工業技術研究院 資訊與通訊研究所 鍾勝民

在勒索與敲詐的雙重威脅下，CASB技術及服務跟著水漲船高，
對成本相對敏感的中小企業來說，工研院CASB軟體或許是預算內的最佳福音。

有別於勒索病毒(Ransomware)將受害者檔案加密後要求贖金，BBC最近的新聞揭露的一種新興、被稱為Extortionware的敲詐手法[1]。其背後的駭客在進入受害者的資料夾後，會不動聲色地查閱檔案內容，找出機密、隱私或敏感的資料，待時機成熟就用掌握的資料來敲詐企業。面對持續成災的Ransomware及新興Extortionware的雙重威脅，企業該如何因應。本文從中小企業的角度探討惡意軟體所引發的雲端現象與需求，從而介紹Gartner眼中的資安巨星CASB (Cloud Access Security Broker)，最後再把重心拉回到中小企業，以國產技術實質協助企業主槓桿雲端來避免勒索敲詐，同時提升員工戰力。

不可擋的雲端儲存趨勢與隱憂

企業每天處理的資料大宗無非是檔案，但檔案卻散落在每個員工手邊的許多裝置，從PC、筆電、手機到平板，只要一個裝置遭到惡意攻擊或天災人禍，就可能造成商損。面對愈來愈多的惡意軟體鎖定檔案為攻擊目標，不少大企業已研擬出事件發生前、中、後的應對策略。然而，中小型企業可能就沒有太多資源做到完善；除了基本宣導及防護軟體的安裝外，多半只能憑藉員工自身的安全意識來應付日復一日的攻擊與風險。難道中小企業要維持正常營運只能全憑運氣？

Yes and No！隨著雲端儲存的普及，許多聰明的員工已習慣把辦公資料抓上雲端，在「離地」安全高度下辦公，某種程度上做到資料與惡意軟體的隔離－即便不小心帶入勒索病毒或發生災禍，雲端可能還有過往版本可救援。

事實上根據2020年的市調[2]，超過9成2的受訪者已在個人雲端儲存空間中存放有辦公資料。基本上因為雲端儲存可輕易串起手機、平板和電腦，愈來愈多人一試成癮，隨身碟穿梭裝置間傳遞檔案的光景也漸形罕見；若再留意，會發現雲端儲存已成為員工走戰街頭的空間魔法：過去筆電容量要裝好裝滿，現在僅配32GB硬碟的chrome book已因「雲」而不可小覷；以前只把最不重要的檔案暫存雲端，現在什麼都放，一放就是一年半載；以前個人裝置各自獨立，現在藉由雲端作中介，各式個人裝置儼然合體，甚麼隨身碟、甚麼OTG都丟一旁了。

不過員工運用Google Drive、Dropbox、OneDrive及iCloud等個人雲端儲存，就像單兵作業，企業難以管控；一旦發生機敏資料外洩而觸及個資法、GDPR (General Data Protection Regulation)等法規，或被挾持敲詐，往往還是得由企業主善後。像這樣該管又不知如何管的問題並不是只發生在中小企業，大企業一樣得面對，因此醞釀出CASB龐大的商機。

CASB雲端存取資安代理技術

CASB的英文全名-Cloud Access Security Broker及中文譯名-雲端存取資安代理都繞舌，因此多數人以 /cas-bee/ 簡稱之。CASB是雲端服務導向的整合技術，早期的多間新創幾經大廠併購後，最新的Gartner魔力象限[3]上的領導廠商為McAfee、Netskope、Microsoft及Bitglass，而Symantec及CipherCloud則在後緊追。

從技術來看，CASB佇立於客戶與雲端服務間，以Proxy Mode及API Mode替企業解決資料上雲過程中最重要的「內容資安（Data Security）」問題。所謂的Proxy Mode是指客戶的資料會經過CASB處理後才真正地放上雲端；CASB居中替企業強制將檔案加密，避免機敏資料以明文（plaintext）呈現於企業外；但由於Proxy Mode的加密動作常使雲端服務無法進行資料處理，因此有時須搭配API Mode。所謂的API Mode是先讓資料上雲，CASB再透過雲端服務開的「後門API」審閱雲上的資料，當發現不符受託企業之政策的機敏資料時（如文件含信用卡號等），CASB可將文件上鎖隔離並通知企業的權責人員處理。

圖1 CASB主要功能與運作模式 

為了提供完備的資安保護，CASB常整合有可視力（Visibility）、政策遵循（Compliance）及威脅保護（Threat Protection）。不過，這些功能常圍繞在最重要的內容資安，這也可以解釋為何Gartner魔力象限會有Bitglass及CipherCloud這種非大廠的存在：他們的內容資安不止於應用傳統的AES加密，更進一步提供獨到的「加密後可檢索技術」。

CASB是新興的服務，採用的是新興的收費方式。上述CASB功能常被更細部模組化為訂閱項目，每個項目常須綁定某雲端服務。假設企業需要x項CASB服務，並綁定y個雲端服務為期z個月，則訂閱費用將正比於x‧y‧z。因此企業除了y個雲端服務外，每月還得額外支付CASB訂閱費。

中小企業適用的CASB

回歸到中小企業所面對資料「被」上雲的挑戰，假設沒有預算可委託CASB代管，那企業主能做些甚麼？關於這問題，資安專家所能給的最簡單建議會是「落實加密」。不過，對中小企業來說，要求員工把每個檔案加密後上傳個人雲端空間，就好像要求員工把各自抽屜收整齊一樣－簡單但難以管理；更別說加解密的動作對員工是多一道的麻煩，而且一旦發生加密金鑰遺失或員工惡意離職，那企業的資料不就沒了。

