https://newera17031.activehosted.com/index.php?action=social&chash=17ed8abedc255908be746d245e50263a.2770&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=17ed8abedc255908be746d245e50263a.2770&nosocial=1

觀點

攻擊性防禦
良好的弱點管理 在於擁有重點式的程序政策

2005 / 03 / 01
Shon Harris 翻譯 / 許育榮
攻擊性防禦<br>良好的弱點管理 在於擁有重點式的程序政策

小心,一個有成效的弱點管理程序並不能關起門來做!首先你要決定,什麼是企業重要的資源?這些最重要的資產同時也擁有最多的弱點呢?如果答不出來,你就無法對資安弱點作有效的管理,這時你所能作的,也僅僅是當資安火苗出現時,去撲滅它罷了,也許稍微個不小心,可能還會波及到自己。

所以,在能信心滿滿地執行這項工作之前,像安全政策、資源配置和處理機制以及預期目標這幾樣必備的東西,也必須就定位才成。因為要是沒了這基本準則,你便無從去估算所需經費,也沒辦法得知執行效率如何?是不是有成效?甚至於還會暴露在威脅與危險之中,而這些都將會導致你被動地執行這項任務。
找出參與人員和劃清責任歸屬
在歷經網路攻擊的大混亂之中,去講誰理應在什麼時候去作什麼事,實在不是十分地恰當。要是人員的責任歸屬沒有適當的建立以求執行的話,有再好的弱點管理政策,條列再多的清單,制定再多的處理程序都是沒有用的。定義出執行者,指派責任歸屬並要求他們得確切地執行才可以,這些對於企業的資訊安全都是不可或缺的因素,當然這也需要來自於上層主管的支持。你可知道,要是沒了這些,那些昂貴的尖端資訊設備可就發揮不了什麼作用了呢!

身居第一線的IT部門員工,應該有義務來定義出什麼是公司的資訊資產,並對其作出弱點評估、沙盤推演測試,而且他們還得加入狀況處理小組。還有,針對企業熱門的服務作出責任上的指派,不過,這兒還得要依照企業組識的大小及複雜程度而定。

參與要角和其職責要以圖表的方式記錄下來,以便能看出每個階段中所參與的小組成員和部門。也得考慮到不斷逐步擴增的執行小組和實施程序等層面問題,以確保找對人來面對更重要更複雜的事件。

這些指派的任務可以靠著將其整合在工作範圍之內,並不時地檢視以達到強化資安的效果,然後再依資產的類型,像是分成電子商務類、重點資料庫、無關產能的伺服器群、會計財務系統以及桌上型PC等部份,描繪出每個資安小組的工作效能。

清單造冊
只有不到35%的公司會對其IT資產作精確的帳面計算。如果不知道你守護的是什麼東西的話,你便無法針對弱點評估項目以及補救措施給定優先順序了。

要作到這點,其實並不容易!通常重要的資料都遍佈在企業網路的各個角落,而要是沒有以文件來標示清楚的話,企業網路便會亂無章法的成長。

資安小組應該擬定一份詳細的財產清單,範疇要涵蓋企業所使用的作業系統、相關應用軟體、硬體設備和韌體等部份。這份清單還要包括目前這些設備所使用的版本,和已經安裝套用在這些資產上面的升級檔及修補程式。今天要是你發現在網頁伺服器Apache 1.3版上有個新漏洞存在的話,我想你應該會十分在意吧?所以只知道使用的是Apache還不夠,你還得清楚用的是什麼版本,安裝在那一部機器上面才行。而下列是一些擬定清冊的基本步驟:

●對於資產設備的證明、使用管理和程序文件化等部份作出權責劃分。
●決定建立的工具和方式:像是弱點掃描程式,使用財產清單管理系統,還是說明手冊等。
●清查所有資產設備中的組態設定檔、使用版本、安裝軟體和修補程式,請確定有將遠端資訊設備和可攜式裝置列入到清冊裡面。
●從取得到配置這些資訊設備開始,在每一次的更替週期中,要全面更新和維護資訊設備的相關資料。

評估資產價值
僅識別出各別資訊資產是不夠的,因為每樣資產的價值在立足點上不盡相同;也就是說,擁有客戶信用卡資料的資料庫,絕對是較只作例行性工作的伺服器重要的多。所以,附加在這些資訊設備上的價值,也就是等同於你要在弱點管理上作努力的優先順序。

