端點防護的策略管理

服務策略是 ITIL 的核心，所代表的意義是先確認影響需求的因素再偱序漸 進地實施其它方法來達成目標。在端點防護管理的應用亦是如此，顯見策略管理 的重要性[9]，首先資訊部門先確認影響需求的因素後編列預算進行採購端點防 護方案，根據防護需求去調整啟用相關功能的組合，例如啟用網頁信譽評等和電 子郵件防護等，最後再訂定策略方向實施管理運作如圖 3-3 所示。

( )

編列預算採購 端點防護的組合

(財務管理)

訂定防護的 策略管理 (策略建立)

根據需求調整 端點防護組合

圖 3-3 端點防護的策略管理流程

端點防護的策略管理，如表 3-1 所示從需求、財務管理來確認影響端點防護 的因素和編列採購端點防護方案的預算、服務組合及策略建立分別為管理組織內 使用的端點防護生命週期和定義資訊威脅的處置動作。

表 3-1 ITIL 服務策略與端點防護策略管理運作 ITIL 管理架構

端點防護管理實施方法 階段 方法 定義

服 務 策 略

服 務 策 略

① 需求 管理

了 解 和預 先 考 量 及 影 響 客戶 對服務的需求

確認影響端點防護的因素，區分為資訊部門 的 端 點 防 護 運 作 管 理 及 使 用 者 的 報 修 服 務，運作管理包括管理人員的專業素養、使 用的方法和使用者的報修服務的規劃。

② 財務 管理

提供 IT 服務所 需 的 成 本 及 帶 來 的 投 資 效益 管理

1. 預算編列公式：

端點預算 = 每個端點防護功能費用 ＊ 端點總台數 ＊ 購足率

2. 是否符合投資效益可視投入的各項資源 配合服務持續改善階段中的服務評量設 定，定義出各項成效指標，以該成效指 標一定區間的數值，衡量是否有達到可 接受的範圍。

③ 服務 組合

管 理 服 務 生命 週 期包 括 正 在 使 用 和 除 役 的 服務

管理組織內使用的端點防護相關軟(硬)體服 務，根據防護的需求調整其組合。

④ 策略 建立

定義 服 務 提 供 者執 行 所 需 的 觀點、定位及計 畫 以 符 合 組 織 的營運成果

1. 訂定防護功能中對各類資訊威脅的處置 策略。

2. 實施作業系統安全性策略。例如密碼規 則(Password Rule)、登入失敗次數限制等 規則。

3. 實施內部感染來源處置策略，若有端點 正在執行大量且不正常的網路封包傳輸 時，需進行檢查並針對不符合安全政策 規則的端點進行控管。

4. 實 施 端 點 防 護 更新 及漏 洞 修 補 部 署 策 略，例如防護功能中的更新和作業系統 漏洞修補程式(Hot Fix)部署派送。

5. 訂定端點防護功能中的共用(Common)管 理策略，例如排程進行端點全系統掃描。

在端點防護策略管理先評估影響使用需求的因素，再討論要如何設定其它方 法以達成目標。本研究提出二個方向分為資訊部門的端點防護管理與使用者端的 報修服務；資訊部門需要管理工作能夠被掌握，使用者需要報修的服務能夠順利 被使用，這中間的因素包括人力是否足夠、人員是否具備專業的素養及是否採用 適合的端點防護解決方案等資源，在需求管理的動作確認完成後接下來的規劃是 預算管理，正所謂巧婦難為無米之炊，資訊人員的管理仍需搭配專業廠商研發的 端點防護解決方案才能發揮效果，但在企業裡要編列預算無法空穴來風，必須有 所依據的計算合理的數字呈給預算單位審核，本研究提出端點防護預算編列公式 來採購所需的解決方案。在表 3-1 中的財務管理項目提到的計算公式，解釋如下：

端點預算 = 每個端點防護功能費用 ＊ 端點總台數 ＊ 購足率

公式中購足率數值為 1，代表每台端點都必須購買版權，讓每台端點都能安 裝使用與擁有防護能力。例如某企業每個端點防護功能費用為 1000 元，端點總

端點預算 = 1000 ＊ 3000 ＊ 1 = 3,000,000

經由公式計算出用於購買端點防護的預算金額，資訊部門可依照此編列的金 額規劃出適合的防護組合，使用編列的預算進行端點防護與漏洞修補伺服器的建 制，依照需要將防護功能及漏洞修補程式派送部署到端點，設計架構可參考圖 3-4 所示。

圖 3-4 端點防護管理設計架構示意圖

在端點防護的防護組合，管理者經由預算進行採購的端點防護解決方案，可 根據資訊威脅的感染來源進行調整，例如經由網頁瀏覽增加感染率可使用網頁信 譽評等(WRS)來防護，此功能會在端點每次連線網頁時對網域名稱進行檢查，若 判定結果是有異常者會禁止連線到該網頁，運作方式如圖 3-5 所示。

圖 3-5 網頁信譽評等運作示意圖

若是經由檔案存取執行增加感染率，可使用檔案信譽評等服務(FRS)來防 護，在檔案存取前即時查詢檔案的安全性，減輕資訊威脅定義檔案管理負擔降低 效能衝擊。運作方式如圖 3-6 所示。

圖 3-6 檔案信譽評等運作示意圖

若是經由電子郵件傳送增加感染率，可使用電子郵件防護(Mail Protection) 來防護，在電子郵件收發過程中會進行掃描，已確保不會遭受資訊威脅的感染或 攻擊，運作方式如圖 3-7 所示。

