術也能做到嚴格實施,例如紙本文件在列印時無須人為介入即可自動加上浮水印等機制,以便於追蹤使用單位與個人。「金融業中涉及個資的相關部門,對於資安要求也相當嚴格,至於一般企業,實際上需求則不多。會採用沙箱技術防護 APT 攻擊的單位已經具備資安意識,至於搭配 CDR 的需求,則可能是觀念更進階的企業,整體市場仍舊需要經歷一段時間教育宣導才會普及。」

平衡安全與便利性降低用戶的反彈

為了對抗日漸刁鑽的滲透攻擊,Fortinet 亦持續不斷地強化現代資安防護基本應該具備的功能性,CDR 即為其中一項,直接內建在作業系統環境,不用授權立即可用。可支援的程度亦會優先以大眾需求為主,現階段 CDR 可處理的檔案格式主要為 Office 、 PDF 文件,也是如今攻擊者主要利用來散播攻擊程式的主要載體,尤其是 PDF 格式可內嵌 JavaScript,等同於具備執行能力的文件檔,且功能元件隨著版本更新日漸增多,不僅產生漏洞的機率變高,同時也可利用來植入滲透程式碼。

對於剛開始接觸 CDR 機制的 IT 人員而言,實際上只要懂得 Fortinet 設計的操作邏輯,即可快速上手。楊志豪說明,Fortinet 操作介面的排版模式,從以前的 FortiOS 2.8 直到現在的 FortiOS 6.2,幾乎沒有變過,讓 IT 管理者得以在 FortiOS 版本的迭代過程中,仍舊可基於慣性的功能排序與設定配置邏輯,很容易理解與上手,達到無痛升級,如此一來,IT 管理者才可善用解決方案之力發揮應有的效益。針對不同應用場景可能遭遇到複雜的設定需求,Fortinet 亦有提供指令集模式讓進階IT管理者可細部微調,以達到控管的目的。

Fortinet技術顧問楊志豪指出,Fortinet在發布 FortiOS 6.0版本時即已內建CDR機制,只要是可安裝該作業系統的機種皆可採用,不用額外授權即可強化現代資安防護基本應該具備的功能性。

至於控管架構,欲分隔網路與郵件流量以便個別進行解析與偵測,可部署FortiGate 與 FortiMail 實作,搭配 FortiSandbox 建立共享情資。楊志豪認為,資安技術是確保安全性的手段,勢必會有為圖方便而犧牲安全性的使用者,就得由制度面來建立強制性,例如日本政府於 2017 年實施的郵件無害化措施,或是持續透過資安教育提高使用者意識。當使用者無法自主提升資安意識的狀況下,只好由技術手段來防範遭到勒索與詐騙事件。

事實上,日本政府實施的無害化即是運用 CDR 來實作。只是日本政府規範相當嚴謹,整份檔案是直接轉換成純文字檔,CDR 機制則是增添可取回原始檔案的設計,目的即是為了在安全與便利之間取得平衡,可依據各家企業的管理文化彈性調整。

此外,整合 FortiGuard Labs 提供的威脅情資服務,亦可說是 Fortinet 的優勢之一,例如若透過 FortiAnalyzer 運行分析後才發現已經遞送到終端用戶的檔案為最新惡意攻擊手法,屆時亦可通知 FortiGate 執行攔阻措施,防範新型態威脅入侵。「現代資安無法採以過去單打獨鬥的模式,必須要整合多重領域的能力,CDR 機制則只是其中一項功能,在安全無虞的前提下最大程度降低影響使用者工作,至少保有最低限度的生產力。」楊志豪強調。

文 / 洪羿漣  < 全文轉載自網管人 >

https://www.netadmin.com.tw/netadmin/zh-tw/trend/226EC5D168CF4945A835CB5879F5E4C5

關於Fortinet ( www.fortinet.com/tw )

Fortinet (NASDAQ: FTNT) 致力保護全球大型企業、服務供應商和政府組織,為客戶提供完整的智慧型安全防護,以因應日趨擴大的攻擊範圍,並滿足無邊界網路在今日與未來造成的效能需求。唯有 Fortinet 的安全架構能提供滴水不漏的防護,並解決網路、應用程式、雲端和行動環境中最嚴苛的安全挑戰。Fortinet 的安全設備出貨量在全球排名第一,並深受全球 40 多萬名客戶的信任。更多有關Fortinet的資訊,請至 Fortinet官方網站Fortinet部落格,或是 FortiGuard實驗室

Copyright © 2019 Fortinet, Inc。保留所有權利。符號 ® 和 TM 分別代表 Fortinet 公司、其子公司及相關企業的聯邦政府註冊商標和普通法商標。Fortinet 的商標包括但不限於 Fortinet, FortiGate, FortiGuard, FortiCare, FortiManager, FortiAnalyzer, FortiOS, FortiADC, FortiAP, FortiAppMonitor, FortiASIC, FortiAuthenticator, FortiBridge, FortiCache, FortiCamera, FortiCASB, FortiClient, FortiCloud, FortiConnect, FortiController, FortiConverter, FortiDB, FortiDDoS, FortiExplorer, FortiExtender, FortiFone, FortiCarrier, FortiHypervisor, FortiInsight, FortiIsolator, FortiMail, FortiMonitor, FortiNAC, FortiPlanner, FortiPortal, FortiPresence, FortiProxy, FortiRecorder、FortiSandbox, FortiSIEM, FortiSwitch, FortiTester, FortiToken, FortiVoice, FortiWAN, FortiWeb, FortiWiFi, FortiWLC, FortiWLCOS 與 FortiWLM

所有其它提及之商標各歸其擁有者所有。Fortinet 並未獨立驗證本處第三方機構所做之聲明或認證,亦不為此處任何聲明背書。即使本文載有相反規定,此處任何內容均不構成 Fortinet的保證、擔保、契約、具約束力的規範或其他具約束力的承諾,也不構成與具約束力的承諾和效能有關的任何意向指示。此處的規範資訊可能僅屬於某些環境。本新聞稿可能包含涉及不確定性和假設性的前瞻性聲明,例如與技術發佈有關的聲明等。我們透過 www.sec.gov 送交給美國證券交易委員會的文件中提及的情況變化、產品發佈延遲或其他風險可能會導致結果與本新聞稿中明示或暗示的結果有重大差異。若不確定性獲得實現或此類假設證明為不正確,結果可能與此類前瞻性聲明與假設所明示或暗示的結果有實質差異。所有非歷史事實以外之陳述即可視為前瞻性陳述。Fortinet 沒有義務更新任何前瞻性聲明,並明確聲明不承擔此義務。