FineArt News

資安新知

端點防護v.s.零信任

端點移動中,控管怎麼跟著走

端點裝置指的是公司配發的筆電設備,在離開公司的安全環境後,除了防毒軟體防範病毒或木馬的攻擊外,公司機密資料保護工作就落到端點防護軟體上。

對於會移動的筆電管理員必須預先制定所有情境下的控管政策,以下是建議作法

 

制定使用者或電腦的離線政策
當筆電在公司內部套用一般政策,一旦筆電離開公司自動套用離線政策,至於離線政策的制定還須確認使用者的職位或使用情況而定,

  1. 業務人員:如果使用者為四處跑單的業務人員,則離線政策可能無法制訂得太嚴格,需要有些彈性,安全性與方便性必須兼具,至少記錄不可少。
  2. 內勤人員:通常內勤人員帶筆電應該是在家上班,因為這種辦公方式必須透過VPN連線回公司作業,對於內勤帶筆電回家連接家裡網路導致中毒的疑慮,建議可將政策制定嚴格,甚至可達到離線政策所有網路通訊埠都關閉,只保留VPN通訊埠,並將周邊裝置與網路連線功能都禁用,讓電腦只能透過VPN連線至公司作業,阻斷資料洩漏可能的管道。

VPN連線套用網段政策
建議可在防火牆設定依據不同部門VPN連線回公司取得不同網段IP,然後在X-FORT上設定依據各部門的VPN網段套用各自的政策,使用此功能的前提是防火牆必須設定透過VPN連線回公司的電腦必須可與X-FORT Server連線,網段政策才會生效,當VPN斷線時,用戶端政策會自動套回離線政策。

不同廠區套用網段政策
上述的VPN套用網段政策也可使用在不同廠區、樓層、辦公室等不同空間,端點電腦到達不同的網段會拿到不同的IP,依據網段政策套用指定的政策。

遠端桌面連線時啟用暫時政策
當公司宣布在家上班實施時,公司筆電可能不足以分配給每位員工帶回家上班,必須透過員工家裡私人電腦VPN回公司後再用RDP連線到公司X-FORT電腦辦公,這種情境建議啟動「遠端桌面連線時套用暫時政策」,當員工RDP回到公司X-fort電腦就會套用指定的暫時政策,而當員工回到公司上班,會自動套回該員的連線政策。
※注意事項:起訖時間要設定為過去時間。 

自適應政策
如果不想一個離線政策一路套到底,而是希望使用者若有特殊行為就套用指定政策,建議使用X-FORT EDR模組的自適應政策,自適應政策必須由管理員事先制訂好何謂特殊行為,這些行為可複數組合設定,例如:某業務會帶筆電至越南、印尼、中國出差,管理員希望該業務到特定國家就套用特定政策。

上述的需求採用自適應政策的用戶端所在國家事件,一旦偵測到X-FORT用戶端在指定國家,政策會自動套用指定的政策,依據上述例子需要建立三個偵測條件

  1. 偵測國家 > 越南 > 套用A政策
  2. 偵測國家 > 印尼 > 套用B政策
  3. 偵測國家 > 中國 > 套用C政策

如果該員所在國家不在上述3個國家,就自動套回離線政策。

 

端點防護的零信任

何謂端點零信任,以應用程式控管為例,端點防護的軟體控管最麻煩的就是只有黑名單,只能對於已知的軟體進行控管,對於未知的軟體確無法控管,如果採用白名單就是零信任,只對已知的軟體進行信任,已知的軟體才可以執行,未知的軟體一律無法執行,依據這樣的邏輯,端點防護的零信任可分為以下幾項


外接碟零信任
只有公司註冊過的外接碟才可使用,私人的外接碟接入公司電腦無法使用,若執意要使用私人外接碟且不想被註冊,則可有限度的開放讓私人外接碟接入公司電腦可唯讀。

印表機零信任
正向表列,列出已知的印表機,未知印表機一律無法列印,若為了在外出差方便起見,對於未知印表機一率啟動列印記錄、列印內容備份,更嚴謹點可啟動列印檔案備份,讓零信任之下給予有限度的權限。 

網頁上傳檔案零信任
特殊網頁控管指定公司已知合法網站可上傳檔案,其他未知網站一律無法上傳檔案或者拖曳檔案上傳,若使用者需要特定網頁上傳則須申請放行,再由管理員給予申請的網站可上傳功能。

網芳分享零信任
端點電腦預設無法透過網芳把檔案寫出到非信任電腦,所謂非信任電腦就是未安裝X-FORT的電腦,都無法透過網芳互傳檔案。 

應用程式連線零信任
此處舉個較極端的例子,對於分配給在家上班員工的筆電,套用離線政策時通訊埠只開放VPN連線程式的通訊埠,如此該電腦即使連上家裡網路也無法上網,只能使用VPN連線回公司辦公,其他應用程式可正常執行,但是就是無法連線,雖然此種方法犧牲掉非常多的方便,但得到的卻是更多的安全性。

WiFi無線基地台零信任
只能連線公司允許的無線基地台,無法連線非白名單以外的無線基地台,以此可防止連線到陌生無線基地台而有門戶大開的風險。

應用程式控管零信任
建立電腦上安裝的軟體為白名單,白名單以外的軟體一律無法執行,可杜絕誤執行到來路不明軟體而被植入木馬或後門程式。

 

政策制定的注意事項

政策制訂一般就是依照公司資安政策而定,建議系統管理員制訂政策可預先分析行動工作者各種操作及情境,區分高、中、低風險等級,制定不同的安全政策,分別套用事件反應政策,或是自適應切換政策,達到更全面與安全的管控。

  • 依VPN連線
  • 透過RDP連出、被RDP連入
  • 依地理位置、區域
  • 依網段、廠區、辦公室
  • 離線政策
  • 共用電腦 > 電腦政策
  • 依特定行為 > EDR自適應政策