防止企业数据外泄的方法

      方法1: 网络存取控制(NAC)

  目前有许多厂商都已推出NAC(Network Access Control)机制,事实上,NAC并不能算是单一的产品,而是企业内整体网络架构协防的机制,透过不同的软件与交换器等硬设备的互相沟通,NAC机制能让企业掌握终端计算机(End Point)连上网络的权限,且为了确保终端计算机的健康,多数NAC方案都能检查诸如防毒软件更新、操作系统更新等终端计算机的健康状态。

  多数的NAC方案都能支持终端计算机健康状态检测的功能,并且能够依照企业的规范,以一台完全符合规定的计算机做为模范,强制要求企业内其它的计算机符合其规定的需求,否则将无法与内网连结。而此一功能就能够防止企业内部的使用者,安装类似自由门、无界等代理软件,进而以不明的代理服务器为跳板,达到绕过防火墙规范的目的。

  此外,由于NAC方案一般来说都有能力辨识使用者的身分,且能够依据终端计算机的健康状况与使用者的身分,依照事先设定好的政策,决定该台终端计算机能否连上企业内网,并且能自动判断使用者的权限,能够有效的替企业内不同使用者设立不同的政策,达到分类管理的效果。

  Juniper(瞻博)先进科技资深技术经理林佶骏认为,如果要更有效果,NAC机制可以进一步整合符合802.1x规范的交换器,终端计算机的NAC终端软件(Agent),一侦测到有异,或是为了规避检查而没有安装NAC终端软件,使用者将会直接从交换器端被阻断联机,这代表要在企业内部使用网络,就必定要安装NAC终端软件,并且符合健康的模板。这样一来,使用者如果想透过代理软件打穿企业的防火墙,将会立刻被阻断网络联机。微软全球技术支持中心项目经理林宏嘉也有类似看法,他认为采用微软的NAC机制NAP,在这类问题上,能有一定效果。

  虽然NAC是一个解决使用者利用软件由内部打穿防火墙的方法,但是NAC机制需要牵扯的网络架构与终端软件数量庞大,实际在企业的网络环境上部署时,会有太多不同的困难必须克服。原有环境的包袱,往往会让企业实际在导入NAC时,难以完全贯彻。举例来说,上述的防范方法,企业的信息人员首先要面对的难题就是怎么在数量庞大的终端计算机上安装NAC的终端软件,如果选择不安装终端软件的方案,可能又无法达到前述的检查效果。此外,如果想要做到更好,企业内部网络的交换器是不是全都支持802.1x,也会成为一个问题,因为这将会牵涉内部网络硬件的大规模变更。

  方法2: 利用网关器设备过滤

  从网关器下手,也是避免员工利用软件规避由内穿透企业防火墙的方法之一,但是此类方法由于并没有直接控管到企业内部使用者的终端计算机,控管上还是无法非常有效,仅能减轻一定程度的风险。 但是相对来说,使用网关器的设备过滤的方法,对于企业使用者的影响最小,成本也较低。

  IPS就是此类设备的选择之一,其实部分IPS已有防范代理软件的能力,但因为代理软件种类众多,版本更新迅速,IPS的特征判断往往只能针对旧版本的代理软件有效果,使用者要是使用更新版本,IPS通常就无法发现,进而阻断。

  还有一类网关器设备是员工上网行为管理设备(Employee Internet Management,EIM),此类设备也能减轻一定程度的风险,也是比较多人目前有在使用的做法。达友科技信息安全顾问林皇兴表示,目前台湾约半数的金融业都装有Websense的EIM设备。以下就将以较多人使用的Websense为例,剖析此类产品防堵员工由内穿透防火墙的能力。

  林皇兴指出,目前Websense的产品能够侦测出包括Hopster、GhostSurf、Tor、Google Web Accelerator、RealTunnel、JAP、Toonel、Your Freedom、SocksOnline、通通通等10种不同的代理软件,防止企业内部员工透过此类代理软件连结到代理服务器,然后以之为跳板,规避企业的管理规范。

