网络正规化与端点安全　有助强化企业网安体质

翔伟网安科技网安产品部业务协理黄星运。

回顾过往，随着电脑病毒、垃圾邮件、阻断式攻击、员工网页浏览安全、社交工程、机密数据外泄…等不同时期网安议题一路延烧，对IT人员可说是恶梦连连，必须疲于奔命研究、规划、部署、维运不同的事件防治方案，也必须想设方法说服企业编列足够预算。

但在持续不断的消耗下，如今IT人员面对更为难缠的进阶持续性威胁(APT)，已可谓筋疲力竭，虽然也想有所作为，但无奈只能双手一摊；此乃由于，市售APT防治方案所费不赀，明显逾越多数企业讯预算的临界值，况且建置周期繁复，也可能迫使IT人员必须学习新的专业，种种不利因素交错，使得企业陷于进退失据窘状。

值此时刻，在人力与预算俱为不足的前提下，企业莫不期望找到好的因应对策，最好是藉由一套价格合宜且功能齐备的方案，即可摆脱APT攻击阴霾。但翔伟网安科技网安产品部业务协理黄星运认为，防止APT，绝非倚靠单一设备或系统便可得偿所愿，企业与其汲汲追求一招见效的特效方案，倒不如回归基本面，先把最脆弱的安全连结予以补强，做好网安防治的基本功，就有很大机会能够趋吉避凶。

网安最薄弱一环  即是电脑及网络使用者

那麽，究竟什麽是最脆弱的安全连结？答案很简单，其实就是电脑及网络系统的使用者，而国内外许多研究调查机构均曾提到，使用者就信息网络安全中最薄弱的一环。黄星运进一步解释，不管谈到内部威胁、外部威胁或社交工程威胁，相信大家都不会否认，任何网安事件都与「人」有关。

「以下的问题，值得我们好好想想，」黄星运说，你可以随意进老板的办公室？随意打国际长途电话？随意进入仓库拿取货品？随意性骚扰你的同事？随意开公司保险箱？在一连串问题中，「你」就是人，「随意xxxx」就是事时地物，而更为关键的「可以」，就代表权限，所以只要把权限管理好，任何人都无法与这些不当的事时地物产生连结，也就不会让企业招致无谓的网安危难；而所谓管理，意指在特定环境下，对组织所拥有的资源进行有效的计划、组织、领导和控制，以便达成既定的组织目标的过程。

重点来了，企业普遍面临预算人与力不足问题，应该如何取舍？最佳的解决之道，便是试着让自己能够从管理「人」的角度，建构IT网安环境，而个中所蕴含的关键任务有二，一是网络正规化，另一便是端点安全。

做好网络正规化  避免人员误触安全红线

所谓网络正规化，内含五大实施步骤，依序是化繁为简、实体区隔、网络权限控管、网络备援，以及定期稽核。关于化繁为简，理应不难理解，过往企业在不同时间点，为了加装一颗WiFi AP、架设一台IP Cam或部署一套视讯会议系统，每次因应不同目的皆须拉线，长此以往导致线路零乱不堪，形成日后问题查找的障碍，故应力求让线路简单化。

至于实体区隔、网络权限控管，实为一体两面，企业理应导入类似像Cyberoam的第8层控制机制，以便于根据不同部门群组或使用者，清楚划分权限，继而允许用户使用自己的设备，套用合适权限，随地在网络中运用，但该或不该使用各项服务，抑或该走哪条ISP WAN线路对外连通，其间都有明确的区隔，不容任意跨越红线。

基于不同群组或使用者在于对外网络的分流，也意谓企业同时拥有多路ISP WAN，如此即可设置多种故障转移(Fail-over)条件，套用于Multi-link管理之上，以达到网络备援效果。最终可藉助直觉化的仪表板界面，定期稽核察看有无使用者违反公司既定安全政策，或滥用网络资源，藉以检视企业网安环境的健全与否，另外搭配实施教育训练，灌输员工正确安全防护观念，如此便可优化企业网安防御体质。

至于端点安全议题，黄星运认为企业的首要之务，即是先行解决诸如Windows XP漏洞等陈年威胁。根据防毒软件厂商F-Secure统计，2014年台湾遭受频繁最高的PC安全威胁便是Downadup，是问世已达8年之久的古董病毒，而微软老早就已释出对应修补程序，按理说这类型威胁早该绝迹才是，讵料迄今包括银行业、医疗业或制造业等多数用户，碍于一些奠基于Windows XP或Windows 2000的老旧应用程序的持续运作(一旦安装微软Hotfix即会导致运作失效)，所以任由漏洞存在，连带给予Downadup等老旧威胁持续作乱的空间。

展望2015年，预期陈年威胁攻击依旧肆虐，因为企业需要时间升级Windows XP操作系统，大约还得花上1？2年时间；处在此一空窗期，企业不应让自身陷于不设防状态，此时可考虑采用奠基于Deep Guard专利技术引擎的F-Secure多层式端点防御方案，透过其间的漏洞拦截机制，藉以抵御诸如Downadup等陈年威胁的进犯；与此同时，也能一并防堵Adobe Flash或Plugin等新威胁管道。