Web上网安全防护与隔离

超乎想像的WEB安全威胁成长

企业员工利用网际网路来收集与交换信息已成常态，且越来越仰赖网际网路。面对不断推出的Web 2.0应用，在企业环境中，想要享受使用网际网路带来的便利以及生产力，却往往难以防范的误触恶意网站或被植入恶意程式，使敏感资料或个人隐私暴露在危险之中。

根据Forcepoint™的Web Security Lab的研究报告指出，内含恶意程式的Web数量成长极为快速，并涵括到行动App。这些被识别到的恶意网站中，77% 是合法网站被攻陷而植入恶意程式或恶意连结。另外，前百大热门网站中，70% 在过去六个月内曾经被植入恶意程式或涉及恶意活动中，其中 39% 的网页恶意攻击，隐藏了窃取资料的程式，可见Web已经是目前信息安全最大的漏洞来源。

企业IT的挑战

对于IT部门来说，WEB是不能禁止避免但却很难管控的主要网路服务，如何在不影响WEB上网便利的同时，能将恶意程式威胁及资料外泄的风险降至最低，并且在安全与生产力的天秤当中找到一个平衡点，是极为重要的课题与挑战。

但对于绝大多数的使用者来说，甚至是部分的企业主或IT人员而言，仍旧以为信息安全问题等于电脑病毒以及骇客入侵，因此对于企业WEB上网安全仍存在一些迷思，例如：

• 迷思一：「我如果不要乱逛色情、赌博与骇客信息的网站，也不随便点选超连结，我应该不会中毒。」在几年前，这样的做法是可以降低误触恶意网站的机会，但近来骇客会大量利用WEB上的漏洞，大量攻击合法网站。骇客不再著眼于将网站变脸用来炫耀其技术，而是植入恶意程式或恶意连结。当该网站的流量很大，拜访的人越多，其恶意程式可以散播的越快。
• 迷思二：「安装了防毒墙与防毒软体，应该很安全了，不会中毒。」问题在于传统的防毒技术，仰赖的是灾情发生后，能取得病毒范本加以找出病毒识别码或特徵，再更新给防毒软体的用户端。其中的空窗期期间无法缩小，使用者无法防御。而当今的攻击藉由邮件、网页与即时通讯等媒介，可以说是「即时的」。

WEB上网安全防护方案

现今的WEB上网已经是个应用概念统称，从Web 2.0开始到今日的行动App及云端服务应用等，WEB变得更加方便但对骇客而言这等于是实施攻击的温床。「早期利用Web Filter的恶意网站相关网址分类来进行过滤之外，也有环境会搭配防毒墙的架构，达到纵深防御的防护。但传统方式仍无法克服防疫空窗期的问题，面对现今新一代的Web即时性与多变性会面临力有未逮的困扰」。因此，我们提供全方面兼顾的WEB上网安全防护方案：

1.网页安全过滤

Web上网安全防护的首要方式被是保护使用者的上网存取的目的地及行为，Forcepoint™是业界第一的Web安全专家，具备全世界最丰富的网页分类技术与资料库，针对网站内容变动性高的新一代Web支援多国语系(含中文)「Web即时自动分类」以及「网页动态分类」，能够因应新的或未知的网站进行即时分类。并且提出可因应新一代Web信息安全威胁防御的内容深层检测功能，其Web Security防护机制采取最先进的Websense ACE(先进分类引擎)、ThreatSeeker威胁分析、Malicious Content Stripping恶意程式片段剔除等专利技术，能够快速准确侦查出内含恶意威胁的网页/网站。

此外，Forcepoint™所提供的 Web Security Gateway模式不仅具备Web信息安全威胁防御能力，并且支援对于HTTPS加密内容的检测过滤，以及APT进阶恶意软体威胁能力，识别整个杀伤链的零时恶意软体和其他恶意活动，以便遏止最新的威胁。

解决方案1: Forcepoint (Websense) / AP-WEB / WSG
解决方案2: Sophos / Firewall

2.资料外泄侦测

Web安全风险的另一个影响层面即为「资料外泄」，由于Web服务已充斥太多可资利用的资料传送分享管道，此外骇客也最常利用或伪冒HTTP/HTTPS流量来暗度陈仓，Forcepoint™有鉴于此而提出 Data Security作为第二道防线。

常见Web的资料外泄为使用者透过网路磁碟、云端空间、HTTP/FTP/P2P传输、社交网路等方式蓄意或无意的外泄资料；而在近来的APT攻击事件中则进一步可发现点滴式资料外露方式。Data Security是唯一提供针对内容特徵、内容脉络与目的地感知能力的DLP解决方案，能让管理人员管理「哪些对象」透过「哪些管道」将「哪些信息」传送到「哪些目的地」进行更清楚的事件全貌。可搭配整合 Web Security协同运作，提供事先预防、即时监测阻挡、及稽核分析的完整方案。

解决方案: Forcepoint (Websense) / AP-DATA / 原 DSS (Data Security Suite)

3.上网安全闸道

企业在传统的IT防护多半会建立安全防火墙(Firewall)，并进阶搭配入侵防御器(IPS)或防毒闸道器(AVG)，形成一个线性带状安全防护线。但这已不再足以因应现今Web上网安全防护需求。

Sophos UTM & Next-Gen Firewall提供复合性的上网安全闸道，针对企业对外连线的边际端建立第一层深度安全防护，对于使用者Web上网存取行为能够即时有效率的进行Firewall、IPS及Anti-Virus侦测，并且更进一步具备Advanced Threat Protection防护效果。此外，其Security Web的防护机制也能同时提供恶意网页过滤、Web应用服务控制、以及对企业Web网站主机防护等帮助。

解决方案1: Forcepoint (Websense) / AP-WEB / WSG
解决方案2: Sophos / Firewall
解决方案3: Forcepoint / Stonesoft Firewall

4.上网安全隔离

以往依据网址分类库，用来阻挡有风险的类别。或仰赖闸道端的防毒软体、IPS等阻挡有问题的传输，但这已不再足以因应现今Web上网安全防护需求。因此新兴的防护机制是透过上网隔离、Web Isolation或称为RBI(Remote Browsing Isolation) 的新技术。

远端浏览器隔离（简称RBI）已经改变了网路安全的面貌。它最常用于安全的网路闸道中，以使人们能够安全地造访网站，即使是那些受到恶意特徵码或内容破坏的网站也可以安全的访问。通常使用网路隔离或RBI，就可以不用担心未分类的网站。

网路隔离技术让使用者想访问的内容，包含各种网页、开启各种文件、邮件的超连结与附件，都在隔离平台中开启一个独立的容器，让这些网页或文件中存在的主动式内容(HTML5, JavaScript, Flash, Java…等 Active Content)在容器中运行，使用者端不须安装端点的前提下，仰赖标准的各种浏览器工具就可以使用，并且受到隔离的防护。

解决方案1: Forcepoint (Websense) / RBI Module
解决方案2: Menlo Security