【避無可避】數碼轉型、遙距工作大勢所趨 及早部署端點防禦阻擋入侵
隨著企業增加使用遙距辦公室,並擴大採用混合工作模式的員工團隊,端點因此更易受到攻擊。有個別國家更作出行政命令,指示必須提升網絡安全防禦力,而其中一項目標就是關於提升端點偵測及回應(Endpoint Detect and Response, EDR),可見政府機構及企業在端點防禦上吃了不少苦頭。事實上,企業在數碼轉型或遙距工作模式的大趨勢下,必然要加強端點防禦,所以早前 ICT 服務供應商中信國際電訊 CPC(以下簡稱 CPC)及網絡安全公司 Check Point 便舉辦了一次座談會,由雙方的專家講解部署端點防禦及其所面對的挑戰,並分享提升 EDR 效能的心得。
雲端應用普及 拉闊網絡安全防禦面
「Endpoint = Weak Point」,CPC 戰略和產品開發及管理部高級產品顧問 Sung Liu 一開始已點出了現時企業網絡安全問題的癥結,無論是因為企業的數碼轉型熱潮,抑或受新冠疫情所影響,都令企業採用更多雲端應用服務及遙距辦公工具,大大拉闊了網絡安全的防禦面。 Sung 強調在網絡安全上,人是最難控制的元素,但由於以往大部分企業都會建立一個相對安全的內部網絡環境,包括架設防火牆、入侵預防系統(IPS)等阻止黑客入侵,當員工在公司內使用電腦工作,即使員工疏忽打開可疑檔案或連結,仍有安全工具作為把關防線。「不過,疫情下企業改變成遙距工作模式後,即使部分企業會向員工提供公司電腦,但由於已離開了內部網絡,防禦力被大幅削弱,黑客自然不會放過大好機會,因此EDR 服務便變得非常重要。」
難百分百迴避入侵的風險 預防措施減中招風險
對於端點防禦,Sung 認為在上述不安因素下雖然難以達到百分之百零中招,但仍有不少措施可以減低入侵風險。首先必須控制員工可以使用的應用服務,因為員工有可能使用影子 IT(shadow IT)工具例如個人雲端儲存服務,與客戶或同事分享公司資料,這些工具因缺乏安全保護,增加數據外洩風險。其次是為員工提供沙盒(sandbox)工具,讓員工透過沙盒開啟可疑的連結或檔案,減低企業安全風險。此外,企業在發生資訊安全事故時,亦必須盡快控制入侵範圍,減少損失。他以一個製造業客戶的成功個案為例,今年中這間公司的端點設備曾被勒索軟件入侵,但在 CPC 的事件回應(Incident Response)服務及 Check Point 的 EDR 工具的防護下,成功阻止勒索軟件感染其他電腦設備。CPC 亦非常重視事後審查,找出黑客利用的漏洞再加以堵塞。因為過往有不少真實個案顯示,勒索軟件的受害企業在交付贖金後,很快又再度受到攻擊,箇中原因是漏洞仍然存在,黑客輕易地再利用相同方法入侵,因此必須找出問題所在,才能確保端點不會再受攻擊。
整合端點數據 及早揪出可疑行為
Check Point 香港及台灣技術總監 Kev Hau 則從黑客行為的轉變,以及數據可視性方面,道出了部署 EDR 的難度。「黑客的攻擊手法有很大轉變,以勒索軟件為例,現時黑客入侵後未必急於執行加密程序,反而會潛伏在網絡內搜尋機密資料,於日後向企業作雙重勒索(double extortion) 。」Kev 說這些行為本身已經非常隱密,如果企業在端點上安裝的各種安全代理(agent)如防毒軟件(anti-virus)、資料外洩防護(DLP)、虛擬專用網絡(VPN)之間無法兼容,數據可視性自然不會理想,並進一步增加偵測入侵行為的難度,因此必須整合(consolidation)端點代理的數據傳輸,才能及早發現及阻止黑客入侵。他說 Check Point 擁有三十多年的網絡安全經驗,自主研發的 EDR 解決方案便將多種安全代理功能集於一身,可滿足 90% 以上端點安全所需的功能,企業便毋須擔心兼容問題,而且 Check Point 的 EDR 代理佔用很少資源,不會影響企業其他 IT 應用服務的表現,有助保持良好的客戶體驗。
人工智能應用有道 三大目標提升事件回應效率
Kev 又提到網絡安全專才不足所衍生的問題,「業界人才的流動率很高,有人轉工有人移民,令本來不足的人手更顯緊絀。」他說 Check Point 早已將人工智能技術應用於各種安全工具上,「不少服務供應商都聲稱應用了 AI 技術,但卻未能清楚說明應用的地方。而 Check Point 的應用目標主要有三個,首先是增加事件偵測率,其次是減少誤報(false positive)並為事件緩急排序,最終才可提升事件回應效率,紓緩人手不足問題。」Kev 又提到 Check Point 手頭上有大量威脅狩獵(threat hunting)數據及鑑證報告(forensic reports),有助企業了解最新的入侵方式及網絡安全趨勢,但企業仍需有合資格的安全專家,才能詳加分析利用。問題是維持安全團隊的成本極高,專才亦未必熟練各種工具或安全法規的內容,因此採用網絡安全託管服務供應商(Managed Security Service Provider)便成為全球大趨勢,而 CPC 的TrustCSI™ EDR 解決方案,便是首個大中華區結合 Check Point EDR 工具的安全託管服務。
互取優勢 協助客戶拓展中港業務
談到今次合作,Kev 回應說 CPC 是一間擁有豐富網絡安全經驗及人才的公司,並且在中港兩地均設有辦事處及安全運作中心(SOC),不單掌握到最新的安全風險, 而在近年中港兩地陸續落實各種安全法規後,CPC 更可為不同行業客戶提供合規建議,讓企業可更靈活拓展大灣區業務。Sung 則指出 Check Point 在網絡安全界擁有堅實的能力,它在具高公信力的美國非牟利中立組織 MITRE 的端點模擬入侵測試中,因成功攔截 9 成攻擊而獲得最高分,雙方的合作自然可增加客戶的信心。
聽過二人的分享,座談會當日有不少觀眾對 EDR 解決方案深感興趣,在會後提出各種問題。未能出席的企業客戶如欲更深入了解端點防禦,可以點擊以下連結,了解更多。
