攻擊性防禦
良好的弱點管理 在於擁有重點式的程序政策

小心，一個有成效的弱點管理程序並不能關起門來做！首先你要決定，什麼是企業重要的資源？這些最重要的資產同時也擁有最多的弱點呢？如果答不出來，你就無法對資安弱點作有效的管理，這時你所能作的，也僅僅是當資安火苗出現時，去撲滅它罷了，也許稍微個不小心，可能還會波及到自己。

所以，在能信心滿滿地執行這項工作之前，像安全政策、資源配置和處理機制以及預期目標這幾樣必備的東西，也必須就定位才成。因為要是沒了這基本準則，你便無從去估算所需經費，也沒辦法得知執行效率如何？是不是有成效？甚至於還會暴露在威脅與危險之中，而這些都將會導致你被動地執行這項任務。
找出參與人員和劃清責任歸屬
在歷經網路攻擊的大混亂之中，去講誰理應在什麼時候去作什麼事，實在不是十分地恰當。要是人員的責任歸屬沒有適當的建立以求執行的話，有再好的弱點管理政策，條列再多的清單，制定再多的處理程序都是沒有用的。定義出執行者，指派責任歸屬並要求他們得確切地執行才可以，這些對於企業的資訊安全都是不可或缺的因素，當然這也需要來自於上層主管的支持。你可知道，要是沒了這些，那些昂貴的尖端資訊設備可就發揮不了什麼作用了呢！

身居第一線的IT部門員工，應該有義務來定義出什麼是公司的資訊資產，並對其作出弱點評估、沙盤推演測試，而且他們還得加入狀況處理小組。還有，針對企業熱門的服務作出責任上的指派，不過，這兒還得要依照企業組識的大小及複雜程度而定。

參與要角和其職責要以圖表的方式記錄下來，以便能看出每個階段中所參與的小組成員和部門。也得考慮到不斷逐步擴增的執行小組和實施程序等層面問題，以確保找對人來面對更重要更複雜的事件。

這些指派的任務可以靠著將其整合在工作範圍之內，並不時地檢視以達到強化資安的效果，然後再依資產的類型，像是分成電子商務類、重點資料庫、無關產能的伺服器群、會計財務系統以及桌上型PC等部份，描繪出每個資安小組的工作效能。

清單造冊
只有不到35%的公司會對其IT資產作精確的帳面計算。如果不知道你守護的是什麼東西的話，你便無法針對弱點評估項目以及補救措施給定優先順序了。

要作到這點，其實並不容易！通常重要的資料都遍佈在企業網路的各個角落，而要是沒有以文件來標示清楚的話，企業網路便會亂無章法的成長。

資安小組應該擬定一份詳細的財產清單，範疇要涵蓋企業所使用的作業系統、相關應用軟體、硬體設備和韌體等部份。這份清單還要包括目前這些設備所使用的版本，和已經安裝套用在這些資產上面的升級檔及修補程式。今天要是你發現在網頁伺服器Apache 1.3版上有個新漏洞存在的話，我想你應該會十分在意吧？所以只知道使用的是Apache還不夠，你還得清楚用的是什麼版本，安裝在那一部機器上面才行。而下列是一些擬定清冊的基本步驟：

●對於資產設備的證明、使用管理和程序文件化等部份作出權責劃分。
●決定建立的工具和方式：像是弱點掃描程式，使用財產清單管理系統，還是說明手冊等。
●清查所有資產設備中的組態設定檔、使用版本、安裝軟體和修補程式，請確定有將遠端資訊設備和可攜式裝置列入到清冊裡面。
●從取得到配置這些資訊設備開始，在每一次的更替週期中，要全面更新和維護資訊設備的相關資料。

評估資產價值
僅識別出各別資訊資產是不夠的，因為每樣資產的價值在立足點上不盡相同；也就是說，擁有客戶信用卡資料的資料庫，絕對是較只作例行性工作的伺服器重要的多。所以，附加在這些資訊設備上的價值，也就是等同於你要在弱點管理上作努力的優先順序。

