FineArt News

資安新知

X-FORT 保護程式碼及敵我識別安全設計

在企業組織環境內,內部人員威脅(以下通稱Insider)與外部入侵竊取,雖然都是Hacking與竊取智慧資產行為,兩者卻有著很大的不同。其差異在於,外部入侵者,需要較長時間的資訊環境嗅探分析或是社交工程操作後,漸漸勾勒出入侵標的的環境資訊,進行入侵竊取,甚至不斷選定目標再次重複上述作業,直到達成預計成果。
反之以Insider角度,本就涉入其中,且熟悉內部資訊狀態與管制環境,甚至掌握某些渠道繞過管制的手段,在資料竊取上,Insider有著「天之驕子」所具備的便捷與資訊,雖不具備企業組織MIS內控的超級權限,也足以在企業環境中,有機會順利竊取資料,並攪起「一池春水」。所以企業內部「披著羊皮的狼」,將帶給企業組織重大的損失。更遑論若涉及國安軍事外交科技…等高度敏感的組織,應更加關注相關管控。

 

VDI與DLP是整合後更安全的防護合作關係

VDI確實具備了某些DLP的基礎能力,可是往往被過度渲染,但不可否認VDI可以讓MIS部門建立統一的管控的標準、資訊資產的一致性…等優點,以MIS管理角度確實可以減輕負擔。但是,若涉及到企業組織的資料防守或是事後的鑑識分析,那就另當別論了。精品長期關注各類資訊系統整合應用環境的攻守,將解構VDI的應用迷思。

  1. VDI無法取代強大的DLP的攔阻與記錄功能,在國際資安專家以及駭客論壇的技術交流中,即便是App模式,都可以穿透,更不用說Insider具備了登入的權限,一些簡易的方法就可以利用作業系統底層指令達到資料竊取的目的。
  2. Insider熟悉內部網路環境與控管,可以利用電腦與主機間的操作與防禦縱深之脆弱性,達到穿透竊取的目的。
  3. 在網絡世界中,也有駭客組織所販售的實體MITM的裝置將螢幕資訊進行側錄,所以VDI所提供的螢幕記錄,並不足以證明誰竊取了資料,其對策仍須仰賴DLP的管控與記錄分析能力。
  4. VDI有所謂動態Guest 模式與個人儲存空間,在動態Guest模式(非固定模式)下,可以節省MIS所需要的儲存媒介空間與IT 設備投資成本,但也因動態Guest模式非固定常設,在每次用畢關機後,就會進行清除。所以相關操作記錄將是匱乏,且難以取證。試問當出現資料外洩時,MIS部門又將舉證困難以及管理高層的責難。
  5. 此外,在駭客或是資安專家中,對於VDI已經有許多公開的滲透測試技術,來對VDI環境安全性提出許多滲透入侵模式,所謂攻防非單一產品可以確保,已經是不爭的事實。

讓VDI與資安防護產品各司其職,聯合防守吧!這是在深入分析VDI與企業內部風險的技術工房後的評述。建議可以在網絡世界中爬文,就可以發現許多資安專家對VDI環境安全,所提出的相關建議。

 

聚焦在 SVN Source code 企業研發新安全防護

長久以來對於研發單位的Source Code保護一直是企業組織最難以防守的位置,實體隔離下,總要讓開發結果轉出成獲利的產品,那才是企業生存的重要資產。以SVN為例:

  1. 傳統的DRM產品與運作模式,將其內容加密,卻影響限縮了Diff比對的能力,也大幅降低開發者工作效率以及程式除錯的便利性。
  2. 傳統DRM加密,也易造成檔損的風險,那開發的心血,也付之闕如,不能不小心。
  3. 研發結果最終要轉成正式的產品,在這一環結構上,也是防守脆弱時間點,Source Code容易外洩出去。
  4. 程式開發過程中,會有許多會議或是成果展示,片段source code總會脫離嚴謹實體防護環境,也是另一個外洩的渠道。
  5. 高端研發工程師,也可以透過自己撰寫的程式來Commit或pull相關研發成果,這一環境可是MIS或企業管理高層思考的風險問題呢?
  6. 透過開發工具的Debug 模式,也可以取得source Code,再加以包裝處理後帶出去,企業組織資安稽核部門,也闕如與相關技術掌握能力,在內部風險內控中發現這樣的問題。
  7. 將source 打包成執行檔產品,置入到相關高價值裝置,如機器人或工控電腦賣出。不久後發現被逆向工程反組譯,開發的心血被複製成另一家產品。

這都是在source code外洩常見的風險,您還苦思對策嗎? 精品專業級的SVS產品,可以解決上述的風險,當然在企業內部資料保護應用都可以一體適用。

 

敵我識別功能,解決內部人員私帶裝置穿透防守問題

前述提到VDI與Source Code保護,其實都依整合性安全問題,但是有一段重要管控環節不能忽略,就是敵我識別功能。傳統MIS人員都知道NAC功能,或是以ARP封包阻斷外來裝置,對於以攻擊手段來阻斷一個外裝置,卻也對企業組織內的產生不小的壓力,在資安記錄分析上,就需要花時間去識別與區分,是真的攻擊還是攔阻外來裝置所造成的流量。

另一方面,是否有機會更便捷方式,建立更細緻的防守,舉例來說,讓ERP系統只提供給財會人員使用,但是不能碰觸到ERP的資料庫或是ERP主機管理…等細緻的管控手段。以MIS角度一想到防火牆有著一層一層政策設定,一定十分困擾,有沒有更便捷與快速方法來管理呢?

此外,外來裝置越來越微型化,例如Raspberry Pi,都有機會通過金屬探測門,或是智慧手機在root後變成一個多樣服務伺服器…等,對資安防守方是相對嚴峻的環境。

 

結語

能夠將上述所提的風險問題,集合其優點,以更清晰便捷的管制政策,達到防護的目標,精品科技提出SVT敵我識別系統,並整合與DLP以及SVS管控機制,可以大幅降低企業組織資料外洩的風險與企業營運資訊資產的保護。