觀點

點破安全迷思

2005 / 01 / 17
Andrew Briney 翻譯 / 李倫銓
點破安全迷思

迷思#1 你可以把系統補到滴水不漏
以前的人都會有一個觀念:在駭客利用系統漏洞之前,趕快將系統漏洞修補好,就不會有問題了。很不幸的,對於大部分的企業環境下,這個觀念有點過於理想化,也不太實際。

「有句諺語說:欲速則不達。」 Oracle 策略長瑪莉安岱維森說:「沒有人可以趕的上安全修補程式的速度,實在是太快了。」

有些人會說修補(Patch)並不是資產鑑別/矯正措施循環裡的重要步驟。另外,根據最近的報告顯示,企業對於修補系統漏洞越來越駕輕就熟,根據弱點管理公司Qualys的資料,過去一年企業將危險漏洞的修補時間從30天降低到21天,你也許會覺得這是一個很大的進步,但是你知道嗎? 現在漏洞公佈到惡意程式出現,僅短短十天甚至更短!

問題是出在越來越多的IT人員和安全管理者視『系統修補』是一個二元理論,也就是:系統有修補等同安全,沒修補等同有漏洞。這樣的理論也逼著修補管理系統(Patch management systems)背負著此重責大任進行修補策略(無論手動或是自動地) -盡快地、有系統地進行修補。

「修補系統就像煩人的壞消息。」組合國際CA資深VP安全策略長Ron Moritz說道:「我們以為他是萬靈丹,但其實並不是」。

有效的修補依賴準確的資產管理系統,這也是絕大部分公司所缺乏的,自動修補管理系統(Automated patch management systems) 可以協助達成這個目標,但是仍缺乏足夠的智慧去將弱點、威脅、部署狀態做關聯。

修補的哲學其實是向企業現實環境低頭。知道嗎?讓系統持續運作以及保持系統生產力遠比去處理有風險的系統重要多了,用個簡單的例子來說,你的CEO在公司大聲疾呼:「資訊安全是公司最重要的責任!」但是等到年度結帳時,卻來了個事態嚴重的SQL資料庫的漏洞,卻沒人敢去把帳務資料庫給關掉進行修補。

將修補納入風險管理循環裡可能是一個做法,Moritz 提出了一個方法,建立一個修補系統模擬中心,所有的風險測試、系統狀況都先在這個環境下模擬以及測試,當你真的立刻需要一個修補後的系統時,馬上就可以將其上線,就像一個備援系統一樣。

迷思#2 防毒軟體無用論
病毒、蠕蟲、間諜軟體、木馬程式、可移動程式碼以及各類變種的惡意程式正以驚人的威力和成長速度襲擊現今企業,各式新型多變的蠕蟲消除磁碟資料、滲透網路、甚至祕密地在伺服器上植入Rootkit(註 二),這些惡意的行為導致企業每年損失上百萬。

實際上,傳統『以病毒碼偵測病毒的防毒技術』,面對這些新型態的病毒或是惡意程式幾乎已經無能為力了(註三 ),事實上,許多新型蠕蟲以及其變種根本就是要跟防毒軟體一較高下,會刻意又小心的避開防毒軟體的偵查,這也導致許多人認為這些防毒軟體根本就是沒用的。

「防毒軟體大大減少了企業風險。」安全管理公司CyberTrust技術長,Peter Tippett說。事實上他建議在降低企業風險這部分,至少用防毒軟體能達到顯著功效。「即使你只是稍微試試看,在桌上型電腦或gateway上安裝防毒軟體,你試試看掃十幾個附加檔案的郵件,你就知道有沒有效﹗」

Tippett說︰「這個問題是因為太多公司實在是過分依賴這些防毒軟體」,「他們想要用防毒軟體來百分之百解決這些病毒問題,卻不再靠其他更簡單或便宜的方法來解決病毒問題」,像是網路分割、防禦主機(Bastion host) 、在網路出口之路由器設定阻擋、關閉IE瀏覽器的active scripting功能。就像防毒軟體一樣,這些方法在單獨運用時,都僅只在某些狀況或環境下有效,但是若將這些方法結合起來對抗企業病毒問題,卻可以收到非常好的功效。

接下來有人就會說了,人的因素呢? 人的因素是科技始終沒法顧全的,「許多蠕蟲和病毒根本就是針對人性,這點我們沒辦法控制。」Counterpane 公司的技術長 Bruce Schneier說︰其實這個責任都怪到掃毒軟體身上也不盡然,就像你只想聽好消息,壓根不想聽壞消息,哪有這麼好的事情呢?「我們現在用的作業系統還有應用程式的安全性都很爛,加上人們又有一堆雜七雜八的程式弄得系統環境一團亂,當然容易長蟲中毒!」

迷思#3 資安政策必須要全面性涵蓋所有問題
「我認為我們應當釐清怎樣才構成政策,政策並不像標準或守則一般,政策之所以長,是因為它涵蓋整個作業規範。」

大部分的資安專家畏懼撰寫及實行資安政策,因為他們認為,政策一定要清清楚楚、徹徹底底的涵括所有IT及企業運作步驟,在最近一次的資訊安全研討會中舉辦了一個調查發現,發現許多企業資安專家同意多就是好,而超過三分之一的人曾制定超過20頁的資安政策,而差不多有五分之一的人甚至超過50頁。

