https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

中小企業主 資安防備做了沒?

2004 / 08 / 05
邱詩琁
中小企業主  資安防備做了沒?

今年以來,許多廠商的產品設計,主攻對象衝著中小企業而來。公認需求最殷切、擁有資安採購預算的金融、政府、大型企業的市場逐漸飽和之際,為數最多的中小企業主成了下一波資安採買的明日之星。許多廠商推出的資安新品便聲稱為中小企業量身訂做。再加上病毒、攻擊趨勢的演變,使用者端的應用系統弱點成了攻擊的主要箭靶,最普遍使用的郵件、網頁瀏覽成了染毒、中木馬的主要途徑,已普遍電腦化、網路化的中小企業主再也無法自外於駭客攻擊目標之外,存著僥倖心態,一定要等到事情發生,才會將資安預算列入考量當中。

針對中小企業主的資安風險何在?和幾位中小企業MIS主管、人員訪談後,有位MIS主管頗具資安意識,他提到,「中小企業的資安風險機率未必就低,」由於一般普遍存有中小企業防護能力較弱的印象,中小企業反成了駭客偏愛的跳板對象,甚至成了攻擊的暖身、練習對象。他表示他們公司便遇過多次被嚐試入侵的狀況。

「有人嚐試入侵」這樣的經驗,許多MIS都遇過。其實即便是個人使用者,若裝上個人防火牆,三不五時都會收到「入侵」的警告。 因此,很顯然的,病毒、駭客成了全民公敵後,即便我們也不希望是危言聳聽的炒作者,還是要提醒中小企業主基本的防護該做好,有必要提升自我的「資安意識」。
中小企業主的三大需求:防毒、垃圾郵件過濾、防火牆
問及中小企業主目前面臨的資安最大挑戰,防毒、垃圾郵件幾乎是共通的答案,而防毒、防火牆產品目前為中小企業主最普遍的資安配備。一位受訪者老實表示,因為老闆的觀念較為傳統,沒發生事情是不會認知到「資安」的重要,而該公司目前的資安配備為防火牆、防毒產品,也足堪負荷,尚未碰到重大的資安攻擊和損害。只不過他透露目前的防毒產品常無法及時「攔截」,多是遇到中毒再去處理,最嚴重的一次為公司內有半數以上的電腦約20台左右都中毒,必須一台台做處理。雖然對一些中小企業主而言,耗費在此的時間對整體營運的效能影響和花費成本,他們的感受並不深,不過情況若轉至一家大型企業,半數以上的電腦中毒,回復運轉所耗費的人力和時間,及延遲本來業務,確實是不小的損失。因此該名MIS也透露,等防毒軟體合約期滿,將改換另一家廠牌的產品。

事實上,針對作業系統漏洞來發動攻擊,不論是藉機埋下後門如木馬程式,可遠端操控電腦、側錄鍵盤key in的重要資料如帳號密碼等,大大方方地進入受害主機內偷窺或竊取資料;亦或是建立一個個跳板,傳輸大量封包而造成網路速度減緩甚至癱瘓的狀況,攻擊模式從以往的網路層延伸至第七層應用層,因此也成了防毒軟體的份內事,有廠商便稱其為網路型病毒,要能完全偵測到此類複合型的攻擊方式,甚至做到早期預警,單一產品尚有困難,這也是網路設備廠商要和檢查應用層的防毒廠商結合;防毒廠商要防火牆廠商合作的原因,也是市場購併風盛行的原因之一。

超值組合─防毒產品
針對中小企業的特色和需求,目前在台主要的四家防毒廠商,都有另推出產品解決方案或是優惠的套裝產品。趨勢科技推出的中小企業防毒專用包和加值包,結合工作站與伺服器防毒保護於單一方案中。可自動派送最新病毒碼、掃描引擎、軟體修正程式到所有網路上的電腦,並內建清除機制,可將系統自動回復至先前狀態,並提供單一操作介面進行集中管理。

而針對中小企業,趨勢還推出有eDector防毒委外服務,藉由協力廠商來提供服務,以減輕中小企業主的負擔。服務有效期間內,客戶可以得到趨勢全系列防毒產品包括OfficeScan、ServerProtect、ScanMail、InterScan及中央控管軟體Trend VCS (Virus Control System)的合法使用權。 另一防毒廠商賽門鐵克針對小型企業提供有5人版及10人版的授權選擇。同樣訴求自動移除病毒、集中安裝更新及管理,並強調能防護已知及最新病毒威脅。新版9.0的新增功能中,特別針對近來流行藉由電子郵件散佈的病蟲做防範,可掃描電子郵件及其附件。並新增可偵測出窺視軟體及廣告軟體的功能,還會先確認VPN連線是否有感染病毒。2.0版的網路安大師,新增了可自動清除大量轉寄郵件型病蟲所產生的郵件及附件,並可攔截彈跳式的廣告及橫幅廣告。 McAfee推出的中小企業版防毒軟體,是將多個軟體組合而成的套裝產品,也就是針對用戶端、Server端、閘道端等各個端點的保護都包含在內,並附上統一中央控管軟體。整套包括:VirusScan Enterprise 7.0保護伺服器和用戶端電腦;GrouoShield則針對Exchange及Domino伺服器提供保護。另外還包括有:可偵測SMTP協定的Webshield、保護檔案伺服器的Netshield,及中央管理平台ePolicy Orchestrator。

