向上提升或繼續沉淪

Patrick Heim，Mckesson公司企業安全部門副總經理不斷地盯著時鐘看，但是他看的不是舊金山辦公室裡的時鐘，而是倒數著能夠整垮網際網路的完美破壞程式的出現時間，他稱之為「末日病毒鐘」。
Mckesson是一家營業額達到五百億美金的保健產品及服務公司。「我們離那一天不遠了」，Heim說，「我們已經看過能夠跨越多種平台的變種程式，也看到了能夠造成氾濫的程式。如果有人融合了這兩種程式的最壞之處，寫出一個新的程式，那我們的麻煩就大了。」
Heim對於這個末日病毒的威脅能夠採取的因應措施，就是盡他的所能，包括增加風險評估活動、嚴格化系統組態以及存取權限；在閘道器、伺服器以及工作站上使用不同種的AV，以及評估一個新的網路型入侵預防系統(IPS)。
「我們甚至有一筆就叫做『反破壞程式』的預算」他說道，「我們不知道它會是什麼樣子，但是現在我們必須對這種自動化的威脅作準備。」
Heim所面臨的問題在所有的企業安全計劃中獲得了共鳴。要如何去為一個不知道是什麼樣子，也不知道什麼時候會出現的末日病毒作準備呢？如何在針對單一重點方向及面對零星但易量化的威脅之間取捨，以取得平衡點？要如何將企業政策及程序改造，以符合新的規範及不斷變更的技術？而縱使能符合上述要求，那要如何在不破產的前提之下達成這些目標？
Information Security雜誌的「2004資安重點調查」結果顯示，領先企業紛紛採用多重策略、技術及作業層級來對付這些問題。透過獨立研究部門TheInfoPro(TIP)於2、3月間所進行的這個調查，以及與175間美國為主的財星一千大公司的一小時專訪，提供誠如McKesson、Motorola、Reed Elsecier/ LexisNexis、Panasonic及ABN AMRO等公司的罕見幕後資訊安全作業及採購計畫。
好消息是，根據這個調查，絕大部分的財星一千大公司的資訊安全預算都在成長或維持穩定的狀態，只有20%的受訪公司表示將會在未來12個月內減少支出。實際上，商品及零售商與保健公司於2004年強力地投資在資訊安全上面。然而壞消息是，資訊安全預算及其管理能量的分布更形稀釋。
面對著持續不斷且火力密集的網路攻擊，更加複雜與無邊界的網路以及增加的管控壓力，財星一千大公司正展開一系列的資訊風險管理組合。當較小公司仍將其預算全部用在網安技術上面(預算的74%)時，財星一千大公司平均地將預算分配在網安、基礎設施及安全管理上面(參考「資訊安全預算分布」。)
在網路安全上面，傳統的網路層及傳輸層的安全設備已經升級成進階的資訊流量檢測技術，如IPS及網路應用層防火牆等。有四分之一的受訪公司正在評估利用SSL VPN來作軟體的個別存取控制。猶如防毒軟體建在gateway端一般，郵件過濾軟體增加垃圾郵件管理的機制，將促成反垃圾郵件軟體上的投資快速減少。
在基礎設施方面，企業把焦點放在能夠於複雜的異質環境中，能找到新的身分認證、存取控制方式，以節省帳號管理的成本。用戶們同時準備，從自行發展的軟體轉到套裝軟體。在2005年，許多資訊安全公司將評估(或是重新評估)單次登入(Single Sign-on)的機制。在主機IDS及IPS上的投資也將成長，既使其成長幅度將小於網路IDS與IPS。在新的無線區域網路安全上面的花費也將成長，縱使對無線網路仍有高度抗拒。
資訊安全管理的重點是擺在弱點管理及作業上面，包括評量及組態管理。修正程式(Patch)管理也將是首選之一，有16%的受訪公司表示將在未來6個月內增加這方面的花費。當綜合性安控儀表板的投資不斷增加，許多公司仍依賴自製工具及手冊與標準程序來做風險管理。