這麼冗長的文件也許可以很完整地涵蓋,但卻一點也不可行,甚至會被人放到一旁。資安管理者應當了解,你花越多精神在鑽研資安文件上,你就得花越多的時間來制定跟實行,而這些煩瑣冗長的文件,也可能在施行時就已經不適用了! 在上述調查中,14%的人寫了50頁的政策,或是1頁也沒寫。不管你是不是也是這樣的管理者,National Security的資安顧問總裁G. Mark Hardy建議,企業應當建立一頁至兩頁的高階政策宣言,其中包含公司任務及資安目標,來作為企業財產、資源、內容之使用限制的指導方針,這樣簡潔的綱要方針,更能迅速的使員工接受及執行這些資安政策。

迷思#4 安全為產品
多數管理者視安全為系統架構中的一個產品,像是你安裝它、設定它、然後管理它,就像某遠端管理裝置之類的,但是這裡要告訴各位,安全既不是裝置,也不是某個產品。

「安全可不是產品需求 」 Counterpane公司Schneier說道,產品像是讓你輸入A然後產生B的東西,但是安全是一個能讓運作保持無害且可靠的機制。 安全較適合比擬成『可靠』的子集,Verdasys軟體副總裁Dan Geer說:『安全是一個手段,並非一個目的,『可靠』才是一個目的。』 『可靠』的目的是確保資料或資源的機密性、完整性、可用性。若是資料是『可靠』的,它就是安全的,但是光靠安全等機制並不代表就一定可靠。

迷思#5 IDS已死
就如同傳統防毒軟體,特徵式(Signature-based)的IDS(入侵偵測系統),因為沒能為企業安全擔保而大受批評,這樣的批判以2003年,Gartner Group(註四 )的宣告﹕「IDS已死。」最為嚴厲,如果連Gartner都這樣說,當然,這應該是對的… IDS並沒有死,在最近的研究報告,Information Security 研究夥伴TheInfoPro(www.theinfopro.net)發現,80%的財星前1000大企業,現在開始部署各式入侵偵測系統,的確,仍有少數公司不當它是正式的威脅管理機制。 而許多廠商及企業已將其IDS轉型為一個具有關聯攻擊、網界前哨、及鑑識追查的整合系統。

防火牆廠商像是Checkpoint、Juniper、Cisco、Secure Computing 開始在其產品上加上IDS功能,專門針對一般常被攻擊的通訊協定(像是HTTP、FTP、 SMTP、 XML/SOAP) 來做偵測。這些設備能藉由檢驗通訊協定內容,並可對封包內容比對特徵資料庫,來阻擋特定IP位址、通訊埠、通訊協定,就像IDS一樣。「只不過這些防火牆跟傳統IDS不一樣的是,傳統IDS只發出告警,而這些firewall直接阻擋這些威脅,算是簡單的IPS而不是IDS。」 IDS也被證明對於受駭後的資料鑑識以及整理很有幫助,當IDS沒辦法有效與及時地避免威脅發生,IDS卻可以幫你藉由整理網路攻擊封包資訊,來追蹤可疑惡意行為的入侵軌跡,CyberTrust公司 Tippett說︰「鑑識已經成為IDS最大的價值了。」

迷思#6 資安人員要為安全負起責任
有句老話,「沒事就是安全」,所以很自然的,當有事發生時,大家就會去問資安人員,「到底發生什麼了?」

如果此時公司的安全是由散佈在各單位的管理人員負責,那這個資安人員應該會問︰「發生什麼? 應該由你來告訴我呀!」。最後,資安人員倒是沒辦法負起責任;而到處忙著告訴大家,資訊安全不是光他的事,是每一個管理者的責任。 「安全就像是分析裂縫一樣」蒙特婁銀行CISO , Robert Garigue 說道:「有責任去填補這些裂縫的人並不是資安人員,而是操作人員。網路人員操作防火牆或IDS;伺服器及辦公主機工作人員負責注意系統修補狀態,這些事情都不應該是資訊安全人員去做的,資訊安全人員該做的是去找出下一個資安威脅!」

Garigue 覺得,資訊安全責任應由各單元的管理者或擁有者負責,他覺得,資安人員和企業的關係,有點像是牙醫和病人的關係,病人有責任每天刷牙,保健牙齒,而牙醫師則是有責任對病人每年定時檢查,以及在蛀牙的時候,幫他修補好蛀孔。

組合國際Moritz也說︰「安全的重要性,超越企業架構和使用者」「今天當我們為職員及工作建制程序,明天,我們使程序自動化,並且使職員按照這些程序運作」。

「當一步步改變時,資安的做法也會顯著的改變」,資安人員也需要新的專業技術,這些方法取決於資料屬性分類、企業程序,以及管理目標。「資安人員就像管弦樂團裡的指揮,而不是坐冷板凳的人」。

ANDREW BRINEY, CISSP, Information Security 發行者。也是the TechTarget Security Media Group的副總裁