  其侦测的做法是透过封包特征,当使用者使用上述的软件时,Websense的产品能够透过分析交换器或网关器设备镜射(Mirror)的流量,判断出封包的特征,进而与已知的特征比对,如果发现是上述的代理软件,就会自动将其联机阻断。

  至于那些没有办法透过特征发现的代理服务器联机,林皇兴表示,可以透过Websense的EIM设备的“继续”模式达到阻挡的效果。该模式是指Websense的EIM设备除了支持阻断与开放外,还支持一种介于两者之间的“继续”功能,对于无法分类或是企业设定规则的联机类别,会自动在浏览器页面跳出一个继续的按钮,使用者必须按下继续的按钮,才能浏览网页。而当内部使用者透过代理软件试图与代理服务器连接时,由于代理软件虽然伪装成HTTP联机,但是在与代理服务器进行连结时,本身并不会开启浏览器页面,自然也不会自动按下页面中的继续按钮,如此一来便无法与代理服务器建立连结,使用者也就无法以代理服务器为跳板,穿透防火墙,规避公司管理。

  不过,正如前面谈到,此种以网关器过滤的方法,都有一个共通的不足之处,那就是这些网关器设备都必须透过特征来判断连结的流量是否有异,但是偏偏自由门、Tor等代理软件,种类过多,又更新快速,这使得网关器产品在防堵内部员工使用此类软件穿透防火墙时,总是有未逮之处,例如如果封包内容加密,或是新版本的代理软件出现,都很有可能无法侦测出。

  而EIM产品虽然能够控管员工的上网行为,设立政策分类管理,并且有效的阻断联机,但当员工使用代理软件试图穿透其防范时,此类产品也会有特征更新的问题。举例来说,如果使用自由门,现在的Websense EIM设备可能就无法侦测出。此外,上述提到的继续模式,虽然能够阻挡代理软件联机,但这必须在企业联机政策涵盖范围很广的状况下,才有用。如果企业为了减少对使用者上网的冲击,而没有对所有人都采用继续模式的政策,那么防堵的效果还是有限。不过类似此种EIM产品还是可以留下容易调阅联机的记录,如果搭配企业内部自己架设的代理服务器,还能针对内容做过滤与检查,让信息人员在真正发生资安事件时仍有证据与记录可以提出。

  整体来说,使用此类产品来防范员工穿透防火墙,还是有一定的减轻效果,但无法像从终端着手来得全面,不过也由于设备建置在网络端,对于使用者的影响较小,受到的反弹较低。

  方法3: 实体管理政策

  这是所有防堵方法中最重要的一环,因为无论终端计算机上如何做限制,或是透过网关器如何防阻,如果没有实体设备的管理政策做配合,内部员工还是很有可能透过由外携带进来的计算机或无线网卡,直接连网,绕过防火墙、终端计算机或网关器的控管,形成资安风险。但若政策制定得过度严谨,势必会影响到使用者使用计算机的习惯,通常是非常重视机密数据安全保护的企业才会使用。

  举例来说,敦阳科技资深经理李欣阳就表示,他们某个高科技制造业的客户就将所有终端计算机的USB接口封锁,并且将能够存取研发数据的计算机集中到一区,从实体网络上与企业其它单位的内网分离,并且不与因特网连结,并且出入会检查是否有携带网卡或计算机、相机,确保机密数据的安全,要求所有人工作就必须在该区完成。部分金融业也会将可以连上因特网的计算机集中到同一区,其它计算机则让它们没有办法与因特网连结。

  当然这些可能都是较为极端的例子,但是也可显示出搭配管理政策的重要性。如果企业管理员工上网行为,希望员工不要由内穿透防火墙,其背后的最重要的目的就是要保护机密数据不外泄,那么此类的配套管理措施就是必需的,否则很有可能会成为管理上的漏洞。员工只要带一张3G网卡,加上自己的计算机,然后透过USB接口的随身碟将机密数据转存至自己的计算机上,轻而易举就能将机密数据外泄。当然,为了防范这种情况发生,有效的实体管理政策,搭配上数据加密的方案,将能够降低风险。

