FineArt News

為什麼端點防護要自動切換的安全規則?

理論上在確保資訊安全是簡單清楚的規則:IT 應確保只有經過核准的使用者,可以合法存取資訊系統。相信他們存取的原因是正當業務所需,並且假設開始使用也會做正確的操作。然而在實務上,安全的達成一直是安管人員在規則”拒絕” 的一系列靜態過程;「拒絕存取」是在使用者與工作所需的資源之間設置障礙。結果是靜態安全性規則,嚴重妨礙使用者工作效率,並降低組織主要業務處理速度。入侵企業盜竊破壞,甚至網路恐怖主義等風險,已經讓安全防護變成了一種動態的情境,需要採取更智慧的對策。

而COVID-19 大流行迫使組織,快速從完全在公司內辦公或混合辦公室/遠端辦公,轉向配置遠端工作環境。這一轉型最緊迫的挑戰之一是:組織必須面對端點設備安全的保護管理方式發生驟變。重要的是考慮遠端工作的員工,更可能將工作端點裝置同時用於購物、支付帳單和一般 Web 瀏覽活動。這會增加洩漏露公司資料的風險。當遇上網路釣魚郵件相關的事件時,組織的資料安全保護變得脆弱。

 

傳統規則的挑戰

看看網路極端點安全在目前的機制,通常以偵測威脅為應對措施主軸。在邊境建置防火牆控制網路進出,過濾流過的封包資料。當出現不好的事情時就做出針對回應,相對容易實施。但企業內部的幾個變化趨勢:機動工作、遠距工作的員工增加,和雲端服務的廣泛採用,使得傳統的外圍已不容易區分和防守。同樣,網路活動的"好"或"壞"就變得模糊不清。靜態規則就無法正確的適用在不同的情境。

讓我們用一個例子說明傳統規則的侷限性。Alvina 是一位資料分析專家,即將向經理報告研究成果。她嘗試望將簡報檔複製到 USB 儲存裝置上作為備份。傳統的防護規則是,阻擋儲存到USB 媒體上,並示警及稽核記錄。這在業務活動上造成了幾個困擾:

使用者方面

  • 影響使用者,讓Alvina 感到挫折,因為簡單的工作被阻止
  • Alvina 會找到另一種替代方案來解決她的問題
  • 資料保護系統使工作變得沒有效率

管理者影響

  • 管理者被迫需要追蹤事件與警報訊息
  • 過多的警報訊息淹沒安全管理團隊
  • 因為有太多警報,安全管理團隊調整或關閉 DLP 政策

現存於環境中的各種不同的工具和產品,利用不同的技術保護組織的資訊資料。雖然這些工具旨在執行相同資料保護工作,卻在實務上很難真正有效率的管理。這是因為使用靜態的、以威脅為中心的策略來管理存取作業,欠缺良好整合,只能各自提供獨立功能,沒法兼顧多種業務運作活動。

 

主動適應政策調整

為了解決靜態規則無法適當應對變動的環境,主動適應政策根據不同環境條件提前,建立不同對應行動計畫,可簡化團隊管理複雜度,並減低對使用者工作的干擾。建議的適應條件考量:

遠距工作

遠距工作者所使用的裝置,可能是公司的受控設備,也可能自攜帶裝置。工作的場所也可能是咖啡廳、自宅,所面臨的風險不一。依照工作形式切換必要的管理政策,防止不當連線或資源存取。

  • 以公司裝置利用VPN 存取公司的服務
  • 以自用裝置RDP 連入公司裝置
  • 以公司裝置RDP 到另一台公司裝置

 

所在地理區
不同國家、地區因基礎建設完善度不一,可能安全性不足等顧慮。

跨廠區工作
配合當地的安全管理政策。

應用程式執行或連線至重要網站
當指定應用程式被執行,或連結公司內部敏感站台時,安全層級對應調整。

使用者自決(User Override)
部分事件可由使用者自行決定放寬,變更後系統依據條件學習並自動處置。

管理者(主管)核准
除使用者自決外,部分事件變更須經過管理人員核准。

威脅等級變化
威脅等級升高,關閉部分功能,甚至凍結防止事態擴大。

 

結論

目前疫情尚未明朗,依賴遠端工作的環境可能會成為常態。通過識別遠距工作及威脅環境變更,主動適應性政策,變更對應資安等級的方式,並實施必要的行動來應對;組織將處於更有利、更具主動積極防禦的位置,從而維持業務連續保持競爭力。