iT邦幫忙

第 12 屆 iThome 鐵人賽

DAY 17
0
Security

推動資安從0起步邁向70分,不用花大錢也能有聲有色保平安。系列 第 17

基礎資安常見破口:高風險Website內容過濾

(拜託不要再找我烤肉了QQ,月餅也是,柚子送你/images/emoticon/emoticon46.gif)

如果每個人都好好辦公,只上公司內部的員工入口網站、ERP、薪資、SharePoint網站,那這一頁可以略過。

但是,我們知道這是不可能啊,上上班忙裡偷閒、開點購物網站搶一下、追據小確幸、股票今天空哪一隻、下載個小軟體來用用,網頁存取的目的地永遠突破你的想像,這個破口帶來的風險聰明的你一定都知道:

  • 1.病毒、蠕蟲、木馬與惡意程式侵入:嗯...Internet上不乾淨的網站太多了,常見如瀏覽器綁架、側錄,或是內嵌惡意JAVA語法。
  • 2.社交工程詐騙得逞個資外洩:USER從郵件信中連結或是上網過程中誤入偽冒網頁陷阱,成為入侵的開端。
  • 3.流量爆棚:若尖峰時期都在狂下載、看影片、再大的對外頻寬也不夠用。
  • 4.盜版軟體侵入:網路上綠色版的、免安裝的、論壇來的軟體(謝謝大大無私的分享),keygen輸入一下就有了,等等BSA和保智大隊就來函抓盜版了喔,提不出有效的預防控制措施,會飛上天的。
  • 5.生產力損失:大家都在上網追劇,就算是幸福企業的老闆也無法忍受,小心遷怒到IT身上:資訊都沒有在管制的嗎?

這部分要強化,真的需要一套可以自動化管制的工具:Web Gateway。以前的proxy代理伺服器也是個行之有年的設施,早年以上網加速為目的,現安全為主軸強化內容過濾/惡意網站防護等功能,除了基礎的URL filtering,還具備內容分類過濾、威脅情資整合、網頁信譽評級和TLS加解密過濾等過濾,對於企業的上網行為保護有相當的助益。
這類功能初期筆者建議採用NGFW中的UTM功能授權,例如FortiGate 中的4in1 UTM授權、或是Shophos中的Web Protection,讓你的防火牆多一份功能使用,UTM授權也包含了病毒防護、間諜軟體防護、垃圾郵件防護(SPAM)、流量控制等,自動化的控制web網站風險。若現況設備缺乏或無法具備相應功能,也可以採用ISP業者的服務,直接從機房端過濾。

https://ithelp.ithome.com.tw/upload/images/20201001/20129755ADo4RNqIds.png
(圖片引用自Hinet)

由於每間公司文化不同、自由度不同,這邊列出些常見的內容管制項目防範破口:

  • 1.URL封鎖:色情類網站、賭博類網站、下載論壇、財經股票、聊天室(透漏年紀了XD)、直播、購物類網站、影音追劇
  • 2.通訊封鎖: 即時通訊(LINE/微信/QQ)、個人信箱(gmail/yahoo/hibox...etc)、社交(FB/IG/推特...etc)

上述若有公務/業需需求則by特例申請才開放,並不定時抽查有無被濫用,搭配內部的人員管理機制(安全宣導、違規通報、資源控管),多管齊下,收斂高風險上網行為。

整體來說,UTM的訴求在提供「多功」,因此先求有後續再精,其他更專精於web security的工具(
BlueCoat ProxySG、McAfee Web Gateway、Forcepoint WSS)等有更進階的資源與需求時作為可供導入的選項。
WSS
(圖片引用自達友科技)

參考資料:
防禦網路邊界多種威脅 UTM一機搞定


上一篇
基礎資安常見破口:個人雲端服務
下一篇
基礎資安常見破口:身分帳號保管
系列文
推動資安從0起步邁向70分,不用花大錢也能有聲有色保平安。30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

2 則留言

0
SunAllen
iT邦研究生 1 級 ‧ 2020-10-02 00:04:51

中秋節快樂,我沒有月餅、沒有柚子,當然也沒有烤肉~~只有一堆書和Lab =.=

大神的世界不同凡響阿,有幸我們都是看同一顆月亮的。中秋快樂~~

0
CyberSerge
iT邦好手 1 級 ‧ 2020-10-02 00:49:13

關於web proxy,我的經驗是雲端的web proxy有時會有地理位置的問題,用戶有抱怨說他想訂Uber Eats但是Geo Location顯示的位置和他相差甚遠。我研究後發現那是該廠商雲端的web proxy資料中心的位置/images/emoticon/emoticon01.gif

這真的是經驗談,沒注意過真的不會察覺,哈哈哈~!

我要留言

立即登入留言