網路安全煩惱不再？
LexisNexis公司資訊安全部門資深主管Leo Cronin花了兩年時間建構一個決策支援工具，以幫助他建立「惡意威脅」（bad-incomes）模型，使它可以在提供目標的弱點及修正花費後，將威脅的影響量化。雖然這是一個尚在發展中的技術，所做的評估並不精確，且Cronin的努力使得LexisNexis及其母公司(傳媒集團Reed Elsevier)能夠發展一套高危險威脅的評量表。
他表示，「電腦病毒對一個公司擁有最高的潛在財務及其他方面損失，主要是因為它的頻率及高度的惡意。」
正如這次資安重點調查的許多大公司，LexisNexis正在投資主動式的週邊技術以取代被動式的掃描設備，如防火牆、特徵比對型IDS（signature-based IDSes）以及防毒閘道器。即使LexisNexis在週邊上做層級控制(如使用逆向代理伺服器來隔絕其web farm)，Cronin仍然擔心應用層的攻擊，這是他管控黑名單之外的第二重點。
「問題是人們仍可以透過port80進入應用程式」他說到，「他們可以透過HTTP做許多事情，而我們有許多關鍵的線上資產。像是更改首頁、竄改資料及DoS攻擊都可能造成財務上及公司名譽上的損失，以及股票下跌的壓力。」
Cronin最近佈署了一個in-line IPS並且評估配置一個專屬的網路應用防火牆。「我們要確保這些下SQL句以及竄改網頁的攻擊或人能夠被拒絕在外」，他說到。
本次重點調查顯示，越來越多的公司正在投入網路型IPS，在TheInfoPro的Head Index中排名第四。
McKesson's Heim也表示，他在評量以IPS作為被動式監測的另一項替代方案。
「我們還沒能從傳統IDS中得到益處，」他表示，「它們並不是真的入侵辨識系統，它們只是攻擊偵測系統。」Heim也為IDS管理的高度花費感到可惜。
「另一方面，IPS即使耗費較高的人力資源，可提供比較正面的效益。在可靠且成熟產品的前提下，調整好的IPS將不會需要太多的看顧。」
「即使有那麼多優點，IPS仍舊是一個發展中的技術，當他失效時將會是全面性的失敗。」ABN AMRO公司的弱點管理副總經理Kevin Mock表示。
Mock說，「入侵阻絕是一個很好想法，但我並不百分之百地贊成。當你說你要關掉流量時，你最好確定你並不會因此在你的網路上造成問題。」

模糊的界線
以分層控制和應用為焦點的安全議題低估了某些事實，那就是在大多數公司內，那些網安設備和網路基礎設施之間的界線幾乎已經消失；在無線網路中更是明顯。
不合法的無線基地台仍然是很多資訊安全經理最頭痛的問題。這些低劣的無線基地台，使整個網路曝露在被駭客，以攻擊導向技術攻擊的風險中，核心伺服器和應用程式可能因此遭受攻擊。大多數組織會配合無線安全政策、處理程序、安全技術等多種處理方式來解決無線安全問題。
「我們認為我們控制那些未被授權的無線網路是正確的」，Mock說，「我們有政策抵制沒有透過適當控制而使用無線網路的使用者，但是我們知道仍然有不正確使用它的人。」在政策上，荷蘭銀行的網路小組定期掃蕩不合法的無線基地台及無線網路刺探者。
很多財星雜誌所評選的一千大企業都希望能做得更多。據調查，在未來12個月，有四分之一的公司計畫投資無線區網安全工具，例如在網路週邊的無線網路連線控管以驗證用戶。差不多五分之一的公司將投資於無線設備的安全，例如硬體上的加密和內容掃描。
「在過去的18個月裡，我們花了許多時間來檢視這個問題，並且提出一個政策及一套最佳導入無線網路的方法，」LexisNexis的Cronin說，「它迫使我們必須和能夠提供清楚的策略和說明的供應商合作，以取得最好的天線設備(一種能和網路交換器交談以決定無線網路節點登入變數的設備)」。
「好的交換器和天線是做好無線安全的最好方法」，Cronin補充說，「現在外面所使用的那些舊有的天線技術，其加密技術完全不可靠，是絕對不可以採用的。」
此外，投資於無線網路安全的另一項原因是，它不像其它安全性的應用，無線網路安全有相當清楚明白的商業利潤，並且有清楚可見的風險。
「我們成功地使管理階層確信無線網路安全對公司的重要性，」Cronin說，「如果我們將要使用更多的無線裝置，我們需要認真考慮安全問題，並且像我們考慮網際網路一樣對待這個議題。在網際網路上，我們相當注重週邊網路的安全，我們需要使用相同水準來投資在無線網路安全上。」

廣泛的影響
根據調查顯示，財星雜誌一千大企業中，有超過40%的公司願意在今後兩年內投資新的身分管理解決辦法。當大多數的投資都集中於用戶認證管理和授權方面(用戶權限保護和解除、自動重新設定密碼、單一簽入等等)時，某些公司正在測試聯合身分管理系統，這擴張了公司的核心用戶基礎以外的權利。在Heat Index的一份調查中顯示，前39項安全技術中，身分管理、使用者分權和單一簽入技術分別位居第一、二和第三名。
Bill Boni，電子巨人摩托羅拉公司的CISO，認為身分管理不光是一個安全解決方案，更可以作為公司全面管理架構的一部分。由於今年在安全方面的預算不多， Boni打算將預算使用在刀口上，選擇會對公司營運有最顯著且廣泛影響的產品。
「我並不打算把焦點集中於個別的應用或生產線上，而會集中於能夠涵括全面的解決辦法」，他說，「我們把企業入口管理看得更廣，它應該是一個附屬於我們主要的應用系統之下、完整的子系統，而它能增進整體的效率及效能。」
Boni計畫為員工規劃EAM的解決方案，接著將這個系統轉移到供應商及合作公司。「這整個主要概念是，如果你能有效地對雇員作進入控制，你就能將整個學習曲線抽離內部模型。然後評價它將怎麼對外部組織的進入和合作去做調節。」
儘管其架構的複雜性和TCO相當高，身分管理的解決方案仍相當熱門，主要是因為它們有明確的商業需求。
「身分確認管理真正需要的是降低其複雜性，」McKesson的Heim說，「最終用戶在乎的不是管理的過程和效率，而是如何減少需要處理的密碼。」