將每件在企業中的資訊設備所扮演的角色,加以分析記錄並以文件化的方式儲存起來,並假設在遭受一連串地網路攻擊之後,這項設備對於企業產能、整體營運以及後續發展三方面會造成的影響來作評估。接著問問自已,在某項特有資產慘遭毒手後,對企業在營收、聲譽上以及客戶和商業夥伴之間的關係,會造成什麼樣子的衝擊?其實,重點就是你要知道哪個系統要優先受到保護。

這資料可以自公司的業務持續運作小組中取得,萬一沒有這個組織編制的話,那就請與企業管理階層協同相關單位來提供這項分析資料。你知道的,這項情報與企業災難復原和業務運作計畫是同等重要,並且這對於企業資安以及弱點管理上也是相當有助益的。

弱點管理矩陣
轉成矩陣化意即將資安政策所要達成的目標予以量化,藉此評估應對策略的成效有多少?並且對過往的歷史紀錄作分析比較,得出在資訊安全上的投資報酬率究竟為何?光是要找出這些因子,就足以讓你一次次地深入探索在弱點管理上的程序是什麼?缺失又是什麼?該如何去掌控這些程序?

不過,其實並沒有一套所謂的資安矩陣化的標準公式存在,也許你會問說,那這些要矩陣化的東西又從何而來呢?事實上,要端看你所訂定的資安目標為何來作出決定。也就是企業的資安目標決定了這些變動因子,再利用這些因素來建構出資安標準的底線和實作資安的程序步驟。(欲知資訊安全矩陣化更進一步的作法,請至以下網址觀看sp800-55.pdf這個檔案http://csrc.nist.gov/publications/nistpubs/800-55/sp800-55.pdf 由於缺乏一套將資安矩陣化的標準作法,部份企業便採行有弱點管理的軟體產品,像是McAfee所推出的Foundstone 1000 appliance,還有NetIQ開發出來的Vulnerability Manager。這二者和其他相關的產品,提供了已知弱點、弱點嚴重程度以及補救所需時間這幾方面的統計數據。不過,這也只是提供初期階段的量測情資而已。

最起碼下列的標準要先定出來,然後再納入到弱點管理的基礎建設裡:

●舉例來講,你可以依照每小時所損失的利潤,找出這些資產設備在停擺時,所能容忍的時間最大值為何?
用這個計算式:(資產價值)×(潛在危險發生率)×(停擺的頻率)=年度減損期望值,來找出每件資產的潛在金錢損失和折衷辦法。
●每個月發生的危安事件的數量(例如:病毒攻擊;透過網路成功滲透到內部;內部員工沒有經過授權的存取動作;被植入木馬程式等事件)
●從這些危安事件中,恢復正常運作的成本。
●以部門為單位,計算存活下來的系統數量。
●弱點修補週期需耗時超過30天的百分比,以及過去在2個月、3個月及半年內所發生的資安事件百分比。
●弱點管理的產品對公司存在有多少真正的價值?舉例說明,要是一個網路弱點掃描裝置要價$60,000,而它能為公司減少潛在損失的範圍是從$400,000到$200,000的話,那麼它實際的價值應該是$140,000。

定義出可接受的風險程度
每個企業組織都必需要釐清一個問題,企業內所有利益關係者,包括管理階層、出資的股東、董事們、還有客戶群等,他們願意冒多大的風險?這個問題對於建立企業內部的資安政策是一個關鍵點,除此之外,還有一個相當重要的關鍵就是,在企業運作機能上,資安工作的範圍,以及可運用在其上的資金這三方面,也要取得一個平衡狀態。所以,一項設備的資產價值,不僅僅是決定企業可以容忍機器受損的程度和停擺的時間,同時對其在投入心力的優先程度上,以及在設立補救措施的方針中,亦佔有相當的地位。

一般來講,風險等級這名詞聽起來是比較抽象,所以也需要將之量化。風險等級所量化出來的值就等同於資安的基準底線,而我們就是根據這些底線來量測風險程度。資安長(CISO,Certified Information Security Officer)通常會建好這些底線,然後企業的風險與弱點管理小組便有責任依此來作維護工作。

例如,就危安事件的復原成本的底線來說,每六個月要減少10%,那麼在此例之中,要矩陣化的部分就是每經過六個月之後,從危安事件中回復的平均成本應為多少?再舉例來講,你可以建立一套違反資安政策規定的罰則,並定下每三年內最多只能出現多少違規事件,而評估矩陣中所填的數字就是在三年內所發生的違規事件次數。

將威脅程度分級化
依據遭感染的程度和潛在的危險等級,訂立出一個分級制度,將弱點嚴重性、威脅程度以及受害程度三者分門別類出來。這項分級概念也應列出受害目標,還有在遭受這些類型的攻擊之後,對企業會產生什麼樣子的影響?

