預做最壞的打算，各公司紛紛增加資安防護~向上提升或繼續沉淪(下)

模糊的界線
以分層控制和應用為焦點的安全議題低估了某些事實，那就是在大多數公司內，那些網安設備和網路基礎設施之間的界線幾乎已經消失；在無線網路中更是明顯。

不合法的無線基地台仍然是很多資訊安全經理最頭痛的問題。這些低劣的無線基地台，使整個網路曝露在被駭客，以攻擊導向技術攻擊的風險中，核心伺服器和應用程式可能因此遭受攻擊。大多數組織會配合無線安全政策、處理程序、安全技術等多種處理方式來解決無線安全問題。

「我們認為我們控制那些未被授權的無線網路是正確的」，Mock說，「我們有政策抵制沒有透過適當控制而使用無線網路的使用者，但是我們知道仍然有不正確使用它的人。」在政策上，荷蘭銀行的網路小組定期掃蕩不合法的無線基地台及無線網路刺探者。

很多財星雜誌所評選的一千大企業都希望能做得更多。據調查，在未來12個月，有四分之一的公司計畫投資無線區網安全工具，例如在網路週邊的無線網路連線控管以驗證用戶。差不多五分之一的公司將投資於無線設備的安全，例如硬體上的加密和內容掃描。

「在過去的18個月裡，我們花了許多時間來檢視這個問題，並且提出一個政策及一套最佳導入無線網路的方法，」LexisNexis的Cronin說，「它迫使我們必須和能夠提供清楚的策略和說明的供應商合作，以取得最好的天線設備(一種能和網路交換器交談以決定無線網路節點登入變數的設備)」。

「好的交換器和天線是做好無線安全的最好方法」，Cronin補充說，「現在外面所使用的那些舊有的天線技術，其加密技術完全不可靠，是絕對不可以採用的。」

此外，投資於無線網路安全的另一項原因是，它不像其它安全性的應用，無線網路安全有相當清楚明白的商業利潤，並且有清楚可見的風險。

「我們成功地使管理階層確信無線網路安全對公司的重要性，」Cronin說，「如果我們將要使用更多的無線裝置，我們需要認真考慮安全問題，並且像我們考慮網際網路一樣對待這個議題。在網際網路上，我們相當注重週邊網路的安全，我們需要使用相同水準來投資在無線網路安全上。」




廣泛的影響
根據調查顯示，財星雜誌一千大企業中，有超過40%的公司願意在今後兩年內投資新的身分管理解決辦法。當大多數的投資都集中於用戶認證管理和授權方面(用戶權限保護和解除、自動重新設定密碼、單一簽入等等)時，某些公司正在測試聯合身分管理系統，這擴張了公司的核心用戶基礎以外的權利。在Heat Index的一份調查中顯示，前39項安全技術中，身分管理、使用者分權和單一簽入技術分別位居第一、二和第三名。

Bill Boni，電子巨人摩托羅拉公司的CISO，認為身分管理不光是一個安全解決方案，更可以作為公司全面管理架構的一部分。由於今年在安全方面的預算不多， Boni打算將預算使用在刀口上，選擇會對公司營運有最顯著且廣泛影響的產品。

「我並不打算把焦點集中於個別的應用或生產線上，而會集中於能夠涵括全面的解決辦法」，他說，「我們把企業入口管理看得更廣，它應該是一個附屬於我們主要的應用系統之下、完整的子系統，而它能增進整體的效率及效能。」

Boni計畫為員工規劃EAM的解決方案，接著將這個系統轉移到供應商及合作公司。「這整個主要概念是，如果你能有效地對雇員作進入控制，你就能將整個學習曲線抽離內部模型。然後評價它將怎麼對外部組織的進入和合作去做調節。」

儘管其架構的複雜性和TCO相當高，身分管理的解決方案仍相當熱門，主要是因為它們有明確的商業需求。

「身分確認管理真正需要的是降低其複雜性，」McKesson的Heim說，「最終用戶在乎的不是管理的過程和效率，而是如何減少需要處理的密碼。」


安全的模式
提到安全測量標準、投資報酬率和風險模式化、資訊風險管理，大部分的公司都認為是相互矛盾的。「安全仍然是一種魔法（black art），而不是科學，」Heim說，「我們不知道該把錢花在那裡。」
問卷調查的結果顯示，許多財星一千大公司，試著透過必要的技術和程序，來決定所需要的安全措施與花費，部分對於弱點管理這個領域有興趣的投資都已形成，特別是自動化修補管理、組態管理和所謂的安控儀表板（security dashboard）。