安全的模式
提到安全測量標準、投資報酬率和風險模式化、資訊風險管理，大部分的公司都認為是相互矛盾的。「安全仍然是一種魔法（black art），而不是科學，」Heim說，「我們不知道該把錢花在那裡。」
問卷調查的結果顯示，許多財星一千大公司，試著透過必要的技術和程序，來決定所需要的安全措施與花費，部分對於弱點管理這個領域有興趣的投資都已形成，特別是自動化修補管理、組態管理和所謂的安控儀表板（security dashboard）。
規劃企業的安控儀表板採購計畫非常困難，因為對於這個字義很少有共識。但不論他們是否稱它為儀表板，大部分的財星一千大公司都接受決策支援軟體能提供統整多重安全資料點和工作流的觀點。
儀表板能指引操作性的安全活動，比那些提供執行報告更符合需求，根據這份調查，其中一個理由是：某些安全管理者因為擔心弄巧成拙，因此不願意告訴高階主管威脅程度的細節。
ABN AMRO使用商業化的儀表板，來審視弱點矯正工程。該公司認為，在他們區域管理下，能提醒管理者注意會影響系統的弱點的優先次序。但是，為了確保警告的正確性，管理者必須要持續提供系統狀況，來更新儀表板。
「假使他們已經用圖表適當地表示他們的系統，則只有對他們有影響的弱點才會發出警告，」Mock說。「那會讓每個人的工作變得更簡單」。
Mock對於將儀表板和其他威脅分離，包含病毒和實體的安全議題也有興趣。但現在，某些他認為是儀表板的作用，從手動的流程衍生出來，包含舊式的費力工作和活動頻繁而增加的成本。
「對我來說，儀表板不一定是網頁」，他說。「可以是一份文字文件，使企業網路的核心團隊能夠了解網路的健康情況」。「我們安全嗎？我們的問題在那裡？我們能多快修補？如果我們不能很快地修補，為什麼會如此？我們必須要就商業的論點來說，我們已經花了這麼多錢，但我們把工作做好了嗎?我們的防護奏效並且有效率嗎？」
McKesson's Heim，安全測量標準的提倡者，認為安全儀表板不會發揮他們的潛力，除非其他更多的業務單位，同時納入他們所規劃的程序。
「真的很難促使業務單位涉入，」他說，「目標是平衡所有的網路和系統工具來理解這個系統，然後把實體跟虛擬的資源整合進入商業的程序，之後你可以要求業主合格展現商業的一切程序。如此，你基本上可以反排列那些被曝露出來、真正構成那些程序的部分。」
「現在，這並不可行，」他說，「它必須自動地透過工作流程軟體。你必須要有某些東西，能夠促使業主每個月、兩個月、半年來更新資訊(不論危險程度如何)。其中一項隱而未現的關鍵因素是：釐清並確認評估的價值所在。」
儘管趨於成熟，統整性的安全儀表板也許要短短幾年，許多公司一頭栽進其他的自動化安全管理工具，包括修補和組態管理。
接近70%的受訪公司正在使用漏洞管理解決方案。而在微軟平台，可選擇的工具是系統管理伺服器Systems Management Server (SMS)，對於擁有微軟企業合約的公司是免費的。但SMS和其他自動修補工具並不是即插即用的 。如同安全儀表板，自動修補必須要是管理流程的一部分。「自動修補適合低層次的弱點，並且適合較低優先權的系統。」Mock說。
對於高效率的應用，ABN AMRO曾經花了一個星期開會，來討論關於修補、狀態、什麼需要清除以及何時清除等問題。Mock說，「他們測試修補程式來確定沒有破壞應用。然後，他們將會釋出測試過的版本（delta），並且讓每個人都可到中心去取得。」
Panasonic資訊服務部門的企業安全管理資深經理Mike Cervine指出，對於修補程式管理基本上的挑戰是作業系統的驗證和標準化，以及應用的圖像，對於大型、分散的組織特別是如此。
Cervine和他的團隊負責防護全美國超過一萬個雇員的公司。如同其他受訪的安全管理者一樣，他最關心的是令人討厭的蠕蟲發作，影響分散在企業裡的許多部份。
Cervine在2004年的第一要務，是實行企業組態管理系統（enterprise configuration management system）來將伺服器的圖像標準化，他說，「你必須要知道你擁有什麼、你需要達成什麼，以及如何正確的達成。」
本文感謝江志昊、李思慶、陳萍三位共同參與翻譯工作。