  许多技术上的防范方法,总结到最后还是必须搭配相对应的管理政策才会有效,举例来说,如果企业在终端计算机做了应用程序白名单的防堵、网关器端装设过滤的设备。但内网没有做存取控制,使用者自行带入的计算机只要与网络连结,同样可以透过安装代理软件达到穿透防火墙的效果,形成资安风险。李欣阳表示,就他的经验来看,多数台湾企业在这一方面的控管还比较缺乏,也许是信息人员职权不足,或是对高层无法有效管制,使得管理政策上无法配合公司的制度,这也使得再多的技术控管,都成为枉然。

  方法4:以微软的AD群组原则管理

  多数的企业现在都有建立微软的AD架构,其实要防范使用者穿透防火墙,AD的群组原则控管就已经可以达到很大的功效。当然,要以AD达到控管的效果,第一步必须将终端计算机的管理权限收回,然后再进而设定相对应的管理政策。

  首先,AD能够停用软件安装的功能,透过群组原则中停用Windows Installer的选项,选择一直停用,即可以将终端计算机安装软件的权限关闭。这样一来,使用者将无法在终端计算机上安装任何软件,也就无法透过代理软件试图穿透防火墙,自然只能遵循企业的政策连网。

  但是这样的做法对于使用者来说会造成很大的不便,并不是所有的企业都能适用。林佶骏表示,对于企业来说,要防止此类代理软件,最好的做法就是从终端计算机下手,透过AD的群组原则设定,让终端计算机无法安装应用程序,是最釜底抽薪的做法。“但是对于多数的企业来说,这样的做法会遭受到的阻力过大。”林佶骏说。

  不过AD的群组管理原则中也有针对特定软件停用的机制,透过其它原则中的新增杂凑规则,加入应用程序的名称,就可以达到针对特定软件封锁安装的能力。但是这样的做法事实上并没有办法防止稍有技术能力的使用者,当使用者针对应用程序加壳又或者透过各种方法改变应用程序的名称时,还是可以在计算机上安装。

  此外,由于类似自由门、Tor等此类代理软件的更新速度很快,当使用者使用新版的软件时,此种方式也无法达到遏阻的效果。

  虽然AD的群组原则控管,在企业实际应用上可能无法真的彻底实行,但是这一层设定,也不乏是企业在现有架构下配套,阻止类似代理软件此种穿透防火墙软件的好方法。若能辅以防火墙或网关器的相关设定,对于特定的软件还是有一定防堵作用。

  目前看来,使用AD去直接控管员工安装的权限,是解决员工使用代理软件穿透防火墙的问题时,省钱且也有一定效果的对策。例如许多金融业者即便拥有很多不同的防堵机制,仍然会使用AD的群组原则做为控管的一环。

  方法5:使用Program Control功能的软件

  从终端下手的另一种方法,还可以选择一些能够针对终端计算机做控管的软件,暂且将此类软件称为Program Control软件,赛门铁克(Symantec)、Check Point等厂商,目前都有类似的软件。

  此类软件能够针对终端计算机做控管,并且无法移除,能以白名单的方式限制终端使用者可以安装的软件。以Check Point的产品为例,一旦透过软件的中央控管平台设定了白名单,所有的使用者均只能安装白名单上的软件。Check Point台湾区技术顾问陈建宏表示,除了这一功能之外,该软件也能提供企业内部所有终端计算机安装软件的清单与记录,什么人在什么时候安装了哪一种软件,都会透过报表的方式呈现出来,供企业的信息人员查询之用。即便使用透过加壳等伪装的方式安装软件,透过分析报表,企业的信息人员也能够查觉出异状。

