預做最壞的打算，各公司紛紛增加資安防護~向上提升或繼續沉淪(上)

Mckesson是一家營業額達到五百億美金的保健產品及服務公司。「我們離那一天不遠了」，Heim說，「我們已經看過能夠跨越多種平台的變種程式，也看到了能夠造成氾濫的程式。如果有人融合了這兩種程式的最壞之處，寫出一個新的程式，那我們的麻煩就大了。」 Heim對於這個末日病毒的威脅能夠採取的因應措施，就是盡他的所能，包括增加風險評估活動、嚴格化系統組態以及存取權限；在閘道器、伺服器以及工作站上使用不同種的AV，以及評估一個新的網路型入侵預防系統(IPS)。

「我們甚至有一筆就叫做『反破壞程式』的預算」他說道，「我們不知道它會是什麼樣子，但是現在我們必須對這種自動化的威脅作準備。」

Heim所面臨的問題在所有的企業安全計劃中獲得了共鳴。要如何去為一個不知道是什麼樣子，也不知道什麼時候會出現的末日病毒作準備呢？如何在針對單一重點方向及面對零星但易量化的威脅之間取捨，以取得平衡點？要如何將企業政策及程序改造，以符合新的規範及不斷變更的技術？而縱使能符合上述要求，那要如何在不破產的前提之下達成這些目標？

Information Security雜誌的「2004資安重點調查」結果顯示，領先企業紛紛採用多重策略、技術及作業層級來對付這些問題。透過獨立研究部門TheInfoPro(TIP)於2、3月間所進行的這個調查，以及與175間美國為主的財星一千大公司的一小時專訪，提供誠如McKesson、Motorola、Reed Elsecier/ LexisNexis、Panasonic及ABN AMRO等公司的罕見幕後資訊安全作業及採購計畫。

好消息是，根據這個調查，絕大部分的財星一千大公司的資訊安全預算都在成長或維持穩定的狀態，只有20%的受訪公司表示將會在未來12個月內減少支出。實際上，商品及零售商與保健公司於2004年強力地投資在資訊安全上面。然而壞消息是，資訊安全預算及其管理能量的分布更形稀釋。

面對著持續不斷且火力密集的網路攻擊，更加複雜與無邊界的網路以及增加的管控壓力，財星一千大公司正展開一系列的資訊風險管理組合。當較小公司仍將其預算全部用在網安技術上面(預算的74%)時，財星一千大公司平均地將預算分配在網安、基礎設施及安全管理上面(參考「資訊安全預算分布」。)

在網路安全上面，傳統的網路層及傳輸層的安全設備已經升級成進階的資訊流量檢測技術，如IPS及網路應用層防火牆等。有四分之一的受訪公司正在評估利用SSL VPN來作軟體的個別存取控制。猶如防毒軟體建在gateway端一般，郵件過濾軟體增加垃圾郵件管理的機制，將促成反垃圾郵件軟體上的投資快速減少。

在基礎設施方面，企業把焦點放在能夠於複雜的異質環境中，能找到新的身分認證、存取控制方式，以節省帳號管理的成本。用戶們同時準備，從自行發展的軟體轉到套裝軟體。在2005年，許多資訊安全公司將評估(或是重新評估)單次登入(Single Sign-on)的機制。在主機IDS及IPS上的投資也將成長，既使其成長幅度將小於網路IDS與IPS。在新的無線區域網路安全上面的花費也將成長，縱使對無線網路仍有高度抗拒。

資訊安全管理的重點是擺在弱點管理及作業上面，包括評量及組態管理。修正程式(Patch)管理也將是首選之一，有16%的受訪公司表示將在未來6個月內增加這方面的花費。當綜合性安控儀表板的投資不斷增加，許多公司仍依賴自製工具及手冊與標準程序來做風險管理。


網路安全煩惱不再？
LexisNexis公司資訊安全部門資深主管Leo Cronin花了兩年時間建構一個決策支援工具，以幫助他建立「惡意威脅」（bad-incomes）模型，使它可以在提供目標的弱點及修正花費後，將威脅的影響量化。雖然這是一個尚在發展中的技術，所做的評估並不精確，且Cronin的努力使得LexisNexis及其母公司(傳媒集團Reed Elsevier)能夠發展一套高危險威脅的評量表。

他表示，「電腦病毒對一個公司擁有最高的潛在財務及其他方面損失，主要是因為它的頻率及高度的惡意。」

正如這次資安重點調查的許多大公司，LexisNexis正在投資主動式的週邊技術以取代被動式的掃描設備，如防火牆、特徵比對型IDS（signature-based IDSes）以及防毒閘道器。即使LexisNexis在週邊上做層級控制(如使用逆向代理伺服器來隔絕其web farm)，Cronin仍然擔心應用層的攻擊，這是他管控黑名單之外的第二重點。

「問題是人們仍可以透過port80進入應用程式」他說到，「他們可以透過HTTP做許多事情，而我們有許多關鍵的線上資產。像是更改首頁、竄改資料及DoS攻擊都可能造成財務上及公司名譽上的損失，以及股票下跌的壓力。」

Cronin最近佈署了一個in-line IPS並且評估配置一個專屬的網路應用防火牆。「我們要確保這些下SQL句以及竄改網頁的攻擊或人能夠被拒絕在外」，他說到。 本次重點調查顯示，越來越多的公司正在投入網路型IPS，在TheInfoPro的Head Index中排名第四。

McKesson's Heim也表示，他在評量以IPS作為被動式監測的另一項替代方案。

「我們還沒能從傳統IDS中得到益處，」他表示，「它們並不是真的入侵辨識系統，它們只是攻擊偵測系統。」Heim也為IDS管理的高度花費感到可惜。

「另一方面，IPS即使耗費較高的人力資源，可提供比較正面的效益。在可靠且成熟產品的前提下，調整好的IPS將不會需要太多的看顧。」

「即使有那麼多優點，IPS仍舊是一個發展中的技術，當他失效時將會是全面性的失敗。」ABN AMRO公司的弱點管理副總經理Kevin Mock表示。 Mock說，「入侵阻絕是一個很好想法，但我並不百分之百地贊成。當你說你要關掉流量時，你最好確定你並不會因此在你的網路上造成問題。」