近日武漢肺炎侵襲世界各地,截至2月26日為止,全球確診人數已突破8萬,南韓、義大利確診病例數量在前幾天突然暴增,面對急遽升溫的疫情,各國政府也必須採取公共衛生層面的因應對策,像是邊境檢疫、交通管制、居家隔離、衛教宣導、落實環境清潔消毒。
而在臺灣,商家、企業、校園也全部動員起來,主動而積極地實施各種措施,例如,在許多公共場所,業者或組織都會針對進出人員,實施量測額溫、要求配戴口罩、提供藥用酒精與乾洗手液、宣導多洗手等措施,而清潔人員也加強環境的消毒,小到電梯的內外按鈕,大至樓梯扶手,每天三班制進行。
而在人員的活動上,全國的中小學延後至2月25日開學,各校都在學生進入學校之際,均施行了體溫檢測流程,當中會先量測額溫,若高於37.5度,會再量測耳溫,若高於38度,會聯繫家長帶該生就醫、返家休息,不列入缺席記錄(有的學校還額外在校門口,設置了紅外線體溫感測裝置、紅外線體溫成像儀,之後再進行額溫量測)。若師生感染武漢肺炎,教育部也公告停課標準。
上述這些大多都是實體的武漢肺炎防疫對策,若對照企業網路安全的防護,既有的作法與近幾年興起的一些資安概念,剛好都可以與其相互呼應。
首先是防毒防駭的檢測,以及受感染裝置與檔案的隔離,我們會實施在個人電腦與網路邊界等位置,接下來,我們會設法實施多層次的縱深防禦(Defense-in-Depth),在不同的接觸管道當中,布下檢測器,以防惡意軟體與網路攻擊突破單點防禦之後,長驅直入內部網路,或對其他位屬同網域的個人電腦、伺服器、連網設備,發動橫向式的移動或攻擊(Lateral Attack)。
另一個很重要,很多人可能聽過但還搞不太清楚的策略,那就是我們前幾年介紹的零信任(Zero Trust)模式,這裡面的核心概念正是「Never Trust, Always Verify」。若要落實相關的作法,除了不厭其煩地持續檢測,最好還能搭配適當的網路分割機制(Network segmentation),達到分而治之(Divide and conquer)的效果。我們透過多個相互隔離的網路區域,將所有可能受到攻擊的端點設備、應用系統,分別置於一個範圍較小的網路當中,簡而言之,這形同「將雞蛋分到不同的籃子裡面」,可分散風險。
關於隔離的措施,其實不只是為了從網路底層的存取來著手,避免事後造成更大規模的感染和擴展,平時我們在存取各種系統時,若能做到遠端隔離存取,也有助於降低風險,縮小受到攻擊的層面。想讓企業內部環境具備這樣的特性,過往我們可以選擇導入桌面虛擬化、VDI、遠端桌面、Thin Client等解決方案,現在我們可以考慮更輕量、動態的遠端瀏覽器隔離(Remote Browser Isolation,RBI),僅透過瀏覽器來操作執行在遠端容器環境裡面的應用系統。
接下來,我想談談消毒與衛生。關於威脅防禦的技術,有些廠商發展出「內容清理與重建(Content Disarm and Reconstruction,CDR)」解決方案,為了讓普羅大眾更容易了解其作用,於是,用了資料消毒(Data Santization)」來形容CDR的成效。
談到如何替網路傳輸內容與收發的檔案消毒,許多人應該也會期盼網路世界應該要有公共衛生的概念。而在很多年前,一些國家因為憂慮網際網路充滿各種資安威脅,已開始著手推動網路衛生(Cyber Hygiene),而經過了這麼多之後,網路安全威脅始終有增無檢,如何持續落實相關的防護,確保網路環境是潔淨無毒、可安心使用的,更是當前企業、民眾所關切的重大議題。
專欄作者
熱門新聞
2024-11-18
2024-11-12
2024-11-20
2024-11-15
2024-11-15
2024-11-19