重重防護下,容易被輕忽的內網安全
公部門重視網路外部威脅,透過加固防火牆、防毒軟體等,防止惡意攻擊侵入企業網路。然而當上述所提的風險源於內部,或常態地具有察覺性不足的情形。內網具有下列幾種特性,是外部威脅先天上所缺乏的優勢。
・在日常作業的過程中,內部攻擊者已經取得了應有存取權限
・內部攻擊者得知重要資料存放位置,也熟悉設立的防護機制
如果組織面對的是內部威脅情況的發生,若缺乏偵測或預防機制,危害便難以控制。透過進行內外網聯合防禦,企業必須快速建立「零信任」(Zero Trust)的資安管理架構。藉由高度的內網可視性及管理,強化內外聯防的資安政策,完善網路環境。
公部門面臨的主要問題
政府機關若發生資安事件,將面臨國安級威脅,根據 iThome 資料顯示,2019 年有超過兩成以上的企業,遭遇 50 次以上資安事件,其中更有四成的資安事件使服務中斷,六成的行動是資料盜竊,之所以有將近三成政府機關與學校視資訊安全項目為首要IT重點投資。2020 年 Q1 的調查也提及勒索軟體事件比去年同期提升 48%,完善資安防護刻不容緩。以下羅列公部門常見的資安議題:
資產數量不清、設備狀態無法掌握
現今的網路環境,除了 OA 區域的終端設備需要管理外,散佈在各處的監視器、刷卡機等IoT 設備,也是資訊安全管理重點的一部分。常見的終端管理方法為在每台設備安裝 Agent ,監控各項設備的設備資訊與運行狀況。
而多數 IoT 設備、 BYOD 設備與訪客設備並不方便安裝 Agent ,造成無法有效掌握還境內的資產屬性、軟硬體設備狀態。不僅造成管理困難,也讓網路環境的安全性留下疑慮。
疏忽外來人員的管理,造成資安漏洞
政府機關有許多訪客,不論是外賓、洽公市民或是委外廠商,相關人員時常需要接入網路,若讓管理人員逐一進行接入允許與權限設置,不但耗時費工,且無法對接入設備進行有效的安全性檢查;也必須在相關業務處理完的時候,手動卸離網路使用權限。以上步驟若有缺失,容易造成網路環境出現安全漏洞,導致惡意程式入侵、資料竊取的資安事件發生。
IPv6 將全面取代 IPv4,政府機關該如何因應
台灣政府機關已全面 IPv6 化,民間 IPv6 的使用率也來到全球第 6 名,代表未來幾年內,使用 IPv6 接入網路的使用者將會逐漸增多。在現今 IPv4 、 IPv6 並行的環境下,如何同時對兩種協定進行有效率的管理,成為政府機關須立即解決的問題。
法律規範之下,該如何選擇合適的資安防護
在《資通安全管理法》與其子法的規範下,相關機關應於規定時間內通過 ISO27001 認證或 NISTCSF ,並完成 GCB 的導入與檢視資通系統防護基準之措施。《個人資料保護法》則要求公務機關應採取適當措施,防止個人資料遭到竊取、毀損。
於 2019 年就發生過銓敘部遭木馬程式入侵,因而外洩 59 萬筆公務人員個資的事件,外洩的內容包含了國安人員的個人資料,不僅讓這些人員陷入危機,也對國家安全造成嚴重的影響。
在資安預算有限的狀況下,要如何建立符合 ISO27001 標準的 ISMS 系統,或是採用 NISTCSF ,並同時遵守其他法律的規範,對相關單位都是一項挑戰。
如何透過内網防護的部署,降低勒索事件發生機會
隨著網路發展,大量的機密資料多以數位化方式儲存,導致駭客找尋弱點設備入侵企業內部網路並透過勒索軟體加密、阻擋封鎖使用者存取權限,再勒索受害者支付贖金以重新獲得檔案及存取權限。
2020 年台灣六大資安事件回顧,點選跳至全文瞭解:
因應資通法規定,VANS 系統的導入該如何著手?
由行政院國家資通安全會報技服中心,所打造的政府機關資安弱點通報機制 (Vulnerability Alert and Notification System, VANS系統)可將各級機關所提供的軟體資產報表與 NVD (美國國家標準技術研究所 NIST 所建立之弱點資料庫)比對,找出各機關的資安弱點,即時通知該單位以便在第一時間修補漏洞、消除資安風險,強化政府部門的軟體資產管理。
並於《資通安全管理法》在各級政府機關應辦事項中明文規定,資安責任等級 A 級機關,110 年度必須全部導入 VANS 系統,B、C級機關 111年 度也必須跟進。
UPAS NOC 核心價值:零信任安全架構
什麼是「零信任」?