將每件在企業中的資訊設備所扮演的角色，加以分析記錄並以文件化的方式儲存起來，並假設在遭受一連串地網路攻擊之後，這項設備對於企業產能、整體營運以及後續發展三方面會造成的影響來作評估。接著問問自已，在某項特有資產慘遭毒手後，對企業在營收、聲譽上以及客戶和商業夥伴之間的關係，會造成什麼樣子的衝擊？其實，重點就是你要知道哪個系統要優先受到保護。

這資料可以自公司的業務持續運作小組中取得，萬一沒有這個組織編制的話，那就請與企業管理階層協同相關單位來提供這項分析資料。你知道的，這項情報與企業災難復原和業務運作計畫是同等重要，並且這對於企業資安以及弱點管理上也是相當有助益的。

弱點管理矩陣
轉成矩陣化意即將資安政策所要達成的目標予以量化，藉此評估應對策略的成效有多少？並且對過往的歷史紀錄作分析比較，得出在資訊安全上的投資報酬率究竟為何？光是要找出這些因子，就足以讓你一次次地深入探索在弱點管理上的程序是什麼？缺失又是什麼？該如何去掌控這些程序？

不過，其實並沒有一套所謂的資安矩陣化的標準公式存在，也許你會問說，那這些要矩陣化的東西又從何而來呢？事實上，要端看你所訂定的資安目標為何來作出決定。也就是企業的資安目標決定了這些變動因子，再利用這些因素來建構出資安標準的底線和實作資安的程序步驟。(欲知資訊安全矩陣化更進一步的作法，請至以下網址觀看sp800-55.pdf這個檔案http://csrc.nist.gov/publications/nistpubs/800-55/sp800-55.pdf 由於缺乏一套將資安矩陣化的標準作法，部份企業便採行有弱點管理的軟體產品，像是McAfee所推出的Foundstone 1000 appliance，還有NetIQ開發出來的Vulnerability Manager。這二者和其他相關的產品，提供了已知弱點、弱點嚴重程度以及補救所需時間這幾方面的統計數據。不過，這也只是提供初期階段的量測情資而已。

最起碼下列的標準要先定出來，然後再納入到弱點管理的基礎建設裡：

●舉例來講，你可以依照每小時所損失的利潤，找出這些資產設備在停擺時，所能容忍的時間最大值為何？
用這個計算式：(資產價值)×(潛在危險發生率)×(停擺的頻率)=年度減損期望值，來找出每件資產的潛在金錢損失和折衷辦法。
●每個月發生的危安事件的數量(例如：病毒攻擊；透過網路成功滲透到內部；內部員工沒有經過授權的存取動作；被植入木馬程式等事件)
●從這些危安事件中，恢復正常運作的成本。
●以部門為單位，計算存活下來的系統數量。
●弱點修補週期需耗時超過30天的百分比，以及過去在2個月、3個月及半年內所發生的資安事件百分比。
●弱點管理的產品對公司存在有多少真正的價值？舉例說明，要是一個網路弱點掃描裝置要價$60,000，而它能為公司減少潛在損失的範圍是從$400,000到$200,000的話，那麼它實際的價值應該是$140,000。

定義出可接受的風險程度
每個企業組織都必需要釐清一個問題，企業內所有利益關係者，包括管理階層、出資的股東、董事們、還有客戶群等，他們願意冒多大的風險？這個問題對於建立企業內部的資安政策是一個關鍵點，除此之外，還有一個相當重要的關鍵就是，在企業運作機能上，資安工作的範圍，以及可運用在其上的資金這三方面，也要取得一個平衡狀態。所以，一項設備的資產價值，不僅僅是決定企業可以容忍機器受損的程度和停擺的時間，同時對其在投入心力的優先程度上，以及在設立補救措施的方針中，亦佔有相當的地位。

一般來講，風險等級這名詞聽起來是比較抽象，所以也需要將之量化。風險等級所量化出來的值就等同於資安的基準底線，而我們就是根據這些底線來量測風險程度。資安長(CISO,Certified Information Security Officer)通常會建好這些底線，然後企業的風險與弱點管理小組便有責任依此來作維護工作。

