從防疫反思網路安全策略

近日武漢肺炎侵襲世界各地，截至2月26日為止，全球確診人數已突破8萬，南韓、義大利確診病例數量在前幾天突然暴增，面對急遽升溫的疫情，各國政府也必須採取公共衛生層面的因應對策，像是邊境檢疫、交通管制、居家隔離、衛教宣導、落實環境清潔消毒。

而在臺灣，商家、企業、校園也全部動員起來，主動而積極地實施各種措施，例如，在許多公共場所，業者或組織都會針對進出人員，實施量測額溫、要求配戴口罩、提供藥用酒精與乾洗手液、宣導多洗手等措施，而清潔人員也加強環境的消毒，小到電梯的內外按鈕，大至樓梯扶手，每天三班制進行。

而在人員的活動上，全國的中小學延後至2月25日開學，各校都在學生進入學校之際，均施行了體溫檢測流程，當中會先量測額溫，若高於37.5度，會再量測耳溫，若高於38度，會聯繫家長帶該生就醫、返家休息，不列入缺席記錄（有的學校還額外在校門口，設置了紅外線體溫感測裝置、紅外線體溫成像儀，之後再進行額溫量測）。若師生感染武漢肺炎，教育部也公告停課標準。

上述這些大多都是實體的武漢肺炎防疫對策，若對照企業網路安全的防護，既有的作法與近幾年興起的一些資安概念，剛好都可以與其相互呼應。

首先是防毒防駭的檢測，以及受感染裝置與檔案的隔離，我們會實施在個人電腦與網路邊界等位置，接下來，我們會設法實施多層次的縱深防禦（Defense-in-Depth），在不同的接觸管道當中，布下檢測器，以防惡意軟體與網路攻擊突破單點防禦之後，長驅直入內部網路，或對其他位屬同網域的個人電腦、伺服器、連網設備，發動橫向式的移動或攻擊（Lateral Attack）。

另一個很重要，很多人可能聽過但還搞不太清楚的策略，那就是我們前幾年介紹的零信任（Zero Trust）模式，這裡面的核心概念正是「Never Trust, Always Verify」。若要落實相關的作法，除了不厭其煩地持續檢測，最好還能搭配適當的網路分割機制（Network segmentation），達到分而治之（Divide and conquer）的效果。我們透過多個相互隔離的網路區域，將所有可能受到攻擊的端點設備、應用系統，分別置於一個範圍較小的網路當中，簡而言之，這形同「將雞蛋分到不同的籃子裡面」，可分散風險。

關於隔離的措施，其實不只是為了從網路底層的存取來著手，避免事後造成更大規模的感染和擴展，平時我們在存取各種系統時，若能做到遠端隔離存取，也有助於降低風險，縮小受到攻擊的層面。想讓企業內部環境具備這樣的特性，過往我們可以選擇導入桌面虛擬化、VDI、遠端桌面、Thin Client等解決方案，現在我們可以考慮更輕量、動態的遠端瀏覽器隔離（Remote Browser Isolation，RBI），僅透過瀏覽器來操作執行在遠端容器環境裡面的應用系統。

接下來，我想談談消毒與衛生。關於威脅防禦的技術，有些廠商發展出「內容清理與重建（Content Disarm and Reconstruction，CDR）」解決方案，為了讓普羅大眾更容易了解其作用，於是，用了資料消毒（Data Santization）」來形容CDR的成效。

談到如何替網路傳輸內容與收發的檔案消毒，許多人應該也會期盼網路世界應該要有公共衛生的概念。而在很多年前，一些國家因為憂慮網際網路充滿各種資安威脅，已開始著手推動網路衛生（Cyber Hygiene），而經過了這麼多之後，網路安全威脅始終有增無檢，如何持續落實相關的防護，確保網路環境是潔淨無毒、可安心使用的，更是當前企業、民眾所關切的重大議題。