面對這挑戰，工研院特別研發適合中小企業精實人力的CASB軟體，針對全球三大雲端儲存體，提供CASB最重要的「內容資安」。

統一管理：CASB軟體採用Proxy Mode讓企業可統一管理所有員工的雲端儲存空間，它可連接全球三大雲儲存體AWS S3、Azure Blob及GCP Storage讓企業從中取捨出最優資費方案。相對於檔案散落在個人雲端空間，統一控管可以讓企業集中管理檔案資產，即使面對員工流動也不致流失檔案資產。

圖2 工研院CASB軟體讓企業統一管控雲端空間

自動強制加密：除了可利於統一控管，CASB軟體強制對所有上雲的檔案加密，但當需要檔案時，員工卻可像沒加密一樣直接取用。其間繁瑣的金鑰管理及加解密全由CASB軟體代勞。

加密後可檢索：CASB軟體最特別之處，在於擁有比McAfee、Bitglass及CipherCloud等CASB領導廠商還安全有效率的加密可檢索技術[4][5]。即使企業檔案上雲量倍增或年代久遠，員工都能快速調閱雲上加密的檔案內容，以提取直正需要的檔案。如下圖所示，CASB軟體可讓員工透過「關鍵字」進行雲端上檔案的全文檢索，除了支援英文及萬用字元，還在地化支援中文檢索。

圖3 兼具隱私及效能的CASB加密後可檢索技術

隱私保護： CASB軟體的加密技術不但強健企業需要的內容資安，同時也兼顧員工隱私。員工只能檢索自己雲端上被加密的檔案，而檢索時使用的關鍵字也會被加密為密碼學的暗門（Trapdoor）才進行檢索。由於暗門不具任何文意，因此CASB提供的檔案檢索可說是一種「盲檢索」－即不看檢索關鍵字就能達成全文檢索，在不下載、不解密檔案的原則下達到完美的召回率（Recall Rate = 100%）。

省錢加高效率：由於CASB軟體的全文檢索完全不觸碰雲端儲存體，因此員工可隨時隨意修訂檢索關鍵字來限縮檢索範圍而不增加雲端儲存體的帳單。這樣的技術不只可為企業省下找資料的工時，尤其適合雲端儲存體Per-request Billing的計價模式[6]。

企業外檔案安全分享：員工可透過CASB軟體進行檔案分享，員工對一檔案先取得分享專用URI連結後，就可將該URI連結傳遞給被分享人，以任何網路瀏覽器下載檔案，員工可依需求加入認證密碼及可分享期限或次數，且每一個分享CASB軟體都會留下記錄。

安裝使用方便：如圖4所示，CASB軟體可被佈署在Linux或Windows作業系統的PC，使用Intel i7 CPU即可提供中小企業內數十名員工流暢的使用經驗。以Windows為例，安裝CASB軟體只要點開安裝檔，就可快速完成佈署；而後，如圖5所示，企業的IT管理員就可以透過CASB內建的Admin網頁新增三大雲儲存體之對應企業帳號，進行統一雲端空間發配與管理。

圖4 工研院CASB軟體之雲端、地端及平台整合度

圖5 CASB軟體使用簡易適合精實人力的中小企業

檔案加密強度：CASB軟體的加密強度為標準128位元的AES，而加密可檢索技術已獲中華民國、美國及歐盟的專利權。如圖6所示CASB將文字映射成如雜訊般的均質分佈的索引，其安全強度較McAfee及CipherCloud的獲證專利還高。

圖6 工研院CASB軟體擁有比國際領導廠商還優異的加密後可檢索技術

影1 工研院CASB協助企業主槓桿雲端,避免勒索敲詐並提升員工戰力

結論

勒索病毒正不斷挑戰多數人直覺「資料落地最安全」的觀念；相形之下，資料上傳到雲端隔離的空間反倒免疫，加上雲端儲存可輕易串起手機、平板和電腦等各種裝置，使個人雲端儲存快速普及，隨身碟穿梭裝置間傳遞檔案的景象也愈形罕見。

不過，為了躲避勒索病毒或天災人禍而將機敏資料放上雲端確實增添了外洩風險，一不小心更可能讓新興的敲詐手法有機可趁。在勒索與敲詐的雙重威脅下，CASB技術及服務跟著水漲船高，預期將成為大企業必備的資安防護，但對成本相對敏感的中小企業來說，工研院CASB軟體或許才是預算內的最佳福音。如影片1，就讓工研院CASB來協助企業主槓桿雲端避免勒索敲詐並提升員工戰力！

參考文獻

[1] Joe Tidy, ‘We have your porn collection': The rise of extortionware, Available at: https://www.bbc.com/news/technology-56570862
[2] GoodFirms Reearch, Usage & Trends of Personal Cloud Storage, Available at: https://www.goodfirms.co/resources/personal-cloud-storage-trends
[3] 2020 Gartner Magic Quadrant for Cloud Access Security Brokers, Available at: https://www.mcafee.com/enterprise/en-us/solutions/lp/gartner-magic-quadrant-for-casb.html#form-download
[4] Chung, S. M., Shieh, M. D., & Chiueh, T. C. FETCH: A cloud-native searchable encryption scheme enabling efficient pattern search on encrypted data within cloud services. International Journal of Communication Systems, [e4141], Available at: https://doi.org/10.1002/dac.4141
[5] Chung, S. M., Shieh, M. D., Chiueh, T. C., Liu, C. C., & Tu, C. H. (2020). uFETCH: A Unified Searchable Encryption Scheme and Its Saas-Native to Make DBMS Privacy-Preserving. IEEE Access, 8, 93894-93906. [9093817], Available at: https://doi.org/10.1109/ACCESS.2020.2994598
[6] Amazon SS Pricing, Available at: https://aws.amazon.com/s3/pricing/