資安新敵─垃圾郵件
而對中小企業主而言,垃圾郵件同樣是他們最新面臨的資安大敵。問及多位中小企業MIS人員的困擾何在,垃圾郵件皆是榜上有名。由於垃圾郵件不勝其擾,各家防毒廠商在新版軟體中都加入防垃圾郵件功能。而使用者若想更進一步防堵垃圾郵件,達到更理想的攔截率的話,除了善用新版防毒軟體、Outlook的功能外,專為擋垃圾郵件而設計的軟體更能符合所需。今年以來市面上有越來越多的產品可供選擇,賽門鐵克已購併垃圾郵件軟體的領導廠商Brightmail,該套軟體也已正式引進國內,另外新進來台灣的CP Secure內容過濾產品也包含有垃圾郵件的解決方案。

目前垃圾郵件軟體判斷何者為spam的依據多是靠黑白名單,也就是比對資料庫中的IP Adress。但垃圾郵件者或廣告信廠商多會以不斷更換IP做為因應,除了被廠商所定義及更新的名單外,多數產品可供客戶自行增加名單成員。另一普遍的方式為藉由比對標題、寄件者、信件內容甚至附件內容的關鍵字,做為判斷依據。但該種方法也很容易誤檔或是未攔截到真正的垃圾郵件,有些產品提供較為複雜的加權計分方式,可將不同的關鍵字打上分數,使用者可設定一封郵件中加總起來的分數門檻,若符合多項關鍵字,或含有很可疑的關鍵字,達到一定分數便可斷定為垃圾信。

不過沒有任何一種方法能夠百分百阻擋垃圾郵件而不誤判。因此綜合多種過濾方式可提高準確度,但同時也必需犧牲些效能。記得筆者公司在導入防垃圾郵件測試期間,收信速度減慢了不少,訂閱的多份電子報多被阻擋在外,一時之間還真難以適應,而MIS管理者也只有靠使用者的不斷反應,來做微調的動作。而目前廣告信件流行摘錄勵志文章、故事,看至最後才發現原來是廣告信件,告訴你「若想多賺點錢,擺脫上班族生活,請撥打xx專線」,這類文章可能就會躲過檢查,但若收信者可能從那篇文章亦有所啟發收獲的話,是不是垃圾郵件可就見人見智了。

由此可見,垃圾、廣告信件手法會不斷翻新,且每個人對垃圾郵件的定義不一。因此要導入垃圾郵件解決方案前,先行試用、評估功能、效能外,後續定期檢視、調整,才能發揮最佳功效。目前國內產品多是支援Linux、Unix平台,進口品牌則多可支援Windows系統,有些國外產品功能做得較為精細,但相對的價位也高;而國產品由於擁有自行研發技術,有些還可針對使用者需求量身訂做。進口、國產各有其長處,採購者可能得綜合考量出一個最適合自己的解決方案。不過,重要的是,如同某位MIS的認知,「別期望垃圾郵件軟體能完全解決問題,但它確實能降低垃圾郵件的危害。」

另外,有些產品強調的是郵件側錄(log)功能,發生事情時如內部員工竊取機密資料,可從郵件通聯紀錄中尋得蛛絲馬跡;和防垃圾郵件的產品用途不同。有的產品結合兩者,除了阻擋垃圾郵件,亦會備份郵件內容資料。由於產品名稱或廣告上的宣傳字眼可能雷同,採購者可要判別清楚。由於廠商看好此塊市場,近一兩年,坊間產品的選擇廠牌日多,國產的有中華數位的Mail SQR及SPAM SQR、桓基科技的MailSherlock、VirusSherlock、寬華網路的SpamWall等;進口品牌則有一高商務代理的SurfControl Email Filter for SMTP、所羅門代理的Mailsweeper、諮安科技代理的BorderWare Mxtreme,及最新來台、近日被賽門鐵克購併的Brightmail,郵件監控、側錄的的則有敦陽科技推出的Maillog、寬華科技的MailDVR、定興實業的E-DETECTIVE等。

走向整合~防火牆/多功能產品
至於防火牆,在此不贅述各家廠牌產品,該塊市場是目前資安領域中品牌產品項目最豐富者,但也看得選購者眼花瞭亂。雖然競爭激烈、但市場也趨飽和,除了訴求換機市場、企業內部防火牆、第二道防火牆等需求外,目前的趨勢是為了搏得中小企業主的好感、符合中小企業主的需求,除了優惠的價格外,多功能產品開始蔚為潮流,增加了如負載平衡、頻寬管理、IDS、IPS等功能,需求最大的防毒、垃圾郵件過濾功能當然也不會放過,訴求單一設備便能將中小企業的需求一網打盡,聽來雖然誘人,不過各項功能做得如何、過多功能是否會拖垮速度,就有待使用者試用方能得知。

