Web上網安全防護與隔離

超乎想像的WEB安全威脅成長

企業員工利用網際網路來收集與交換資訊已成常態，且越來越仰賴網際網路。面對不斷推出的Web 2.0應用，在企業環境中，想要享受使用網際網路帶來的便利以及生產力，卻往往難以防範的誤觸惡意網站或被植入惡意程式，使敏感資料或個人隱私暴露在危險之中。

根據Forcepoint™的Web Security Lab的研究報告指出，內含惡意程式的Web數量成長極為快速，並涵括到行動App。這些被識別到的惡意網站中，77% 是合法網站被攻陷而植入惡意程式或惡意連結。另外，前百大熱門網站中，70% 在過去六個月內曾經被植入惡意程式或涉及惡意活動中，其中 39% 的網頁惡意攻擊，隱藏了竊取資料的程式，可見Web已經是目前資安最大的漏洞來源。

企業IT的挑戰

對於IT部門來說，WEB是不能禁止避免但卻很難管控的主要網路服務，如何在不影響WEB上網便利的同時，能將惡意程式威脅及資料外洩的風險降至最低，並且在安全與生產力的天秤當中找到一個平衡點，是極為重要的課題與挑戰。

但對於絕大多數的使用者來說，甚至是部分的企業主或IT人員而言，仍舊以為資安問題等於電腦病毒以及駭客入侵，因此對於企業WEB上網安全仍存在一些迷思，例如：

• 迷思一：「我如果不要亂逛色情、賭博與駭客資訊的網站，也不隨便點選超連結，我應該不會中毒。」在幾年前，這樣的做法是可以降低誤觸惡意網站的機會，但近來駭客會大量利用WEB上的漏洞，大量攻擊合法網站。駭客不再著眼於將網站變臉用來炫耀其技術，而是植入惡意程式或惡意連結。當該網站的流量很大，拜訪的人越多，其惡意程式可以散播的越快。
• 迷思二：「安裝了防毒牆與防毒軟體，應該很安全了，不會中毒。」問題在於傳統的防毒技術，仰賴的是災情發生後，能取得病毒範本加以找出病毒識別碼或特徵，再更新給防毒軟體的用戶端。其中的空窗期期間無法縮小，使用者無法防禦。而當今的攻擊藉由郵件、網頁與即時通訊等媒介，可以說是「即時的」。

WEB上網安全防護方案

現今的WEB上網已經是個應用概念統稱，從Web 2.0開始到今日的行動App及雲端服務應用等，WEB變得更加方便但對駭客而言這等於是實施攻擊的溫床。「早期利用Web Filter的惡意網站相關網址分類來進行過濾之外，也有環境會搭配防毒牆的架構，達到縱深防禦的防護。但傳統方式仍無法克服防疫空窗期的問題，面對現今新一代的Web即時性與多變性會面臨力有未逮的困擾」。因此，我們提供全方面兼顧的WEB上網安全防護方案：

1.網頁安全過濾

Web上網安全防護的首要方式被是保護使用者的上網存取的目的地及行為，Forcepoint™是業界第一的Web安全專家，具備全世界最豐富的網頁分類技術與資料庫，針對網站內容變動性高的新一代Web支援多國語系(含中文)「Web即時自動分類」以及「網頁動態分類」，能夠因應新的或未知的網站進行即時分類。並且提出可因應新一代Web資安威脅防禦的內容深層檢測功能，其Web Security防護機制採取最先進的Websense ACE(先進分類引擎)、ThreatSeeker威脅分析、Malicious Content Stripping惡意程式片段剔除等專利技術，能夠快速準確偵查出內含惡意威脅的網頁/網站。

此外，Forcepoint™所提供的 Web Security Gateway模式不僅具備Web資安威脅防禦能力，並且支援對於HTTPS加密內容的檢測過濾，以及APT進階惡意軟體威脅能力，識別整個殺傷鏈的零時惡意軟體和其他惡意活動，以便遏止最新的威脅。

解決方案1: Forcepoint (Websense) / AP-WEB / WSG
解決方案2: Sophos / Firewall

2.資料外洩偵測

Web安全風險的另一個影響層面即為「資料外洩」，由於Web服務已充斥太多可資利用的資料傳送分享管道，此外駭客也最常利用或偽冒HTTP/HTTPS流量來暗度陳倉，Forcepoint™有鑑於此而提出 Data Security作為第二道防線。

常見Web的資料外洩為使用者透過網路磁碟、雲端空間、HTTP/FTP/P2P傳輸、社交網路等方式蓄意或無意的外洩資料；而在近來的APT攻擊事件中則進一步可發現點滴式資料外露方式。Data Security是唯一提供針對內容特徵、內容脈絡與目的地感知能力的DLP解決方案，能讓管理人員管理「哪些對象」透過「哪些管道」將「哪些資訊」傳送到「哪些目的地」進行更清楚的事件全貌。可搭配整合 Web Security協同運作，提供事先預防、即時監測阻擋、及稽核分析的完整方案。

解決方案: Forcepoint (Websense) / AP-DATA / 原 DSS (Data Security Suite)

3.上網安全閘道

企業在傳統的IT防護多半會建立安全防火牆(Firewall)，並進階搭配入侵防禦器(IPS)或防毒閘道器(AVG)，形成一個線性帶狀安全防護線。但這已不再足以因應現今Web上網安全防護需求。

Sophos UTM & Next-Gen Firewall提供複合性的上網安全閘道，針對企業對外連線的邊際端建立第一層深度安全防護，對於使用者Web上網存取行為能夠即時有效率的進行Firewall、IPS及Anti-Virus偵測，並且更進一步具備Advanced Threat Protection防護效果。此外，其Security Web的防護機制也能同時提供惡意網頁過濾、Web應用服務控制、以及對企業Web網站主機防護等幫助。

解決方案1: Forcepoint (Websense) / AP-WEB / WSG
解決方案2: Sophos / Firewall
解決方案3: Forcepoint / Stonesoft Firewall

4.上網安全隔離

以往依據網址分類庫，用來阻擋有風險的類別。或仰賴閘道端的防毒軟體、IPS等阻擋有問題的傳輸，但這已不再足以因應現今Web上網安全防護需求。因此新興的防護機制是透過上網隔離、Web Isolation或稱為RBI(Remote Browsing Isolation) 的新技術。

遠端瀏覽器隔離（簡稱RBI）已經改變了網路安全的面貌。它最常用於安全的網路閘道中，以使人們能夠安全地造訪網站，即使是那些受到惡意特徵碼或內容破壞的網站也可以安全的訪問。通常使用網路隔離或RBI，就可以不用擔心未分類的網站。

網路隔離技術讓使用者想訪問的內容，包含各種網頁、開啟各種文件、郵件的超連結與附件，都在隔離平台中開啟一個獨立的容器，讓這些網頁或文件中存在的主動式內容(HTML5, JavaScript, Flash, Java…等 Active Content)在容器中運行，使用者端不須安裝端點的前提下，仰賴標準的各種瀏覽器工具就可以使用，並且受到隔離的防護。

解決方案1: Forcepoint (Websense) / RBI Module
解決方案2: Menlo Security