所有資源都視為外部資源,並在授予所需訪問權限之前進行連續驗證以獲取信任。簡而言之,即是將內網視同外網,從「信任並且驗證」的認知,改為「驗證且永不信任(verify and never trust)」。
於是當有人或項目要求存取工作資產時,UPAS 建議先採取零信任原則。您必須先驗證其可信度,再授予存取權限。企業該如何完善零信任安全,我們根據 Gartner 在 2020 年出版的資安報告中指出:
「現代企業若要降低資安風險,必須建立『零信任的網路架構』,而為了達到此目的,完善的 NAC 解決方案必不可少。」 — Market Guide for Network Access Control, Gartner
透過 NAC 機制的導入,UPAS NOC 將從設備可視性及控制性著手,確實完善資產盤點查找網路環境中所有連網設備,並且有效管理人員的接入存取權限。此外對各設備中軟體(防毒軟體、資產軟體等)及 OS 版本的更新與安裝狀態進行檢查及漏洞修補。最後將設備資訊分析並匯出報表,提供持續性的追蹤。
UPAS NOC 解決方案
輕鬆導入,完善資產盤點及 IP 管理流程
隨著公部門服務及系統的數位化,委外服務供應鏈也愈趨複雜化,面對多變且日新月異的攻擊型態,萬變不離其宗,基礎的內網安全防護仍是不可或缺的一環,因攻擊者最終目標依然存在於內網。以下是我們針對上述主要問題,提供更好的安全體驗方案:
完整的資產盤點、掌握全面的設備狀態
據研究指出,90% 以上的 IoT 設備將無法安裝 Agent,讓傳統的設備辨識技術難以發揮。 UPAS NOC 運用專利 ARP 技術,能夠以 Agentless 的方式自動辨識近 30 種連網設備屬性:
・OA 區域:電腦設備、移動裝置、印表機、IoT設備
・機房基礎架構:虛擬機、伺服器、其他虛擬機及網路設備組件
・常見網路設備:路由器、交換器、防火牆、無線存取裝置和控制器
除了資產盤點之外,設備資訊的統計也是一大問題:OS 版本、防毒軟體是否為最新版本、病毒碼是否更新、軟體使用狀況等,若其中一項出現問題,就可能導致整個網路環境陷入危險中。
UPAS NOC 可以介接 WSUS 主機、多款防毒軟體和資產管理軟體資料庫,並配合 Tableau 建立視覺化圖表,讓設備資訊清晰瞭然。
外來人員自動化管理,解決安全漏洞
實際管理內網時,會面臨部分使用情境是暫時性需要連線到外網,或指定時間段內需要連線內網,而這些設備的身分並非內部員工。相比嚴謹周密的外網防護,進入到內網的外來設備若未納入管理、劃分其使用權限,將可能會成為高風險的安全漏洞。UPAS NOC 對外來人員提供以下解決方案:
・提供訪客內網連線認證,包含現場申請及預約申請兩種方式,可自動化審核訪客身分、給予相對應權限並留下完整紀錄,減少管理負擔。
・隔離訪客於特定網段,對於需要使用內網的訪客,UPAS NOC 可以分割出訪客網段,限制訪客能存取的資料;若訪客網段發生資安事件,也可以將災害控制在該網段內,減少損失。
・限制訪客對內外網的存取權限與時效,到期即自動卸離白名單,藉由對存取權限與時效的管控,避免因忘記回收訪客權限而造成資安漏洞。
透過全面的 IPv6 管理,解決 IP 管理問題
雙協定並行下常見的問題有:IPv4、IPv6 位址混雜;過去使用 IPv4 進行的 IP 派發、網段管理,切換成 IPv6 後須重新進行編制。以上兩種情況造成管理不易,增加相關人員負擔。UPAS NOC 提供了以下 IPv6 的管理功能:
・IPv6 白名單管制功能。能夠自動將使用 IPv6 位址的合規設備納入系統白名單中,准許其使用內網。並且能夠自動化生成詳細清單,清楚詳列各 IP 的使用狀況。
・I自動派發含 IPv4 尾碼的 IPv6 位址。延續過往網段建置的成果,在轉換協定時不需再重新進行額外設定,減少管理人員負擔。
・I自動化生成 IPv4 與 IPv6 對應表。在採用雙協定的網路環境下,UPAS NOC 可以自動生成雙協定的 IP 位址對應表,使各終端所使用的兩種 IP 位址一目了然。
協助政府機關建置 ISMS 系統,遵循法規要求
・在《資安法》的要求下,機關被要求建置可以通過 ISO27001 驗證的 ISMS 系統與檢視資通系統防護基準。UPAS NOC 符合多項 ISO27001 控制項與資通系統防護機準的要求,減少通過驗證時所需花費的成本。
・GCB 的合規導入常常使管理人員頭痛,繁複的設定與眾多的電腦設備,使導入的過程極為繁瑣,更有許多原因會造成導入失敗。UPAS NOC 提供完善的 GPO 功能可用來幫助管理者瞭解在網域中的設備 GPO、GCB 套用狀況,查找沒有符合規定套用 GCB、GPO 之端點設備。
