如何評估網路系統的安全弱點？

為什麼要裝防火牆？
為什麼必須評估安全弱點？其實它和開車為什麼要繫安全帶？為什麼要檢查機油和水箱是一樣的道理，這些安全動作是絕對必要的。雖然機油和水箱不需要天天檢查，但若沒有定期檢查的話，那麼損失自然是無法避免的。 網路系統時常遭遇到的安全問題除了電腦病毒的感染以外，無法避免的還有：
1. 作業系統及應用軟體在設計上免不了的漏洞
2. TCP/IP 通訊協定的缺陷
3. 網路服務的錯誤設定
4. 使用者的疏失 加上駭客工具愈來愈容易取得，當個駭客並不需要高超的技術，只要下載駭客工具加以利用便能換掉網頁、竊取天幣或刪除資料等。當駭客都知道有效率的擅用工具的同時，企業的防護的觀念當然不能停留在土法煉鋼的階段。

何謂安全弱點?
網路的安全弱點大致上分為「系統及程式本身的漏洞」及「管理疏失」，單就系統及程式本身的漏洞大致上可做以下分類：
*作業系統 Windows、Unix、Novell ...
*網路服務 DNS、Mail、FTP、Web、SSH、RPC、SNMP ...
*網路設備 Router、Switch、Printer、Firewall、IDS ...
*資料庫 MSSQL、MySQL、Oracle、DB2 ...
*遠端管理與後門 PCAnywhere、VNC、NetBus、BackOffice ...
*網站服務 Input validation error (ex: SQL Injection) ...

安全漏洞產生的威脅
網路上安全相關的機構會不定期公佈軟體程式的安全漏洞，如果相關人員沒有進行修補的動作，那麼這些公諸於世的安全漏洞就會成為駭客及複合式蠕蟲入侵感染的最佳管道。根據美國電腦緊急事件反應小組協調中心(CERT/CC)公佈的數字顯示，2002年發現的弱點數是2000年的4倍，而發生的資安事件也是4倍，顯示出99%的資安事件是利用已公佈的弱點來進行的。

安全相關機構所公佈的軟體安全漏洞數量自2000年以來成長快速，資安管理人員無法以土法煉鋼的舊方法來了解這麼多的安全漏洞，對企業網路內潛藏的安全危機更是難以知曉。面對如此大量的安全漏洞當然應該藉由漏洞掃描工具來進行安全檢測才有效率。工具雖非萬能，但沒有工具就只能鑽木取火了。

面臨重大的威脅
從2003元月出現對MS SQL伺服器攻擊的SQL Slammer 蠕蟲開始，3月份也出 {針對網路芳鄰攻擊的WORM_DELODER.A，甚至連CodeRed的變種CodeRed.F也來湊熱鬧。值得思考的是為何Code Red.F在台灣並無災情傳出？原來Code Red.F雖然是變種的新蠕蟲，但幾乎所有的IT人員在2001年就知道必須修補這個舊漏洞，所以並無災情傳出。這讓我們了解到原來安全事件是可以避免的，只要確實檢測與修補安全漏洞，大部分的損失都是可以避免的。

2003年3月份有Sun RPC、入侵偵測系統的Snort RPC、Sendmail、WebDAV等重大漏洞公佈，根據CodeRed及SQL Slammer的經驗指出，混合式的攻擊通常會在重大漏洞公佈後的幾個月後出現，而這些混合式威脅無法由防毒軟體或防火牆來預防，要避免這些混合式威脅造成損失只有進行安全稽核及漏洞修補才能夠避免。

弱點風險等級評估
在了解什麼是安全弱點以後，可以參照BS7799的安全管理規範，對弱點的風險進行分析與評分，推論出風險的等級。舉一般Web型態的阻斷服務弱點為例，(1) 阻斷服務對於資產的損失衝擊為中等的3(2) 攻擊者能造成服務停止但無法獲得權限與資料，威脅程度為中等(3) 而可以對此弱點進行攻擊者不需要具備任何系統的權限便可以利用簡單的命令進行攻擊，弱點的脆弱程度為高；依表推論所得到的風險評分為6，風險等級依照評分1-3為低、4-6為中、7-9為高，據此獲得風險等級為中度風險。

安全風險的管理
雖然我們無法完全避免資通的安全風險，如同汽車無法完全避免拋錨與擦撞，但可以儘力將風險降低，透過正確的管理方式將風險控制在可接受、可容忍的範圍內，風險的管理大致可從以下三個方面進行：
1. 降低威脅風險 例：採取防護措施、任用可信賴的員工
2. 降低弱點風險 例：修補漏洞
3. 降低資產損失風險 例：加密、備份 安全弱點與漏洞越少，造成財產損失的機率也就相對的減少，因此首先必須找出存在的安全弱點並加以修補，並且對有價值的資訊資產加密與備份，再加上適當的防護措施，將安全風險控制在可容忍的範圍。