  陈建宏更以实际替客户导入的经验为例,某间使用此软件的企业,在清单出现之后,发现有5种不同版本名字的IE,但在清单上却总共列出6个IE的版本,其中一个版本重复出现两次。后来根据清单的数据追查后,才发现某台电脑中了木马程序,而该程序将自己伪装成IE。陈建宏说:“类似这样的功能,能够有效的控管企业内部各台终端计算机的应用程序状况,即便使用者透过各种方式伪装代理软件,信息人员也能发现异状。”

  即便防火墙真的被使用者以软件的方式穿透,规避管制,部分Program Control软件还有加密功能,能够针对终端计算机硬盘内的数据进行加密。这某种程度上也降低了数据外泄的风险。据了解,目前某间手机相关的高科技制造厂商,正在考虑导入Program Control的软件至其研发单位之中。

  不过使用此类软件也不是就能高枕无忧,虽然能够看到清单,并且以白名单的方式去控管使用者安装什么样的软件,但是如果企业内部的信息人员,无法或根本没有去检视清单的内容,当使用者以伪装的方式安装了可以突破公司管制的代理软件,透过代理服务器做为跳板对外联机,还是很有可能不会被发现。

  总而言之,上述5种方法都是可以达到部分防堵内部员工穿透防火墙的效果,但任一种方法都没办法达到百分之百的阻绝。正如先前谈到的,如果企业希望能更严密的透过各种管制手段限制员工不要使用类似自由门、无界等代理软件,由内穿透企业防火墙,形成资安风险的话,最有效的方法就必须多管齐下,以多种不同的方法并用,才会达到最佳的效果。

  多管齐下,完全防堵防火墙被穿透

  前面说到了很多不同的方法,可以用来确保企业的连网政策,不被使用者以代理软件的方式绕过,达到管制的效果。但实际在企业中来看,这些方法势必要搭配使用,才能发挥最好的效果。接下来我们就可以看看几家企业实际使用的方式,了解在实际环境中,企业该怎么应用这些方法确保内部使用者无法透过软件的方式规避连网政策。

  第一银行以Websense与AD等多种方法搭配管控

  由于数据重要性特别高,许多金融业和高科技制造业对于这一方面的管控都不遗余力,第一银行当然也不例外。该公司为了让员工都能遵循资安政策的管理,在3年前开始收回每台电脑的管理权限,以AD(Active Directory)的群组规则设定限制使用者权限不能在终端计算机上安装软件。

  此外,在网关器端,也有使用Websense的EIM设备,并且将IDS、IPS等控管的设备委外由数联资安管理,内部也有专属人员透过防火墙的Log监控软件,检查是否有联机异常的流量。

  第一银行系统管理部副理林庆麟表示,在这么多做法中,将AD的管理者权限收回,并且让使用者的终端计算机不能随意安装软件的做法,对他们来说是最有效果的方式。林庆麟说:“3年前导入这样的措施时,反弹的声浪不小,但是现在让我们在管理上更有效果,未来要再推更强势的政策,可以预期的反弹的声浪也会比较小。”

  林庆麟表示,AD的群组规则设定,再加上Websense对不同网页连结的控管,让他们公司内部员工使用特定软件穿越防火墙的问题大幅减少。至于部分权限较高的使用者,即便安装了类似自由门、无界等代理软件,每天安管部门的2名员工,都会定时透过收集防火墙Log的软件,去找出联机数量特别高的异常联机;委外给数联资安的部分,也是24小时不停机的监控,所以即便发生异常的状况,也会立刻被发现。

  不过林庆麟指出,AD的群组规则设定虽然让第一银行减少了很多使用者穿破防火墙的风险,但是在规定和维护上仍有些麻烦。“现在我们正在调查更好的方案,类似Program Control这种产品,让我们能够在终端计算机以更方便的方式控管。”林庆麟说。