某公司MIS主管表示,該公司目前正在導入多功能產品,為了避免一次導入所有功能會影響網路速度,因此他採取分階段導入的方式。另外針對目前新興的由廠商透過遠端監控代管資安設備的方式,他表示若有足夠人力,仍傾向自行接手管理。

中小企業主的其他配備需求
零壹科技產品經理林志冠從和中小企業主的接觸經驗中歸納,中小企業主的需求大致為防毒、備份、線路備援。其中多數中小企業主已漸有備份觀念,有的會做雙重備份,除了磁帶、磁碟備份外,針對重要資料還會另外用一台主機備份,更講究的,有些中型企業主還會拉線至異地的機房做異地備援。另外,線路備援,則是為了保持網路暢通,對於提供有電子商務的企業而言,多有此配備;亦或是有些公司是為了將多條ADSL頻寬整合為更俗又大碗的寬頻。據多家相關廠商表示,中小企業主對該類產品的需求今年可望更為加溫。

其他,包括因應漏洞攻擊的弱點評估/管理的產品或服務,漏洞修補產品/服務,都屬中小企業的資安護身罩之一。有些資安廠商如防毒大廠等在其網站上提供有簡易的線上掃描弱點服務;針對微軟的漏洞修補,微軟亦提供有適用於個人電腦的Windows Update及SUS(Windows Update Services,適用於有1~3台Windows伺服器與1位系統管理員的環境,適合中小企業)等免費的的漏洞修補管理解決方案。其實,一個安全的修補程式派發流程,應是先測試最新的patch是否會影響企業環境內的作業系統,測試通過後,才做全面的派發。所幸多數中小企業內的系統並不複雜,測試的難度相對較低。微軟網站上提供有詳細的操作流程說明,管理者並可訂閱電子報,第一時間收到原廠發出的安全通告。 其實就如微軟不斷鼓吹的「保護你的電腦三步驟」,個人電腦的最基本防護要具備有防毒軟體、個人端的防火牆,並修補最新漏洞,就能將資安威脅降低許多。較小型的企業不妨做好每台電腦的基本防護,再加上不隨意開啟來路不明的電子郵件、不連上或下載來路不明網站所提供的軟體等基本防禦觀念,便已經有了最基本的防護底子。資安的確未必需要花許多經費來做。就如一位受訪者反映其公司狀況,是針對公司最重要的資產資料庫做權限管理,其餘的便是防毒、防火牆設備,及做漏洞修補,這幾年來也相安無事。

以上所提的多是假設中小企業至少還具備有MIS人員,至少還有一位擁有資安認知,具有判斷、採購資安設備的能力。但現實是,有些中小企業連專職的MIS人員都無配置,出了問題,一通電話打去賣產品的廠商或是尋找熟電腦的親朋好友來協助解決。究竟中小企業主是否有需要聘雇專門的MIS人員?業界有一普遍的衡量標準;企業若達到或接近30人(30台PC),至少需聘用一位MIS人員,每增加約30人(30台PC)就可再增加一名MIS。該衡量標準其實是以一名MIS人員所能支援的電腦台數、使用者數目極限為依據。

中小企業主的採購心聲
一般提及中小企業咸認其資安難處在於「沒人、沒錢」,「沒人」,因此可能需要委外服務;「沒錢」,所以產品價位需要平易近人,最好還能俗又大碗,提供多樣功能,讓中小企業能夠一台設備解決所有資安難題。不過,中小企業主是否買單,恐怕也是因人而異,有人對整合型產品感興趣,有人持觀望態度,還有人則相當質疑。 另外,雖然誰都喜歡物超所值的產品,但價位並非每位中小企業主採購評選的首要條件。剛好有多位受訪者都表示,他們偏好市場上的領導品牌,畢竟這是口碑的保證,因此不介意價位較高。為了免除後續產品若是發生問題所帶來的麻煩和時間人力耗損,MIS人力並不充裕的中小企業更是要將時間花在主要業務上,「信任感」成了選購的關鍵。畢竟資安產品是買「心安」的。因此,為了搏取中小企業主的青睞,廠商除了做價格競爭外,提升產品技術能力,建立品牌信任感、好感度,恐怕才是更長遠之計。

中小企業MIS佳言錄:
・中小業主是否需要聘雇MIS人員,取決於老闆是否願意承擔風險、降低風險。是否願意投資,做完整的規劃,以減低未來的風險和損失。

・防火牆的規則並不難訂,重點是MIS本身對安全的意識是否足夠,是否有此認知。如只打開必要的服務,受到攻擊影響的機會就會降低許多。

・養兵千日用在一時,MIS人員亦是如此,並非沒發生問題時就不需要。厲害的MIS應該是能維持穩定的網路和系統,很少發生突發狀況,因此事情也會越少。因為該注意到的都已先行顧到,問題自然就會減少。可惜很多老闆反而會認為看到不到MIS的績效,不知道他到底做了什麼事。