【納入使用者行為分析機制】以前,網頁安全閘道以能提供上網第一道防線為主要訴求,但現在有一些新進產品,同時包含了使用者行為分析的能力,能呈現疑似異常的上網蹤跡,例如Citrix NetScaler SWG便有相關功能。

幾乎所有主流的網站,現在都採用HTTPS加密,而這樣的趨勢,也反映在今年的年初,由非營利組織電子前線基金會(Electronic Frontier Foundation,EFF)引用的統計資料指出,加密流量已占大多數。對於企業而言,若是無法解析這種流量,員工上網就會成為嚴重的安全死角。

在小型企業中,很可能因為預算與管理上的考量,統一由次世代防火牆或是UTM設備,控管各式的流量。但對於規模大至上千人的公司,對於HTTPS流量的解析,就需要獨立交由專屬的網頁安全閘道設備執行,藉此在網路效能與使用者上網安全之間,取得平衡。

一般來說,市面上許多資安公司的網頁安全閘道產品,同時擁有企業內部建置的軟體與硬體版本,以及適用於分公司與遠端使用者的雲端服務等型態。其中,軟體版本與實體設備的功能幾乎相同,在許多企業已有虛擬化環境的架構下,純軟體版本的網頁安全閘道便有著能快速建置,以及能輕鬆架設多臺備援設備等特性,且無須包含添購硬體預算的優勢,近年來開始受到歡迎。

雖然,軟體型態的網頁安全閘道,具有部署極為彈性的特質,然而,由於必須檢測加密流量內容,網頁安全閘道經常需要占用大量的運算資源,若是採取建置在企業的虛擬化平臺上,很有可能影響其他架設於虛擬平臺的其他設施運作。在這樣的考量下,企業選擇採用硬體設備型式的網頁安全閘道產品,就有其必要性。

我們發現,從廠商的產品組成與銷售策略中,也能突顯出實體設備的特性。

例如,整併了Blue Coat的資安大廠Symantec,即使是在虛擬化浪潮湧現的趨勢下,他們主打的產品,仍是硬體設備型式的ProxySG和Advanced Secure Gateway(ASG);而最近剛推出網頁安全閘道產品線的Citrix,他們的NetScaler Secure Web Gateway(以下簡稱NetScaler SWG)系列中,實體設備吞吐量從7Gbps起跳,而虛擬設備的版本,最多只能達到5.7Gbps,這也突顯在廠商的定位中,實體設備還是較能因應大量使用者的上網防護。

這些網頁安全閘道設備廠商,普遍朝向能適用於較大環境的方向發展,縱觀各家廠商,幾乎每家都有支援超過千人上線的硬體設備,但相較之下,針對只有百人環境的上網防護,不少廠商改以雲端服務,或是軟體型態的網頁安全閘道供應。在這次測試之中,提供我們測試設備的廠商,僅有身為國產廠商的利基網路(L7 Networks),仍有較小型的款式可選。

在臺灣,超過千人以上規模已是非常大型的企業,但對於網頁安全閘道產品來說,卻僅是許多廠牌硬體設備的入門門檻。不過,這樣的使用者人數,同時還在軟體版本能防護的範圍之內,因此,許多廠商表示,他們並未在臺灣銷售對應的產品,例如Sophos、趨勢科技等,都以提供軟體型式的網頁安全閘道為主,想要取得這種類型的設備,選擇其實並不多。

能從掌握威脅情資的角度來看待企業整體上網安全

針對上網安全的部分,也有廠商從威脅情資的角度,呈現相關資訊,以Forcepoint網頁安全閘道為例,就是以發動攻擊的地理位置,提醒管理者加強防護。

找出潛在威脅並提供情勢預測,強化事件管理將是大勢所趨

其實,網頁安全閘道已是成熟度相當高的產品,但現在與以往最大的不同點,在於原本的網頁安全閘道、防火牆、IPS、SIEM等設施,在企業內都是各司其職,但在防火牆陸續加入其他設備的功能,進化為UTM與次世代防火牆之後,也影響企業對於網頁安全閘道產品的需求。

因此,針對上網安全的防護,我們這次採訪時也發現,已經開始有廠商將網頁安全閘道設備的過濾結果,納入使用者行為分析(UEBA)的一環。例如,Citrix就將NetScaler SWG與管理平臺NetScaler Management and Analytics System(MAS)結合,訴求能夠協助企業,快速找出疑似受害的端點電腦與使用者。由於購買NetScaler SWG就能使用MAS,企業無須額外付費,頗有買網頁安全閘道設備,即附贈UEBA分析平臺的味道。

這樣的分析機制,其實並非Citrix獨家,事實上,McAfee Web Gateway(MWG)也提供類似的機制,能與同廠牌SIEM平臺Enterprise Security Manger(ESM)搭配,達到初步分析使用者上網行為,藉此讓管理者得知需要特別留意的情形。

雖然Symantec並未強調使用者上網的行為分析,然而針對ASG與ProxySG設備,他們提供了能與端點防護軟體Symantec Endpoint Protection串連的機制,藉此達到聯合防禦的縱效。

從解析使用者上網行為的角度來看,國內的上網事件管理設備,也算是搭上了順風車。例如這次參與測試的利基InstantCheck,其產品的功能,相當強調在事件調查時,能提供相關上網鑑識資料的能力。

而我們測試時,InstantCheck管理介面的功能也呼應了這樣的訴求,甚至設備也配置了可選購的資料外洩防護功能模組,阻擋使用者傳送疑似含有機密資訊的內容。

但普遍來說,國產資安設備大多偏重控管使用者的行為,對於進階威脅與事件的調查,鮮少提供因應的措施,即便是已經計畫將要推出的功能,也恐怕要到明年才有,這樣的步調,顯然與國外廠商仍有相當的差距。若是採取與其他解決方案整合的措施,盡快提供相關的防護功能,或許還有機會迎頭趕上。

透過硬體設備、軟體系統及雲端服務,隨時隨地保護員工上網

值得一提的是,也有廠商以能夠建立較完整的上網防線為訴求。像是Forcepoint,企業購買了V系列實體設備後,也同時取得軟體版Forcepoint Web Gateway授權,能透過虛擬設備的方式,快速建置相關備援機制。

事實上,我們這次測試的網頁安全閘道設備當中,大部分廠商不只是同時推出軟體版本,也有雲端服務的選擇,可供企業在不同的環境運用。甚至,不同型式的網頁安全閘道之間,能夠套用相同的上網政策,以McAfee Web Gateway為例,管理者就能指定硬體設備部分的政策,同步到雲端服務McAfee Web Gateway Cloud Services,因此使用者無論從公司內外上網,都能夠受到保護。

但相較之下,少數產品只有實體設備型式,部署彈性明顯不足,甚至是嚴重落後。廠商表示,軟體版產品已經在研發規畫之中,未來他們也會有純軟體的網頁安全閘道可提供。


Advertisement

更多 iThome相關內容