圖 3-7 電子郵件防護示意圖

若是經由網路芳鄰增加感染率，可使用軟體式防火牆來防護，透過此機制隔 離風險區域來增強網路的安全性，若有存取異常即會進行阻擋和發出警示，可為 連線到網路環境的端點提供資訊威脅防護，運作方式如圖 3-8 所示。

圖 3-8 軟體式防火牆運作示意圖

若經由點對點檔案分享程式(Peer-to-Peer)增加感染率，可使用應用程式控管 來防護，提供管理應用程式之安全政策，允許可以執行的各種程式，不允許未知 的、非法的及未授權的應用程式如 P2P、BT 等執行運作方式如圖 3-9 所示。

圖 3-9 應用程式控管運作示意圖

若經由可攜式儲存裝置(USB)增加感染率，可使用裝置管控來防護，透過和 目錄服務(Active Directory, AD)整合的功能，可以針對使用者、群組權限和時間 等進行細部設定運作方式如圖 3-10 所示。

圖 3-10 儲存裝置控管運作示意圖

若企業中有筆記型電腦可啟用雲端防護(Cloud Protection)機制，原因在於這 些端點易於擕帶移動，當脫離企業工作環境時容易遭受到資訊威脅的攻擊，透過 雲端防護機制運作如圖 3-11 所示，可以為隨時暴露在風險中的筆記型電腦提供 保護措施。

圖 3-11 雲端防護示意圖

透過上述介紹的防護措施資訊部門管理人員可依需求設定加入到防護組合 內，以便維持端點防護應有的運作效能。

表 3-1 防護策略建立的第一項，通常企業等級的端點防護功能均可進行客製 化的設定。本研究提出五種方法；第一項是資訊威脅的處置策略，設定的基礎來 自於資訊威脅的型態，目前大致上分為自我複製和附加型感染二種，自我複製型 的特徵為自己本身就是資訊威脅，不會去感染正常檔案使其大小增減變化，在成 功執行後依照設計去影響使用者的操作，例如電腦速度變慢、自動傳送資料到未 經使用者授權的網站等，此類資訊威脅包括有木馬程式及間諜程式等。針對此種 威脅的建議處置方式第一個動作是刪除，第二個動作是隔離。附加型感染則是會 去感染正常檔案使其大小增減變化，當被感染的檔案被執行後此威脅便開始依照 設計去影響使用者的操作，例如感染正常檔案使其成為跳板伺機攻擊其它目標，

針對此種威脅的建議處置方式第一個動作是清除，第二個動作是刪除。

表 3-1 端點防護策略建立的第二項，實施系統安全性策略。例如密碼複雜度 規則(Password Rule)設定；包括英文字母大小寫、數字和符號四種、密碼長度限 制及不能重覆使用相同密碼的次數，連續登入失敗次數過多須鎖定該帳號及系統 權限問題(System Permissions)。部份資訊威脅程式可能會具備猜測系統帳號及密 碼的能力，建議密碼設定應符合上述所提的複雜度原則，定期掃描不正確的檔案 分享設定，檔案分享應該要明確設定被分享對象的帳號，並避免設定成每個人皆 可存取(Everyone Full Control)。

表 3-1 端點策略建立的第三項，實施內部感染來源處置策略，當資訊威脅不 小心入侵到企業內部時，稍有不慎便容易大量擴散造成可能無法預期的災害。這 些資訊威脅在感染動作進行時，必須找到感染來源也就是一開始就中毒的端點，

使其成為跳板向其它端點攻擊，通常這些被優先感染或攻擊成為感染來源的端點 都有一些共同性的弱點；例如防護功能沒有安裝及更新、系統上的漏洞沒有被修 補、密碼過於簡單和權限安全性設定不夠嚴謹等所導致，針對這些有弱點的端點 可透過網路存取控制機制(Network Access Control, NAC)，如圖 3-12 所示進行隔 離控管動作，在隔離期間開始進行弱點修補，待修補完成後再予以釋放到正常作 業環境之中。

圖 3-12 網路存取控制機制示意圖

表 3-1 端點策略建立的第四項，實施更新部署策略。作業系統與端點防護功 能設計公司為了因應不斷襲擊而來的資訊威脅，而需要更新防護功能的資訊威脅 定義檔和作業系統漏洞修補程式(Hot Fix)，這些更新的檔案雖然經過設計公司的 測試可正常運作，但端點組態及使用的應用程式種類繁多，難保不會發生部署後 產生異常的情形，造成端點運作失常或是誤判資訊威脅的情形，此時可先將企業 內的端點進行群組分類，依時間差方式分別實施延遲派送(Delay Deployment)機 制，此時會有預先被設定的群組之端點優先被派送到更新程式，在指定的時間內

圖 3-13 所示，此更新部署可搭配資訊威脅的處置策略一齊使用，以避免誤判的 情形發生。

圖 3-13 延遲派送機制示意圖

表 3-1 端點策略建立的第五項，訂定端點防護中的通用(Common)管理策略。

本研究提出二個建議；第一個建議是排程進行端點全系統掃描，藉以找出潛藏在 端點未能被即時防護偵測到的資訊威脅，例如將掃描時間定在中午 12 點到 1 點 的休息時間，避免在辦公時間進行影響使用者作業。第二建議是針對端點防護功 能設置安全密碼，避免防護功能在未經授權情形下遭受卸載或反安裝，使端點失 去防護能力。

依照本小節的規劃依序從端點需求管理、預算管理、服務組合生命週期管理 及策略建立四個管理進行規劃，或者也可挑選所需的方法來使用，配合上企業資 訊人員本身的專業素養可使端點擁有較佳且可靠的防護力。