  不光是技术面上的控管,第一银行在政策面上也有相关的规范。林庆麟以3年前收回AD权限时为例,当时他们设计了很多教材、电子报,并且到各个据点巡回,进行教育训练,然后才开始推行。除此之外,如果发现内部员工有异常的联机数,或是使用不合规范的软件,如代理软件、实时通讯软件等,公司也有一套完整的规范,信息人员会先以电话告知,然后再有发现的话,会发正式的公文前去要求改善。

  不过林庆麟说,即便有了这么多的配套措施,让大多数的人都被限制在公司的规范中,偶尔还是会有道高一尺、魔高一丈的状况出现,要完全阻挡住这样的状况,并不是太容易,但是至少在多种方法并用的管理下,这样的事件已经大幅减少。“对于我们来说,现在这种问题并没有很严重。”林庆麟说。

  终端计算机下手,还是最有效的管理方式

  从第一银行的经验中可以看出,从终端计算机下手,直接根绝软件安装的可能性,还是最有效的管理方式。而多数公司都有的AD架构,在这方面可以发挥很大的功用。

  网骇科技资安顾问曾信田表示,就他实际处理的经验来说,在内部使用者试图规避公司网络管控机制时,AD控管权限的方式,往往是企业最不用花钱也最能立即见效的手段。他以实际处理过的企业经验为例,该企业在以AD控管安装软件的权限后,使用者利用代理软件等方式试图规避企业管理的状况,就几乎完全消失了。

  从这些例子中可以看出,如果没有足够预算的企业,要防堵使用者利用代理软件绕过防火墙,AD的群组控管原则可以说是最有效的方法之一。如果还能够再搭配网关器端的设备,控管还可以更完善。

  Juniper(瞻博)先进技术资深经理林佶骏就指出,对于预算不够多的企业,他会建议信息部门人员先以AD的群组原则控管,再搭配防火墙阻文件部分已知的代理服务器联机地址。如果还有稍多的预算,还可以再搭配IPS,达到更好的效果。因为很多厂商的IPS,都可以辨识出较旧版本的代理软件联机特征,如此一来对于减少使用者透过此类方式绕过防火墙,形成资安风险的状况,也会有一定的帮助。

  至于类似Program Control此类针对终端计算机安装软件管控更强势的软件,搭配网关器的设备使用,将能提供比AD控管更好的管理接口。从第一银行的经验来看,这一点就可以得到验证。

  若预算较充足,NAC也是解决方案之一

  由于NAC本身就需要网络交换器与终端软件的搭配,事实上使用NAC也能有效的杜绝内部使用者透过安装软件的方式试图规避公司的管理。

  军方某个单位,就以NAC的方式做到内网的控管,除此之外,还在终端计算机上安装Program Control类型的软件,以白名单的方式限制终端计算机能够安装的软件种类,达到控管内部使用者上网行为的效果。而在网关器端,该单位也以让防火墙以白名单的方式控管,让使用者仅能连结到特定的几个网站。

  由于军方特殊的属性,从其建置的方案可以看出,是属于非常严格的控管,不过对于该单位来说,由于不用担心使用者的反弹,此类坚壁清野式的管控方式,可以说是最有效果的。但对一般企业来说,要做到这样的程度,实属不易之事。

  整体来看,要阻绝使用者穿透防火墙的问题,网关器端和终端计算机两处一起着手,会是最好的方法。信息安全这种议题,没有人可以打包票能够建置一个完全不会有风险的环境,但是透过前述多种方法的共同搭配使用,还是能够有效的将风险降到最低,减少使用者透过类似代理软件等方法,穿透防火墙,而将恶意程序带进内网,或是外泄重要机密的可能性。

  而从第一银行和军方的经验来看,在这些并用的方法之中,对终端计算机的管制是十分重要的一环,从使用者安装软件的权限着手,能够带来一定的效果,然后再辅以网关器端的几种设备监测,以及允许联机地址的设定,达到降低使用者穿透防火墙管制的风险。无论如何,企业在着手进行此类控管时,最重要的还是要有政策的配套,如此一来才能将使用者的反弹降至最低。