為什麼端點防護要自動切換的安全規則?

理論上在確保資訊安全是簡單清楚的規則：IT 應確保只有經過核准的使用者，可以合法存取資訊系統。相信他們存取的原因是正當業務所需，並且假設開始使用也會做正確的操作。然而在實務上，安全的達成一直是安管人員在規則”拒絕” 的一系列靜態過程；「拒絕存取」是在使用者與工作所需的資源之間設置障礙。結果是靜態安全性規則，嚴重妨礙使用者工作效率，並降低組織主要業務處理速度。入侵企業盜竊破壞，甚至網路恐怖主義等風險，已經讓安全防護變成了一種動態的情境，需要採取更智慧的對策。

而COVID-19 大流行迫使組織，快速從完全在公司內辦公或混合辦公室/遠端辦公，轉向配置遠端工作環境。這一轉型最緊迫的挑戰之一是：組織必須面對端點設備安全的保護管理方式發生驟變。重要的是考慮遠端工作的員工，更可能將工作端點裝置同時用於購物、支付帳單和一般 Web 瀏覽活動。這會增加洩漏露公司資料的風險。當遇上網路釣魚郵件相關的事件時，組織的資料安全保護變得脆弱。

傳統規則的挑戰

看看網路極端點安全在目前的機制，通常以偵測威脅為應對措施主軸。在邊境建置防火牆控制網路進出，過濾流過的封包資料。當出現不好的事情時就做出針對回應，相對容易實施。但企業內部的幾個變化趨勢：機動工作、遠距工作的員工增加，和雲端服務的廣泛採用，使得傳統的外圍已不容易區分和防守。同樣，網路活動的”好”或”壞”就變得模糊不清。靜態規則就無法正確的適用在不同的情境。

讓我們用一個例子說明傳統規則的侷限性。Alvina 是一位資料分析專家，即將向經理報告研究成果。她嘗試望將簡報檔複製到 USB 儲存裝置上作為備份。傳統的防護規則是，阻擋儲存到USB 媒體上，並示警及稽核記錄。這在業務活動上造成了幾個困擾:

使用者方面

• 影響使用者，讓Alvina 感到挫折，因為簡單的工作被阻止
• Alvina 會找到另一種替代方案來解決她的問題
• 資料保護系統使工作變得沒有效率

管理者影響

• 管理者被迫需要追蹤事件與警報訊息
• 過多的警報訊息淹沒安全管理團隊
• 因為有太多警報，安全管理團隊調整或關閉 DLP 政策

現存於環境中的各種不同的工具和產品，利用不同的技術保護組織的資訊資料。雖然這些工具旨在執行相同資料保護工作，卻在實務上很難真正有效率的管理。這是因為使用靜態的、以威脅為中心的策略來管理存取作業，欠缺良好整合，只能各自提供獨立功能，沒法兼顧多種業務運作活動。

主動適應政策調整

為了解決靜態規則無法適當應對變動的環境，主動適應政策根據不同環境條件提前，建立不同對應行動計畫，可簡化團隊管理複雜度，並減低對使用者工作的干擾。建議的適應條件考量:

遠距工作

遠距工作者所使用的裝置，可能是公司的受控設備，也可能自攜帶裝置。工作的場所也可能是咖啡廳、自宅，所面臨的風險不一。依照工作形式切換必要的管理政策，防止不當連線或資源存取。

• 以公司裝置利用VPN 存取公司的服務
• 以自用裝置RDP 連入公司裝置。
• 以公司裝置RDP 到另一台公司裝置。

所在地理區
不同國家、地區因基礎建設完善度不一，可能安全性不足等顧慮。

跨廠區工作
配合當地的安全管理政策。

應用程式執行或連線至重要網站
當指定應用程式被執行，或連結公司內部敏感站台時，安全層級對應調整。

使用者自決(User Override)
部分事件可由使用者自行決定放寬，變更後系統依據條件學習並自動處置。

管理者(主管)核准
除使用者自決外，部分事件變更須經過管理人員核准。

威脅等級變化
威脅等級升高，關閉部分功能，甚至凍結防止事態擴大。

結論

目前疫情尚未明朗，依賴遠端工作的環境可能會成為常態。通過識別遠距工作及威脅環境變更，主動適應性政策，變更對應資安等級的方式，並實施必要的行動來應對；組織將處於更有利、更具主動積極防禦的位置，從而維持業務連續保持競爭力。