根據近期Check Point的全球郵件防護分析報告顯示,高達90%惡意程式是透過Email寄發。另依據IC3 Report統計報告,現今首要的網路犯罪型態為釣魚郵件模式,且近5年來出現頻率持續增高,成為駭客喜愛重複利用的攻擊手段。
此外隨著近幾年疫情延燒,使得遠端辦公需求激增,但企業的防火牆政策卻無法被帶著走,以致讓各處上網的員工經常曝露於高風險。由此可見,舉凡電子郵件與上網瀏覽,皆是企業急需提高戒備的威脅傳播管道。
為此Check Point於今年(2022)加強推廣旗下Harmony Email & Collaboration(HEC)、Harmony Connect(HC)等相關方案,期望協助企業迅速提升防禦力,遠離釣魚郵件、惡意網站或中繼站的荼毒。
Check Point資安顧問羅煜賢指出,傳統企業選用地端電子郵件系統,但考量管理負荷吃重、IT/資安人員難尋,以致近年有越來越多企業轉而採用微軟Office 365、Google Workspace等雲端電子郵件服務。
這般趨勢演變,對於多數企業可謂利多。此乃因為,在傳統On-premise電子郵件防護模式下,企業須於機房設置硬體設備,在上線或維護時皆需停機,恐迫使業務停頓達數小時之久。另因傳統電子郵件防護曝露在外,讓APT攻擊者有很多機會研究如何繞過郵件防護措施,以致遭到攻擊成功的機率日益攀升。
如今企業轉向雲端郵件服務、不管用的是微軟或Google平台,均可搭配使用HEC方案,將釣魚郵件攻擊機率降到最低。羅煜賢解釋,HEC建置於雲端郵件服務的背後,攻擊者看不到它的存在,所以即便已成功繞過雲端郵件服務平台的既有防護,其發送的釣魚郵件仍會被HEC攔截,最終仍無法取得企業員工個資。更重要的,HEC承襲Check Point去年收購對象Avanan的專利技術,獨步全球提供In-line Prevention的API 介接模式,可在郵件進入Mailbox前,直接掃出惡意郵件並加以攔阻。
反觀其餘市場上產品未具備此技術,故僅能採用Detect & Remediation模式,須等到郵件進入Mailbox後,才被撈出做分析,若確認為異常,再呼叫API從Mailbox移除該信,據 Avanan研究團隊統計平均花費至少183秒鐘才能完成刪除動作,但使用者平均收信後的82秒內就會開啟信件,顯見該模式有「緩不濟急」的疑慮,可能埋下被駭客釣魚得逞的伏筆。兩相比較,不難讓人體悟到In-line Prevention模式的相對價值。
另值得一提,除Email外,HEC亦可針對OneDrive、SharePoint、Google Drive、Teams、Slack等雲端協作服務提供保護,這點十分重要;係因攻擊者往往利用大家彼此信任的弱點,會透過同一會議、同一群組的人員點擊分享過程,藉機注入惡意程式。
大致上來說,內建特殊CPU-level偵測機制,對釣魚郵件與惡意附件擁有超高攔阻率的HEC,可望為企業帶來諸多益處,首先是防止員工密碼不外洩,避免惡意程式散播,充分保障企業智慧財產權;其次大幅降低遭到商業電子郵件詐騙(BEC)攻擊機會,避免對承辦人員造成心理衝擊;再者因資安屬於公司治理的一環,可順勢突顯企業實踐ESG的成效斐然,贏得投資者信賴;最後則是提高上下游廠商之間的資安承諾。
同樣隸屬Check Point Harmony產品系列的Harmony Connect,定位為SASE解決方案,集SD-WAN、FWaaS、SWG、CASB、ZTNA、VPNaaS等功能於一身,換言之企業只要投資Harmony Connect,無需再向不同廠商分頭購置,即可一次買足所需安全機制,進而確保使用者不論身在何處,皆能享有如同辦公室內部般的資安防護。
羅煜賢說,Harmony Connect包含Internet Access、Remote Access兩大模組。其中Internet Access為FWaaS服務,讓員工在各地做網路存取時,都先到Check Point的PoP轉運點、依企業預設的防火牆規則執行過濾,類似把防火牆帶著走的概念,經確認安全無虞才能連上目的地網站,反之若連線標的為惡意網站、或公司禁止造訪的網站,皆會被即時阻擋。
另一個Remote Access模組,同時蘊含Network Access和Application Access兩項重要方案。Network Access是一套VPNaaS服務,依傳統VPN架構,企業須於防火牆開放外對內的連線設置,有曝險之虞,惟一旦採用Network Access,企業僅需在資源處安裝Docker、在用戶端安裝Agent,即可串聯為一個大內網,讓終端設備直接連線到資源處,等於把VPN隱藏在公司內部,不需在防火牆對外開設任何連接埠,減少一個駭客入侵點。
Application Access為一項Agentless的ZTNA(零信任網路存取)服務,企業可為各部門、外包廠商或個人授予不同存取權限,此後使用者僅需透過瀏覽器,便看到自己有權存取的資源項目,只要點擊其中任何一項,就一鍵連線至該項資源處;而使用者不管透過SSH或RDP連線到資源,其間所有使用行為都會被錄影,可藉由相關畫面佐證,滿足企業日後的稽核需求。深究Network Access和Application Access的差異,在於前者為大內網概念,使用者只要連線到資源處,即可觸及其中所有應用程式,範圍頗為寬廣,基於資安考量似有限縮必要,而後者即是把範圍限縮到應用程式層級。
總體來說,Harmony是以人為本的解決方案,除Harmony Connect、Harmony Email & Collaboration 外,還有Harmony Endpoint、Harmony Mobile、Harmony Browse產品。Harmony的設計初衷,不僅是提升企業安全,更為了保障員工的遠端辦公安全,保護範圍涵蓋員工居家上班的電腦、收信安全、通訊軟體安全、手機安全、上網安全等,期望讓在家工作與在公司工作完全無異,確保各項遠端作業都不會因任何理由而放棄資安。
延伸閱讀:
Check Point Harmony 零信任網路存取,遠端工作裝置存取安全
Check Point Harmony 保護電子郵件及 Office應用程式安全
如欲對Check Point Harmony 解決方案有進一步了解,歡迎洽詢MetaAge邁達特業務窗口 (填單洽詢)