創科廣場｜企業升級網絡遠端存取 「零預設信任」端終防護

疫情下，更多企業受網絡攻擊，加快終端和網絡存取防護升級，不少企業以「零信任網絡存取」（ZTNA）取代VPN或者SSL-VPN。

研究機構Gartner估計，2022年八成新推出的應用均透過ZTNA存取；2023年，約六成企業會以ZTNA取代VPN。

IT終端保安，逐漸從以往「終端檢測與回應」（EDR）方案，過渡至擴展偵測及回應XDR（Extended Detection and Response），簡單來說XDR跨越多個安保層收集並自動關聯資訊，以更快速偵察出攻擊；例如結合「安全數據事故管理（SIEM）、安全編排自動化和回應（SOAR）、終端偵測及回應（EDR）以及網絡流量分析（NTA），所有安全數據集中分析以快速回應，也減少了誤報。

ZTNA則以更安全的方式，控制用戶訪問企業網絡的權利，部分安全廠商將ZTNA和端終防護技術XDR互相結合，Sophos推出整合終端安全的Sophos Intercept X的ZTNA，可加強防禦勒索軟件及多種網絡威脅。

Sophos Intercept X是採用多層安全保護以提供防護，並包括了XDR性能，Sophos亦發布了《Windows服務成為Midas勒索軟件攻擊的基礎》研究，以闡述ZTNA何以對網絡安全的重要。

上述研究說明黑客利用存取控制、網絡及應用的隔離漏洞，匿藏在目標環境近兩個月之久。

黑客以遠端存取工具「ghost」作橫向移動，鎖定和破壞其他電腦、建立新帳戶、安裝後門程式及竊取關鍵數據，最後才安裝Midas勒索軟件。

ZTNA將取代VPN

Sophos ZTNA透過整合至Sophos Intercept X，包括Extended Detection and Response （XDR）、Managed Threat Response（MTR）和其他方案，統一為終端、用戶、身分識別，以及連繫的應用及網絡提供保護。

Sophos ZTNA亦可與其他方案分享即時威脅情報，並自動回應相關威脅，以識別威脅並評估裝置是否正常運作，快速隔離受攻擊及不符合安全規範的裝置。

Sophos 首席技術暨產品總監Joe Levy表示：「雖然大部分遙距存取方案備有數據加密功能，例如遙距桌面、IPsec和SSL-VPN，但未能徹底防範近期的安全威脅。黑客利用漏洞把驗證資訊加入至RDP和VPN連接網絡，一旦成功入侵就可進行不法行為，引致數據外泄，引發勒索攻擊事故。」

僅授權存取特定應用及系統

Sophos ZTNA以微分段網絡阻擋網絡入侵、橫向移動和數據外泄，透過多種形式持續驗證用戶身分，以確保裝置運作正常。

Sophos ZTNA對用戶進行嚴格存取控制。Sophos、ZTNA、VPN不同之處，在於並非採用預設信任選項，僅授權用戶存取特定的應用及系統。Sophos ZTNA就是透過零信任及驗證存取，提升保護和簡化IT安全管理。

混合工作模式大勢所趨

IDC網絡安全產品研究總監Christopher Rodriguez表示：「混合工作模式大勢所趨，機構須保護遙距工作員工、數據及應用。透過整合ZTNA及終端保護，Sophos ZTNA讓任何裝置隨時以合適權限存取。」