讓ISP負起安全責任
除了管理流量的人,還有誰最適合處理安全威脅與事件?讀者希望ISP能管好自己主幹與網路的安全性,並防禦Internet攻擊(如蠕蟲、垃圾郵件、軟體機器人,以及通訊埠掃瞄等),讓企業免操這份心。
許多ISP都只是等病毒、蠕蟲以及惡意資料流發威時,才開始進行過濾。有些則是開始對他們線路上的電子郵件等通訊,進行防毒掃瞄,以減輕客戶的負擔。但到目前為止,這些都不是必要的責任。
一些讀者希望政府能夠規範ISP負起安全的責任。他們還希望境外的ISP訊息只能透過特定的端點進入美國本土,以便讓政府監視流量,確定訊息的安全性,並控制未經管制的流量。
規範ISP在安全問題上做的更好,其利益是顯而易見的:對流量進行更大的控管,可疑的流量在侵入企業與個人電腦前就會被攔截下來,並減少了被竊取的頻寬與資源。正如同一位讀者所描述的,「若要在個人電腦層級去解決這些問題是徒勞無功的,因為使用者不可能有效地更新他們電腦的病毒碼和修補程式。」
虛擬DNA儘管現在有數位簽章、PKI,以及複雜的驗證機制,但安全專家還是認為,目前還沒有一個普遍的技術,能確保連線的另一端不是一名駭客。
電子商務與B2B交易的基礎,都是要讓機器的使用人,有個無法辯駁的認證。憑證中心(certificate authorities)成本昂貴,難以大量部署並缺乏認同的標準。此外,由於成本與低普及率的關係,生物技術的數位簽章也不可行。因此企業必須仰賴傳統的驗證機制(密碼、信號以及憑證),這些東西未必都是不好,但也不是堅不可破。
使用者希望的是開發一種機制,讓使用者與機器的組成,變成一個獨一無二的驗證與簽章機制,以便讓線上詐欺與竊盜事件大大地減低。
消除電子郵件匿名性垃圾郵件發信人最愛的,就是建立電子郵件地址實在是太容易,且匿名性太高了。他們可以建出成千上萬的Hotmail、Yahoo或私人網域帳號,以藉其廣發垃圾郵件。若是有帳號被停用或被封鎖濫發郵件法(CAN-SPAM)追蹤到,他們只要換下一個帳號就行了。
使用者希望ISP與電子郵件商在啟用郵件帳號前,能夠先驗證電子郵件地址——也就是在帳號啟用前,先將使用者識別與其位址作配對。
這麼做的最終目的,是要建立合法電子郵件位址的集中式資料庫,就像Microsoft的SenderID技術一樣,以便有助於反垃圾郵件/反詐欺的工作。
跨平台的監管工具用來掃瞄、稽核,以及評估網路設備運作狀況的工具從來就不虞匱乏。而現在所缺的是一個可以檢查任何作業系統,以及任何製造商出產的所有設備,用來監管安全政策的超級工具。
這類的工具可以檢查安全政策所需的參數設定,以風險等級(綠、黃、紅)標示不合規定的設備,並發出報表給安全管理員。現存的工具如FireMon等便宣稱具有這種層級的功能,但使用者認為目前還是沒有通用的掃瞄與稽核工具。
待這類工具上市之後,使用者便會希望能有個通用的程序,來進行風險評估與企業影響分析。
信任的電子郵件包裝 加密一直都是防毒技術的罩門。傳統的掃瞄器無法穿過加密的防護罩,來檢查裡面的東西是否有害。
讀者希望的不只是主機及網路的對外即時防毒掃瞄;他們還想知道來自信任網域的電子郵件,並有個機制來傳遞這種信任。有位讀者就將其稱為「信任包裝」(trust wrapper)。
其工作原理如下:一位使用者寫完了一封含夾檔的電子郵件。系統會自動掃瞄這封信是否含有惡意軟體,然後用使用者的金鑰進行簽證,之後再進行壓縮及加密。整個成品會放在利用公司金鑰簽證過的信任包裝中。這個包裝會告訴收件人發送郵件的公司已對電子郵件的來源進行過驗證,且郵件中的夾檔也可以安全地開啟。
當然,這類系統的前提是企業之間必須建立信任的關係。另外,它還可能減少閘道器防毒的掃瞄,以及欺騙(spoofing)與網頁模仿(phishing)等攻擊所造成的損害。
軟體安裝管理員軟體管理與安裝控制通常都是全有或全無(all-or-nothing)的命題。你可以鎖定設備及個人電腦,讓使用者無法安裝未經認證的應用程式;你也可以利用Active Directory、SMS等工具,在企業中以群組為單位地安裝應用程式。而現在所缺的,則是一個能夠只針對特定設備發送新的軟體或更新的工具。
有位讀者對這項願望提出了一個情境:「有個使用者請求支援中心在他的機器上安裝一個新的程式。在網域中沒有任何使用者具有管理者權限安裝程式。那麼這個管理工具是否能夠整合Win2003 AD,並讓某位使用者能夠安裝某種軟體呢?」 這項工具事實上是存在的,例如Microsoft的SMS等高階的軟體管理解決方案都可做的到。但使用者希望的是一個便宜的,可以與AD整合,並針對特定或某個群組的設備,發送軟體、更新,以及修正的應用程式。
即時安全認知工具 是否常發送緊急信件警告使用者不要開啟陌生的夾檔,或是一些倒楣的使用者仍會將它開啟?