如果可以達到對新產生的弱點提出警訊的目的,這樣其實不失為是一種既簡單又有用的方式,並且這樣也能避免因為有所不同的弱點排名,而陷入排名的迷思當中。而也只有當我們把前面的分類工作都作好了以後,接下來,才能明白企業所冒的風險與資安弱點在威脅程度上的關聯性。

首先,對於新的弱點是否可以列入當前的弱點名單之中,要有個明確的尺度。例如像是在所有Windows的機器上,都已經裝上最新版的IE瀏覽器的話,那麼你就用不著擔心會有舊版IE的弱點遭到攻擊的情況發生了。

如果企業擁有難以防禦的核心系統,也請計算一下被攻陷後所帶來的影響,例如像是一定要面對網際網路的Web伺服器,因為它得不時地存取用戶資料庫,所以一定要馬上修復才行。還有諸如用戶資料遭竊、機器停擺時間過長與利益損害程度,像這些潛藏的商業性影響也是相當關鍵的要素。

再者,也請將這個弱點遭受攻擊的各種可能性列入考慮範圍之中。你想想,要是此項弱點是可以從遠端入侵或者只靠一點小技巧(例如,稚嫩的入侵者取得網路上現成的入侵工具。)就可以攻陷的話,這更是危險極了!反而是要取得存取權限才能入侵的資料庫弱點,比較難以遭到破壞,因此被入侵的可能性就小了點。

掌控弱點資訊的脈動
有關資安弱點和威脅的新消息大量在網路上流竄著,此種情形可以很輕易地壓跨企業網路、累壞資安人員。不單單只是每個月微軟遭揭發的漏洞而已,每週都有很多相關產品和作業系統的弱點被公佈出來。

弱點管理小組應該要知道會攻擊當下環境的弱點是哪些?其他的警告訊息其實就可以不用去理會了。

讓員工去蒐集,研究弱點並將這些有關弱點的消息發佈出去,這樣一來,他們便可以依據弱點清冊、資產價值和弱點層級等各方面,來決定這些弱點的威脅程度。 另外,對資安弱點提供服務的公司,就有META Security Group,CyberTrust’s IntelliShield Early Warning System,SecureNet Solutions以及Computer Associate’s eTrust Managed Vulnerability Service,Symantec’s Deep Insight和iDEFENSE’s iAlert這幾家,他們可以在面對最新式的資安威脅時,提供最即時,最具指標性的訊息。

勝利方程式
要達到有效的弱點管理是無法投機取巧的,你得在建立弱點清冊和文件化方面,投入許多時間和作出努力,當然也要找對人,做對事。這項基礎建設讓你能以有效的,具重複執行性的程序,對資安弱點做出管理。並且,執行這些程序不但可以將企業的資源做最大的利用,也會將所帶來的企業風險降到最低。要是沒有這項基礎建設,同樣做這件事就會顯得毫無效率可言,而且終將導致失敗。

這項新的弱點管理週期會以新的操作手法︰檢視新弱點和未做文件化管理的設備、解析出企業所要負的風險、在重點服務未受害前補上漏洞—然後運行的相當流暢。

再者,這也是強化資訊安全的一個大好良機。你會從過往的錯誤中學習成長,並且學會在每個循環週期中再次改善企業的資安體質,而不再倉促面對各種資安事件,急忙找出威脅所在並消弭它。

本文作者SHON HARRIS,擁有CISSP及MCSE證照,目前是Logical Security訓練機構的負責人,也寫過幾本有關資訊安全的著作,同時也經常投搞Information Security。 SHON HARRIS的e-mail:shonharris@logicalsecurity.com或寫信至︰iseditor@asmag.com