防護能力1:下載位於企業外部的檔案,整合檔案無害化等檢測應用

有別於桌面虛擬化訴求的資料不落地,無可避免的,遠端瀏覽器隔離上網系統(Remote Browser Isolation,RBI)的運作過程中,雖然將實際存取網頁的過程,都透過使用者電腦外部的環境執行,但對於想要存放到電腦上的檔案或是資料,便可能成為駭客用來滲透的管道,為此,由漢領國際代理的Ericom Shield、達友科技代理的Menlo Security Isolation Platform,以及Symantec買下Fireglass後,推出的Web Isolation這3款RBI防護產品提供了各式的檢測機制,或是支援與其他防護系統整合。

以Ericom Shield來說,對於使用者下載的檔案,它內建了Votiro的檔案內容消毒與重組(Content Disarm and Reconstruction,CDR)機制,藉此重組微軟Office文件、PDF檔案,以及圖片內容,並去除可能有害的巨集或指令碼。而最近的新版本18.07,支援Check Point SandBlast Cloud雲端檢測服務,因此企業也可選擇這項服務,與Ericom Shield搭配,檢查使用者下載的檔案。

而Menlo安全隔離上網系統中,則是內建了3項檢查流程,並且能夠結合外部沙箱的措施。這項檢查的進行,先是與VirusTotal特徵碼比對,再交由Sophos Intercept X掃描,最後送到Sophos Sandstorm雲端沙箱。若是企業內部已經建置了沙箱檢測設備,像是Palo Alto WildFire,Menlo也能連接,執行第4種檔案檢測機制。不過,這款產品尚未支援檔案內容消毒與重組,代理商達友科技表示,原廠計畫未來整合Opswat的解決方案,不過,尚未有明確的時程。

至於Symantec Web Isolation的部分,在支援檔案掃描的防護系統上,包含類型算是最多元,有沙箱、防毒檢測,以及Google威脅情資(Safe Browsing),也能運用Votiro和Opswat檔案內容與重組系統,讓使用者在存取網站而下載文件或是圖片時,也能得以藉此消除其中有害程式碼。

不過,在檔案下載的處理中,這3套產品的做法也有所不同。Menlo與Symantec推出的系統裡,對於文件、圖片、壓縮檔案等,提供了預覽的機制,相較之下,Ericom Shield只有顯示執行檢測的進度,使用者無法利用前述的預覽機制,確認下載檔案的內容。

再者,則是對於採用密碼保護的文件與壓縮檔案,Menlo與Symantec的RBI產品,支援使用者手動輸入密碼後,再行預覽內容。而在Ericom Shield當中,管理者僅能採取直接放行或是封鎖,比起另外2款系統的處理方式,較缺乏彈性。

除了能夠針對下載的檔案進行檢查,Ericom Shield與Symantec Web Isolation等2款系統中,也對於使用者端電腦剪貼簿的內容,提供相關管制功能,避免使用者將網頁上可能有害的內容,複製到電腦中。其中,前者主要是限制指定使用者瀏覽特定的網域時,無法使用複製和貼上的功能。

相較之下,Symantec Web Isolation所具備的管制措施,便豐富許多,像是能指定禁用的類型,例如能允許使用者複製頁面上的文字,但無法取得網頁中的圖片,或是網頁中的HTML內容等。附帶一提,對於敏感資料的複製和取用,這套系統也可記錄當下複製的內容,管理者日後若是想要從Web Isolation裡,找尋攻擊事件的蛛絲馬跡,這些記錄就能做為佐證的資料。

防護機制2:提供唯讀管制,網頁仍可存取,但禁止輸入任何內容

由於這種遠端瀏覽器隔離的上網防護系統,訴求即使網頁中出現了有害內容,也不會直接波及使用者的電腦,因此,在存取網頁的策略上,普遍盡可能讓使用者能檢視想要存取的網站。相較於現有的上網防護機制,像是次世代防火牆,或是網頁安全閘道而言,我們前面提到的3款隔離上網產品,都額外提供前述防護系統中,所沒有的管制政策。例如,只能檢視網頁的唯讀模式(Read-Only),換言之,設置這種管制政策後,使用者還是能夠瀏覽網頁,但是無法在頁面上的對話框,輸入任何內容。

當然,這種唯讀模式的目的,主要便是在放行和禁止之間,提供能夠檢視網頁的彈性,但禁止使用者輸入任何內容,以避免產生資料外洩的風險。而當管理者啟用了這樣的政策之後,使用者若是存取被限制只能讀取的網頁時,防護系統便會在瀏覽器的下方,以訊息視窗顯示,這個網頁受到管制,目前以唯讀模式執行。

雖然,市面上可取得的3款RBI產品中,管理者都能針對特定類型或是網域的網頁,採取頁面唯讀的管制政策,不過,做法上還是有些差異。

像是Symantec Web Isolation中,便增加了可由使用者確認後,暫時解除唯讀模式的按鈕。對於部分需要批準才能使用的線上電子郵件信箱,或是協作平臺等網站,員工便能在知會主管並取得許可的前提下,能夠輸入文字、剪貼內容到這些網站上。

而對於防範使用者隱私資料外洩的風險,Symantec Web Isolation也整合了自家的威脅情資,在系統與情資比對下,若是發現疑似不安全的連線時,自動禁止使用者送出已輸入在網頁上的內容。

RBI可讓管理者快速得知運作狀態和威脅態勢

以維運狀態為主軸的儀表板

對於Ericom Shield系統的資源控制,是這套產品著重的功能之一。從它的儀表板中,優先顯示與負載有關的資訊,便可見一斑。圖中的儀表板上,呈現了處理器、記憶體,以及儲存空間等資源的使用情形,並列出系統中各個伺服器的基本資訊。

以詳細的分析結果列出各項訊息

面對網頁防護的情勢,Symantec Web Isolation雖然也採用了多種圖表,但與前述Menlo儀表板不同之處,在於Symantec加入了許多進階功能,像是與網路環境有關的統計數據,而左側也提供事件型態的篩選機制,讓管理者能鎖定特定的目標,得知上網所出現的威脅。

統整流量與威脅情勢的儀表板

在Menlo的管理界面首頁中,儀表板列出了來自上網流量與電子郵件的威脅情勢,並針對流量和威脅提供有關的分析圖表。而管理者也可向下追蹤,對於單一圖表檢視較為詳細的資訊。

 相關報導   用瀏覽器隔離建立上網新防線


Advertisement

更多 iThome相關內容