我們可以架設所有想要的防火牆,撰寫一個接一個的政策,並施行控制及規範,但終究而言,我們的安全,全都是那些不了解其行為與影響的新手所給予的恩賜。 安全專家希望有個智慧的引擎,能夠辨識具風險性或禁止的動作,並跳出一個對話方塊要使用者確認是否真要這麼做,或是直接禁止整個行為。為了進一步控制,系統還可以傳送一個訊息給安全管理者,向他們要求權限或政策例外,例如透過電子郵件傳送.vbs夾檔的權限。
使用者希望系統能根據政策違反及警告來產生報表。這真是神來一筆的構想,因為這樣可以幫助管理者找出安全認知訓練的主題,並抓出常招致安全性問題的使用者。
在這方面我們已經有了一些應用程式作為其基礎了,像開啟附檔時會跳出電子郵件警告視窗。Verdasys的Digital Guardian或其他DRM廠商的工具,也能夠在數位媒體遭到誤用時發出警告並記錄下來。使用者想要的是一個更為廣泛的系統,能對應企業的政策與安全規則,套用這些規則,並且在電子郵件夾檔開啟防火牆連接埠時給予警告。
可信賴的安全統計與度量統計與度量(metric)將成為2005年後的流行用語。安全管理員想要(也需要)量化風險以及衡量效度,以便強化其安全程式,並證明這些程式如同設計般的可靠。
但你又要如何衡量安全性與風險,要如何比較你的安全性,以及風險降低的程度,要優於其他公司?要如何證明符合監管規範?讀者表示他們需要各種不同的度量、全面適用的基準(baseline)以及準則。以下列舉一些他們的願望:
根據安全意外所作的正確基準統計
企業與治安單位都太私藏這種資訊了。安全管理員想要不同規模企業與機構的災害數據,攻擊者的功力(指令碼小子 vs. 經驗老道的駭客),以及損害與復原的成本等。
風險分析與預測模型
使用者想要一個有效的方法,轉換來自內部與外部來源的安全情報,以預測未來的威脅。這可以幫助企業對攻擊的預防與回應,並開發出新的對應策略。
證明安全政策奏效你可以部署所有的技術與政策;你需要能夠對高層及使用者展示的度量,就像因安全而發出的事前警告與限制一樣,都是必須且有幫助的。
識別管理追蹤
企業在內部資料庫中,存有大量的使用者資料,以及他們的設定檔與角色。而他們所需的則是一項能夠跨越不同的識別(identity)機制與目錄,將其資訊正規化,並追蹤資訊如何隨時間而變化的工具。
讀者希望能夠有個工具,可以自動地在識別建立時檢視這項資訊,並能夠與目前的設定檔版本做比較,以便了解各個時間的變化。變更管理不只包括了變更了什麼,還包括了誰、何時,以及為什麼變更的稽核記錄。讀者認為在為識別管理的成本進行辯護,以及確保監管是否合格時,這點便十分重要。
藉由設定使用者設定檔該是什麼樣子的標準?以及設定檔如何隨時間而變化的機制?企業可以從容地確保其識別管理的完整性。只要將這個概念綁在憑證機制上,便可擁有單一簽入、驗證的電子郵件,以及其他各種有用的功能。
真正的一次購足 現在仍是個「最佳解決方案」(best-of-breed)的世界,但是安全管理員希望有一天,他們可以只找一家廠商取得大部分所需的產品。
安全產品市場每年都會一輪的整併,大型IT與安全產品廠商會合併較小的廠商,以便填補其產品線的空缺。儘管如Symantec、McAfee、Cisco Systems等廠商的產品線都在快速地擴張,但大多數企業還是必須找許多的IT與安全產品廠商,才能取得他們所需的安全技術與產品。
夢想的確實現令人驚訝的是,我們得知有許多的產品都已存在於市面,而有些解決方案則是已經在開發中了。
這些願望有哪些可能成真?這得視需求而定。安全精靈總是成天夢想著新的方法與技術。他們可能會為現存的技術找到新的應用,例如將安全資訊管理解決方案當作鑑識工具,或可能將新技術與現存的產品結合,例如在傳統的防火牆/VPN設備上加掛SSL VPN。夢想家思考著下一步的改革想法,也決定了創新的方向,如同Whit Diffie以及Martin Hellman創造了公開金錀交換法一樣。
真正影響變革及創新,是顧客(也就是企業的安全管理員)將他們的需求傳遞給廠商知道,或創立做為新技術搖籃的新公司。對於這些願望的達成,我們將拭目以待,並且注意有哪些需求會成為新的願望。
夢想的確實現 LAWRENCE M. WALSH 是資安人雜誌的編輯,也是Information Security Decisions協會的副理事長。