弱點評估的定位
弱點評估屬於主動式安全防護工具，然而在資訊戰的部分則扮演著防禦與攻擊兩種角色。以弱點評估軟體對己方的設備與系統進行安全檢測，以了解本身的安全弱點並進行修補，可以預防安全事件發生，達到安全防禦的功效。在攻擊部分則扮演戰管雷達掃描的角色，找出對方的設備與系統的安全弱點以利攻擊與戰略部署。
弱點評估在資通安全中，可以對網路系統的安全性進行稽核與分析，並且檢驗安全機制的功效：
*彌補防毒軟體無法防範複合式蠕蟲的盲點
*防火牆規則是否正確? 阻絕是否發揮預期功能?
*入侵偵測系統是否發揮應有的功能?
*測試防火牆、入侵偵測系統的保護強度
*驗證安全防禦前後之差異及效果

弱點評估的功能
弱點評估軟體除了執行安全漏洞掃描以外，還必須具備以下功能才能夠算是安全稽核工具，否則頂多算是駭客工具而已：
1. 找出不明的系統 (有哪些設備?)
2. 找出潛藏的危機 (提供哪些服務?)
3. 集中式的找出安全漏洞
4. 評估安全風險
5. 以報表形式呈現評估結果
6. 提供修補建議，降低風險指數
7. 驗證修補成效
8. 檢驗安全產品的功效

弱點風險管理與執行
執行弱點的風險管理可以依照以下步驟進行，以降低弱點造成的風險：
弱點評估工具的佈署
弱點評估工具以軟體的形式在網路拓樸的佈署應用上有較大的靈活性，尤其安裝於筆記型電腦更是方便。應用方式分別為：
1. 外部稽核 佈署於Internet對聯外主機進行檢測
2. 網段稽核 分別佈署於Router與防火牆之間以及DMZ區對內部網路進行檢測
3. 內部稽核 佈署於Intranet對內部主機及設備進行檢測

購買安全工具的首要考量
採購與建置安全設備的重點必需要試著在不超過預算的前提下去尋找最適當、有效的產品。至於哪一個產品才合乎需求？試用當然是最好的方式，如果供應商能夠拿出一些展示及評比的參考資料，卻連試用都不肯，那售後服務大概也不會太理想，萬一買到的是不合用、不實用的產品，就只能放在架子上欣賞了。
根據InfoWorld在2002年的調查，有半數以上使用者在購買資安產品時認為「安裝容易」及「使用方便」是重要的。畢竟只有在「容易使用」的情形下，才能夠充分發揮產品的效能。

弱點評估工具的選擇要項 選擇弱點評估工具除了最常被比較的漏洞掃描能力(漏洞掃描只是最基本的能力)必需注意以外，還有幾點是不可以忽略的：
1. 弱點資料庫的更新 弱點資料庫更新是否頻繁，關係到是否能夠檢測到新漏洞的能力。
2. 弱點的敘述及修補建議 敘述及修補建議必需淺顯易懂，相關人員才能夠進行漏洞修補。
3. 弱點的風險等級符合ISO17799安全管理規範 風險評分必需符合ISO17799規範，避免因為不符合規範而必須另外購買。
4. 掃描效率以及對目標網路系統的影響 是否提供不同頻寬及環境自訂掃描效率的能力，避免對網路造成不良影響。
5. 弱點的自訂能力 是否提供自訂弱點的能力。
6. 掃描政策及模擬攻擊方法自定的靈活性 掃描政策必需遵照安全政策，因此掃描政策的自訂關係到安全政策能否執行。
7. 使用者介面及程序的易用性 產品的易用性與車子好不好開是相同的道理，好用才能發揮效能。
8. 分析報告的形式 報告的形式是否簡潔明瞭，是否 釦U於弱點的了解與修補的執行。
9. 合用、實用 賓士與法拉利兩款車不應該陷於哪款車好的迷思，合用、實用才重要。

弱點評估工具未來的發展
弱點評估工具在資安設備並不是什麼新產品，但由於研發及維護弱點評估工具必需具備相當多項的觀念與技術，因此一直以來它的價格居高不下，好像高不可攀的補品般，有人可能聽都沒聽過，甚至不是很明瞭它的用途。 資安工具應該要能夠降低企業在資通的安全管理成本，而不是提高企業的營運成本，因此弱點評估工具勢必將提供更多的功能與應用、更多樣的選擇，才能符合企業成本與市場需求。

(本文作者現職為中華龍網董事長兼總經理)