規劃企業的安控儀表板採購計畫非常困難，因為對於這個字義很少有共識。但不論他們是否稱它為儀表板，大部分的財星一千大公司都接受決策支援軟體能提供統整多重安全資料點和工作流的觀點。
儀表板能指引操作性的安全活動，比那些提供執行報告更符合需求，根據這份調查，其中一個理由是：某些安全管理者因為擔心弄巧成拙，因此不願意告訴高階主管威脅程度的細節。

ABN AMRO使用商業化的儀表板，來審視弱點矯正工程。該公司認為，在他們區域管理下，能提醒管理者注意會影響系統的弱點的優先次序。但是，為了確保警告的正確性，管理者必須要持續提供系統狀況，來更新儀表板。

「假使他們已經用圖表適當地表示他們的系統，則只有對他們有影響的弱點才會發出警告，」Mock說。「那會讓每個人的工作變得更簡單」。

Mock對於將儀表板和其他威脅分離，包含病毒和實體的安全議題也有興趣。但現在，某些他認為是儀表板的作用，從手動的流程衍生出來，包含舊式的費力工作和活動頻繁而增加的成本。

「對我來說，儀表板不一定是網頁」，他說。「可以是一份文字文件，使企業網路的核心團隊能夠了解網路的健康情況」。「我們安全嗎？我們的問題在那裡？我們能多快修補？如果我們不能很快地修補，為什麼會如此？我們必須要就商業的論點來說，我們已經花了這麼多錢，但我們把工作做好了嗎?我們的防護奏效並且有效率嗎？」
McKesson's Heim，安全測量標準的提倡者，認為安全儀表板不會發揮他們的潛力，除非其他更多的業務單位，同時納入他們所規劃的程序。

「真的很難促使業務單位涉入，」他說，「目標是平衡所有的網路和系統工具來理解這個系統，然後把實體跟虛擬的資源整合進入商業的程序，之後你可以要求業主合格展現商業的一切程序。如此，你基本上可以反排列那些被曝露出來、真正構成那些程序的部分。」

「現在，這並不可行，」他說，「它必須自動地透過工作流程軟體。你必須要有某些東西，能夠促使業主每個月、兩個月、半年來更新資訊(不論危險程度如何)。其中一項隱而未現的關鍵因素是：釐清並確認評估的價值所在。」

儘管趨於成熟，統整性的安全儀表板也許要短短幾年，許多公司一頭栽進其他的自動化安全管理工具，包括修補和組態管理。

接近70%的受訪公司正在使用漏洞管理解決方案。而在微軟平台，可選擇的工具是系統管理伺服器Systems Management Server (SMS)，對於擁有微軟企業合約的公司是免費的。但SMS和其他自動修補工具並不是即插即用的 。如同安全儀表板，自動修補必須要是管理流程的一部分。「自動修補適合低層次的弱點，並且適合較低優先權的系統。」Mock說。

對於高效率的應用，ABN AMRO曾經花了一個星期開會，來討論關於修補、狀態、什麼需要清除以及何時清除等問題。Mock說，「他們測試修補程式來確定沒有破壞應用。然後，他們將會釋出測試過的版本（delta），並且讓每個人都可到中心去取得。」

Panasonic資訊服務部門的企業安全管理資深經理Mike Cervine指出，對於修補程式管理基本上的挑戰是作業系統的驗證和標準化，以及應用的圖像，對於大型、分散的組織特別是如此。

Cervine和他的團隊負責防護全美國超過一萬個雇員的公司。如同其他受訪的安全管理者一樣，他最關心的是令人討厭的蠕蟲發作，影響分散在企業裡的許多部份。

Cervine在2004年的第一要務，是實行企業組態管理系統（enterprise configuration management system）來將伺服器的圖像標準化，他說，「你必須要知道你擁有什麼、你需要達成什麼，以及如何正確的達成。」




本文感謝江志昊、李思慶、陳萍三位共同參與翻譯工作。