OPSWAT：零信任與安全邊界如何有效的防護企業安全

資訊安全的概念，在許多攻擊中我們都可以了解到企業對於資訊安全，都做了非常多的防護措施，但層出不窮的資安事件卻沒有絲毫停歇的趨勢，著實讓資安團隊在面臨問題的當下，成為一個頭痛難解的課題。

近期，我們可以發現在許多的攻擊事件中，弱點的利用成為了一個主要的攻擊武器，無論是在烏俄衝突中或是在資安新聞中，都可以看到許多的弱點被利用，甚至是存在許久的弱點都變成了攻擊者的武器，其實我們都可以在事前做許多的預防措施；那為什麼存在這麼久的弱點都可以被利用呢？其實這存在著許多的背景因素，舊的系統無法即時更新，弱點公布後的細節無法實行在所有的範圍中，那麼就只能坐以待斃嗎？讓我們來探索一下，怎麼在一個不安全狀態下做好資訊安全，這關鍵在於數據及服務的邊界，此外也包含了可利用範圍的控制。

SASE ( Secure Access Service Edge) 的話題，在這些年不斷地被討論著，這樣的網路架構在於網路邊界的定義，例如網路安全閘道、雲端存取、防火牆及零信任網路等方式，其主軸在於為企業實現安全網路模式的願景；Garner在2022年初提出 Secure Service Edge. , SSE （安全服務邊界）的概念，其出現取代了原先的 Cloud Access Security Broker. ,CASB (雲端存取安全閘道)的概念，主要原因在這些年疫情爆發後，改變了許多企業辦公的型態，以往的辦公環境轉變成混合辦公或是完全遠距辦公的環境，於此之時企業安全面臨到重大的挑戰，OPSWAT也看到了這樣的需求及改變，MetaAccess就是這樣的一個解決方案，為提供安全的網路訪問和深度的端點合規性，當用戶連接到相關資源前，檢查端點上相關的合規性，確保用戶連線的環境如：防毒軟體以及重要的系統是否安裝、更新，端點中是否存在安全疑慮等問題，避免因為混合辦公環境為企業帶來的風險；同時也可整合MetaDefender Core為企業提供更高的安全性。

圖一、MetaAccess 網路邊界安全訪問、存取架構

MetaDefender Core的技術中包含了主要的MultiScan(多防毒引擎技術)及Deep CDR(檔案深度清洗技術)，此外也可為檔案進行弱點辨識，讓資安團隊增加對於弱點的可視性，針對檔案進行掃描時，MultiScan的多引擎掃描技術，整合了高達30多家以上的資訊安全廠商的掃描引擎，不僅僅只是利用特徵辨識，還包含著各防毒引擎的AI、ML(機器學習)、異常感知及模擬技術等，其優勢在於我們可以透過這樣的技術早期偵測在不同國家所發現的惡意程式，例如：Sophos (英國) 、MacAfee(美國)、Trend Micro(亞太)，在不同區域的偵測率，都可以預先防護我們對惡意程式的偵測與攻擊。

圖二、 MetaDefender Platform Technology

圖三、資安廠商區域地圖

什麼是Deep CDR? 其全名為Deep Content Disarm and Reconstruction (深度內容解除及重建)，我們可以簡單的解釋成－檔案解除武裝化（深度清洗）；解除武裝？沒錯！我們可以思考一下如果所有的檔案進到企業環境前，都繳交了具攻擊性的武器，那進到企業內部後就不存在任何的威脅了，這就是我們一直在提到的“檔案零信任”，Trust no Files. Trust no Device. ，同時Gartner 也提及了一件重要的事，越來越多的惡意軟體正在做著規避偵測的動作，以往利用特徵、沙箱等技術都存在著許多被規避的風險，CDR的技術可以大幅提升防護等級。

圖四、 Gartner 提到CDR的優勢性

好的，那重要性是什麼！？我們所知道的攻擊，叫做“已知”攻擊可利用，但存在於很大一塊的“未知”攻擊事件，對於零時差攻擊來說，其利用“未知”弱點進行攻擊，換言之在一個弱點探知利用的週期（弱點公布、利用、修補），很多的安全防護是無法偵測防護的，那麼我們要怎麼預防呢？這答案就是深度清洗，把一切可能被利用的介質，解除它的武裝，讓使用者接觸時皆是屬於一個安全狀態，這樣一來我們就可以達到一個邊界的安全防護。

底下是個範例：當文件中存在本質上不應該存在的物件，透過解除武裝後，同樣的檔案還是可以正常使用，將具備武裝的物件清洗移除。

圖五、文件清洗範例

2022年3月，日本總務省發佈了地方政府信息安全政策指引（https://www.soumu.go.jp/main_content/000805453.pdf），該安全政策指引中提到LGWAN (Local Government Wide Area Network) 需注意的關鍵事項，需注意危險因子去除的重要性，其關鍵在於檔案交換、使用時之安全性強化，著實也強調著CDR的重要性。

• ファイルからテキストのみを抽出（僅從檔案中提取文件本文）
• サービス等を活用してサニタイズ処理（ファイルを一旦分解した上で危険因子を除去した後、ファイルを再構築し、分解前と同様なファイル形式に復元する）採用檔案淨化技術 (移除威脅因子、重建檔案、拆解檔案並恢復檔案原有格式)

圖六、日本總務省的地方政府信息安全政策指引

OPSWAT 透過DEEP CDR的技術來強化企業的安全邊界，現在您可以將MetaDefender Core的技術應用在Mail Security、Network Security、File Secure Storage、Kiosk、Vault 等等的應用場景，此外MetaDender Core API 提供更多整合的方式，讓CDR的技術更易於整合在各種不同的環境中，多樣的部屬模式選擇包含雲端、地端、封閉式網路及Docker部署架構滿足在不同環境下的需求。

圖七、OPSWAT 提供多樣化的部屬選擇

資料來源：informationsecurity