【美帝都用】瀏覽器隔離技術 虛擬空間無顧慮上網開電郵附件

黑客的攻擊招數多到離譜，簡單如上網睇戲、購物，都有極大可能踩地雷，可讓黑客暗裝惡意軟件，又或偷走信用卡資料。個人娛樂都算，最慘是現時工作已離不開在互聯網上搵資料，為免公司電腦中招，難道要禁絕員工上網？又或要由公司內聯網隔離一些電腦出來，只供員工上網搵料？瀏覽器隔離（Browser isolation） 技術的出現，就可讓人放心上網，同時又可令電腦免受黑客攻擊。這種技術就連美國國防信息系統局（DISA）亦會於明年全面採用，就知有多強勁可靠。

資安少林寺畢業生

瀏覽器隔離技術，可以簡單地理解為在完全隔離的虛擬機器上執行上網活動，就好似拆彈專家遙控機械人拆炸彈一樣，就算爆炸都不怕炸傷自己。Symantec 於兩年前收購的 Fireglass，其創辦人 Dan Amiga 來頭甚勁，他曾經是以色列國防部（IDF） 8200 部隊的成員，8200 部隊可說是資安界少林寺，很多少「畢業生」都曾經是著名科技公司的創辦人，包括 ICQ、Check Point、Wix、Imperva 等等。

瀏覽器隔離毋須網站認證

Dan 於 2013年創辦的 Fireglass 瀏覽器隔離技術，可以配合各種瀏覽器使用，啟動後用家其實不會覺得有太大分別，各種上網功能例如睇購物網站、睇戲、檢查電郵等，都可以流暢使用；不過，所有執行動作都不會在自己部電腦上完成，而是在 Fireglass 的虛擬機器上執行，然後再將整個運作畫面串流到用家的電腦上；換言之，就算瀏覽的網站或電郵附件有惡意程式，都只會在 Fireglass 的伺服器上引爆，而不會傳送到用家的電腦上，基本上 endpoint 完全毋須安裝任何防毒軟件，企業管理者就不用擔心因為員工去錯網站，又或誤開有問題的檔案，令公司網絡受到黑客襲擊。「現時 90% 的網絡攻擊都來自瀏覽網站及電郵，而且難以防備，以往的做法是透過攔截有問題的網站，減少用家被攻擊的風險，但始終無法百分百安全，而且亦有可能出現過度攔截的問題；所以最新的防護概念已不再是認證網站真偽，而是採取 Zero Trust 態度，browser isolation 運作就可讓用家完全免受病毒攻擊。」Dan 說一個網站的構成代碼很複雜，可以供黑客選擇攻擊的漏洞自然很多，但經過 Fireglass 「過濾」後，用家就會見到瀏覽器的代碼閱讀器上只有一些執行接收串流畫面的代碼，使用時非常安全。不過，如果瀏覽的網站採用很舊的控制項目如 ActiveX 等，Fireglass 就未必能夠顯示到這些內容。

雖然 Fireglass 可以防止 Endpoint 被黑客安裝惡意程式，不過，對用家在網站上輸入信用卡資料，卻未能阻止被黑客截取。Symantec 大中華區首席運營官羅少輝說，「配合 Symantec 的網站分析技術，就可減少用家進入釣魚網站的風險，例如早前 Forbes 網站因第三方供應商的漏洞而被黑客入侵，加入惡意程式將客戶輸入的信用卡資料傳送至自己的伺服器，這些異常的行為就會被我們的網站安全分析技術所發現，從而防止用家被盜取個人資料。」他指出 Symantec 已與超過 120 個技術伙伴，提供 250 種網絡安全技術的整合，可支援企業已採用的產品，毋須擔心整合的問題。

相關文章：【專家主場】「資安英雄外傳」の 資安少林寺 — 以色列8200部隊