・UPAS NOC 提供設備違規的即時告警與完整的系統軌跡記錄,這兩項功能對於個資的保護至關重要。當設備在進行違規操作時(如跨 VLAN、IP 竄改),通過即時告警能夠在事件發生的當下,立刻阻斷違規設備的連網能力,阻止災害擴大;而完整的軌跡記錄則是資安事件發生後在法律上最有力的證據。
・NIST CSF 為近期最為熱門的資安框架,相較於 ISO 27001 繁瑣的建置與驗證,CSF強調循序漸進的改善資安系統。根據《IThome 2020 資安大調查》有一成以上的政府機關有意願導入 CSF 資安框架,可見對於預算有限的政府機關,CSF 不失為一項良好的選擇。UPAS NOC 符合多項 CSF 控制項,讓單位在導入時可針對需求彈性選購模組,減少建置成本。
建構內網防禦網,降低勒索軟體發生機會
公部門的防禦思維大多從防毒角度出發,透過資安解決方案攔截勒索病毒,然而若忽略檢視防護軟體的安裝及更新狀態等,將導致防禦效果具有漏洞。UPAS NOC 透過資產盤點、合規檢查等下列的防禦手段,有效達成內外網聯防,達成 98% 以上的資產防護完善率。
・資產盤點:透過多元技術辨識並納管環境中全部的連網設備,掌控內網環境中的 IP 連線狀態。
・開關機報表:依照設備開關機狀態來判斷是否具有漏洞,如:久未重新開機設備(OS Patch 未更新進而造成設備漏洞)、 久未開機設備(防毒軟體、病毒碼未更新至最新版本)等。
・設備合規檢查:審核入網設備的多項安全檢查項目,如:OS版本、防毒軟體/病毒碼、資產軟體等安裝及更新率。
・數據流量監控:控管終端設備網路使用行為。提供網路流量資訊,產⽣相關流量報告。
・AD帳號管理:提供AD登入/登出時間紀錄,以管理內網中閒置設備或者使用RDP連線的設備,降低被駭客攻擊的機會。
・組態行為檢查:即時告警組態的異常行為,如新增非法軟體、GPO政策的更動、開啟最高權限之資料夾分享等。
以駭客思維解析防禦手段,更多內容:
高適用性的進階 VANS 導入解決方案
UPAS NOC 透過全面的資產盤點,將軟體資產盤查達到 98% 以上的完善率,並針對不同的客戶需求,提供兩種 VANS 系統解決方案:
已購置第三方系統協助導入 VANS
不需額外安裝 UPAS Agent
若您已經購置第三方廠商的資產管理系統,並完成該廠商 Agent 的部署,可將軟體資產轉換成 CPE 格式並上傳 VANS 系統,UPAS NOC 為您提供進階的解決方案,徹底消弭安全性漏洞。
因業界平均的 Agent 部署率及更新率僅達到 80%,導致軟體資產盤點的不全面,並造成嚴重的漏洞無法被察覺,使單位暴露在高度資安風險下。這些問題最根本的原因是在,第三方廠商多是採用 AD 主機直接派送 Agent,而派送的失敗或設備無法部署等原因,將導致該終端設備的資產軟體無法被盤點。
UPAS NOC 使用專利 ARP 封包解析技術,可大幅提升環境中設備的可視性,輕鬆盤點所有連網的終端設備;在高度可視的基礎上,UPAS NOC SIM 安全整合模組介接資產管理軟體資料庫,藉由比對完整的監測清單,即可毫無遺漏地找出未部署及未更新的設備,而針對不合規設備,以高安全性的阻斷網路機制強迫修補漏洞。
我們提供的進階解決方案,可以在不需額外安裝 UPAS Agent 的前提下,確保資產管理系統納管所有終端設備,確實的盤點軟體資產上傳至 VANS,通過更為全面的軟體漏洞檢查來有效消除資安風險。
尚未購置可協助導入 VANS 的第三方系統
需安裝 UPAS Agent
UPAS NOC PM 補丁管理模組可在終端設備全面盤點的基礎上,進一步盤點所有軟體資產,自動產出 CPE 格式軟體總表、一鍵上傳 VANS,輕鬆符合《資通安全管理法》對公部門的要求,並確保不遺漏任何終端設備的軟體漏洞。
該模組需要在終端設備安裝 UPAS Agent,除了可協助公家單位導入 VANS 之外,還可進行多項合規檢查,包含終端設備的 Windows 版號、防毒軟體、應裝軟體、禁用軟體和版權數量等,再透過 UPAS NOC 存取控制功能強制不合規設備修補漏洞。
展開易於維護管理的防護網
達到理想效果的網路安全架構必須經過建置、管理維護過程,其中牽涉的使用者分為多種維度,因此「貫徹安全」不應是單方單向的主張。若為保持安全政策的理想效果,多方使用者必須緊繃運行繁複的工作,這將成為防護網隱藏的憂患。
UPAS NOC 從未停止優化安全體驗,核心優勢即是「不須安裝代理程式」展開覆蓋度高的防護網,提升可視性及套用管理政策。非 802.1X 技術提供了高適應性及簡便性,避免網路環境重新部署或升級軟體、硬體造成的風險及管理壓力。
點擊下載 UPAS NOC 公部門產業方案
請聯絡我們,為您提供最適合的產業方案與諮詢
