基于云的端點安全服務與企業內部安全服務相比遠不夠成熟,如何在經驗和案例均不足的現階段成功完成自己的云端安全服務?這是個困擾著很多CSO的問題。
所謂知己知彼百戰不殆,除了對自身的需求做一番仔細的考量外,另一方面就是搞清供應商的產品和服務了,雙管齊下才能確保攻下云端安全服務這個碉堡。
在云端安全三大注意事項:部署、警報與報告一文中,我們已經做了初步闡釋,而本文將進一步揭秘供應商端點安全服務中的各種缺失,為企業完善云端點安全提供“知彼”的途徑,以便企業用戶在選擇云服務時少走彎路。還是以Tolly集團最近發布的原型部署機制體驗報告為基礎,依然是來自五大知名云服務供應商的服務產品,真相如下,給CSO們提個醒,選產品一定要在下面的細節擦亮眼睛:
云端點授權需明確
某些云端點安全服務允許使用者創建多個管理用戶,然后將不同企業部門的管理工作委托給特定管理員。某些安全服務甚至提供“只讀”管理員角色,旨在幫助管理者在進行端點安全監控時確保其內容不變。
但是并非所有的供應商都能做到這一點,如果大家的企業希望將不同端點部門的管理職責委托給不同管理員,一定要向服務供應商核實是否提供此類功能。當然,最重要的是搞清楚管理員能對端點客戶端進行哪些管理操控。
云服務策略配置有缺失
端點運行所遵循的規則通常由策略配置文件來定義。在研究中,我們試圖建立一套具有以下屬性的策略:每四小時更新一次簽名文件、每天運行一次全局掃描并在反惡意軟件掃描中排除特定文件/目錄。令人驚訝的是,如此基本的策略配置屬性居然都無法在全部五種云端點安全服務中實現。舉例來說,某項服務不允許對簽名文件的更新頻率做出任何修改,也不允許設置掃描例外。另一家供應商的產品則將默認策略設為只讀,因此所有其中不支持的功能就只有通過創建一套自定義策略才能實現——這也是我們達成上述屬性需求的惟一途徑。
反惡意軟件系統的任務在于搶在威脅損害端點之前對其進行檢測與隔離。通常情況下,威脅的隔離審查工作應該由管理員執行。經過審查流程,管理員往往會刪除實際威脅并對錯誤警報結果予以放行,這樣被一次誤報的文件就不至于在未來的掃描中再次遭到攔截。令人驚訝的是(請原諒我們又驚訝了),并不是所有參與評測的端點安全服務中的反惡意軟件都提供這項功能。某些只是簡單將全部被檢測為病毒的文件刪除,這樣粗暴的解決方式很可能給多數企業帶來大麻煩。
同樣地,我們也觀察了管理員應當如何處理被誤報為病毒且遭到隔離的文件。由于某些服務根本不提供警報內容管理功能,因此管理員根本無法對誤報狀況做出補救。只有一款產品允許管理員自動將誤報項目添加至例外名單,其它幾種產品只能通過手動方式添加例外項目,從而讓誤報對象繼續正常運行。(雖然添加工作倒也不算復雜,但如果誤報狀況數量龐大,肯定會明顯消耗管理員的時間與精力。)
云端點交互問題多
作為研究報告的最后一部分,我們審視了如何以各種方式與特定端點進行交互操作。
按需掃描觸發機制:如果某個端點出現可疑行為或大量威脅,安全管理員必然希望為其設置一套按需掃描觸發機制,從而在此類情況再次發生時改動進行處理。令人驚訝的是,五項評測服務中居然有一項完全不支持該功能。其它幾項則只允許在組級別進行按需觸發。因此,如果要對某個單獨端點進行掃描,我們必須創建一個新組并將對應端點分配到該組當中,然后才能實現掃描觸發。有鑒于此,我們不得不向供應商提出質疑:為什么不提供指向單一設備的選項?在現有方案下,管理員幾乎不可能在無需手動操作的前提下實現自動掃描觸發。
暫時禁用反惡意軟件功能:需要暫時停用反病毒功能才能正常安裝的程序倒不太多見,然而暫時叫停反惡意軟件掃描工具確實能夠簡化端點的故障排查流程。因此,管理員當然希望能對端點上的反惡意軟件功能隨時進行開啟及關閉。然而結果再次令人失望,五項評測服務對象中僅有一項能滿足我們的要求。在其它服務方面,惟一停用反惡意軟件掃描的方式就只有將其徹底卸載。這一狀況很可能成為眾多大型企業用戶運營流程的絆腳石
遠程LAN喚醒:休眠系統通常會繼續使用已經過期的簽名文件,且未能及時更新操作系統及應用程序安全補丁。由于大多數系統會在啟動時自動執行上述維護工作,因此休眠系統的喚醒機制也是一項非常實用的功能。LAN喚醒(簡稱WoL)功能會向LANMac地址發送一個名為“魔法包”的數據包,從而觸發計算機的啟動流程、觸發網絡中各設備的開機時序。
在我們此次研究的五款云端點服務方案中,只有一款提供WoL功能。也許其它反惡意軟件供應商認為該功能對威脅檢測流程并無積極意義,但它確實能在檢測系統狀態或確保系統擁有最新補丁與病毒簽名方面起到重要作用。
總結:
雖然傳統內部端點安全產品市場已經相當成熟,但云基礎同類方案還顯得非常青澀。由于主流供應商拿出的方案缺少眾多相當基本的功能,企業用戶恐怕需要對現有內部方案中的功能與云端點服務版本進行一一比照,從而找出必要但卻尚處于缺失狀態的項目。好消息是云服務供應商們能夠更簡便、更頻繁地改進產品,因此客戶的問題反饋應該能夠很快在方案中得到體現——這也正是云機制的最大優勢之一。