武漢肺炎的疫情持續擴大,在3月第3週,全球確診人數已突破20萬,臺灣也達到100人確診的狀態,開始有更多公司實施在家辦公(Work From Home),大家不只是要設法適應這樣的工作環境,在整體資安防護上,企業也必須要注意網路邊界的消弭,將更勝以往,單靠傳統閘道式防護,可能無法因應如此複雜的局面。

隨著武漢肺炎的全球擴散,一個員工感染,可能就會影響整間辦公室、樓層、建築物的人員安全,不只是要進行環境消毒,許多人可能必須進行居家隔離,若要維持企業日常運作,需要在家辦公的人員數量大增,已經不再只是支援部分業務人員、短期出差、駐外人員,「全員」甚至長期在家辦公,已經成為現實,而在這樣的狀態下,企業不只是要設法提供各種線上辦公服務,更要注意網路防護措施的邊界已經與先前大不相同,若繼續仰賴防火牆這類閘道管制的作法,可能有許多層面無法涵蓋。

若要解決這樣的問題,關鍵仍在於,企業能否能隨時掌握端點狀態與網路流量的能見度(Visibility),並且具備更全面的內部威脅管理能力(Insider Threat Management)。

若以端點的部份來看,這讓我回想到17年前SARS肆虐之後所興起的資安應用:端點安全評估(Endpoint posture assessment/health checks),以及網路存取控制(NAC)。

當時,企業對於VPN這類遠端加密連線的使用,越來越頻繁,可選擇常見的IPsec VPN,或是設定更為簡單的SSL VPN,然而,VPN只能保障連線傳輸過程的機密性,但兩個端點是否安全,卻不是這樣的技術所能涵蓋,因而衍生出VPN端點防護的議題。

這是因為,當員工無法進入辦公室工作,他們使用的個人電腦可能需透過VPN連入企業內部網路,才能存取各種應用系統與檔案,但此時這些端點所取得的IP位址就會是內部網路的設定,假如電腦本身帶有電腦病毒或網路蠕蟲,就有可能感染公司內部網路的其他電腦,或是這些電腦未落實作業系統與應用系統的安全性更新,沒有安裝各種必備的漏洞修補程式,而不幸的是,公司內部網路原本就已存在感染惡意程式的電腦,此時,員工手上的這臺電腦就有可能因VPN連入公司內網,而面臨感染的風險。

更後來,市面上,又陸續出現了不少打著NAC旗幟的產品,希望結合端點資安健全狀態評估。若員工的個人電腦要連上企業的內部網路,不論是直接存取或是透過VPN連入,一旦系統偵測到電腦狀態不合乎公司資安要求,例如,作業系統未啟動定期更新、太久沒有更新、未安裝弱點修補程式,或是防毒軟體未安裝、更新度不足,以及未啟動個人防火牆等措施,企業就不提供對方繼續連線的服務,而是會將其進行隔離,隨後通知IT人員處理,或是強制施行矯正措施。

在那時候,市面上能夠提供NAC的產品類型相當多,從專屬的NAC系統,一路延伸到網路交換器的協同防禦、SSL VPN結合端點狀態評估、DHCP Enforcer,甚至連伺服器作業系統都支援(例如,Microsoft NAP)。不過,由於相關的設定相當繁瑣,廠商之間的互通性也不足,導致這類解決方案的接受度並不高,廠商也越來越少在市場上主推。

近年來,隨著物聯網威脅的崛起,有些廠商將NAC端點控管相關功能特色,延伸為當前眾所關注的資安議題,例如,IoT安全、裝置能見度(Device Visibility)。而這樣的發展,恰巧也能因應當前突然迸發的全面在家辦公需求。從悲觀的角度來看,因VPN而導致外網通內網的狀況,恐怕須維持一段時間,建議企業不只要考量網路效能、頻寬與可靠度,對於連網設備,尤其是員工從家裡連到公司網路的設備,仍要多加提防。

專欄作者

熱門新聞

Advertisement