例如，就危安事件的復原成本的底線來說，每六個月要減少10%，那麼在此例之中，要矩陣化的部分就是每經過六個月之後，從危安事件中回復的平均成本應為多少？再舉例來講，你可以建立一套違反資安政策規定的罰則，並定下每三年內最多只能出現多少違規事件，而評估矩陣中所填的數字就是在三年內所發生的違規事件次數。

將威脅程度分級化
依據遭感染的程度和潛在的危險等級，訂立出一個分級制度，將弱點嚴重性、威脅程度以及受害程度三者分門別類出來。這項分級概念也應列出受害目標，還有在遭受這些類型的攻擊之後，對企業會產生什麼樣子的影響？

如果可以達到對新產生的弱點提出警訊的目的，這樣其實不失為是一種既簡單又有用的方式，並且這樣也能避免因為有所不同的弱點排名，而陷入排名的迷思當中。而也只有當我們把前面的分類工作都作好了以後，接下來，才能明白企業所冒的風險與資安弱點在威脅程度上的關聯性。

首先，對於新的弱點是否可以列入當前的弱點名單之中，要有個明確的尺度。例如像是在所有Windows的機器上，都已經裝上最新版的IE瀏覽器的話，那麼你就用不著擔心會有舊版IE的弱點遭到攻擊的情況發生了。

如果企業擁有難以防禦的核心系統，也請計算一下被攻陷後所帶來的影響，例如像是一定要面對網際網路的Web伺服器，因為它得不時地存取用戶資料庫，所以一定要馬上修復才行。還有諸如用戶資料遭竊、機器停擺時間過長與利益損害程度，像這些潛藏的商業性影響也是相當關鍵的要素。

再者，也請將這個弱點遭受攻擊的各種可能性列入考慮範圍之中。你想想，要是此項弱點是可以從遠端入侵或者只靠一點小技巧(例如，稚嫩的入侵者取得網路上現成的入侵工具。)就可以攻陷的話，這更是危險極了！反而是要取得存取權限才能入侵的資料庫弱點，比較難以遭到破壞，因此被入侵的可能性就小了點。

掌控弱點資訊的脈動
有關資安弱點和威脅的新消息大量在網路上流竄著，此種情形可以很輕易地壓跨企業網路、累壞資安人員。不單單只是每個月微軟遭揭發的漏洞而已，每週都有很多相關產品和作業系統的弱點被公佈出來。

弱點管理小組應該要知道會攻擊當下環境的弱點是哪些？其他的警告訊息其實就可以不用去理會了。

讓員工去蒐集，研究弱點並將這些有關弱點的消息發佈出去，這樣一來，他們便可以依據弱點清冊、資產價值和弱點層級等各方面，來決定這些弱點的威脅程度。 另外，對資安弱點提供服務的公司，就有META Security Group，CyberTrust’s IntelliShield Early Warning System，SecureNet Solutions以及Computer Associate’s eTrust Managed Vulnerability Service，Symantec’s Deep Insight和iDEFENSE’s iAlert這幾家，他們可以在面對最新式的資安威脅時，提供最即時，最具指標性的訊息。

勝利方程式
要達到有效的弱點管理是無法投機取巧的，你得在建立弱點清冊和文件化方面，投入許多時間和作出努力，當然也要找對人，做對事。這項基礎建設讓你能以有效的，具重複執行性的程序，對資安弱點做出管理。並且，執行這些程序不但可以將企業的資源做最大的利用，也會將所帶來的企業風險降到最低。要是沒有這項基礎建設，同樣做這件事就會顯得毫無效率可言，而且終將導致失敗。

這項新的弱點管理週期會以新的操作手法︰檢視新弱點和未做文件化管理的設備、解析出企業所要負的風險、在重點服務未受害前補上漏洞—然後運行的相當流暢。

再者，這也是強化資訊安全的一個大好良機。你會從過往的錯誤中學習成長，並且學會在每個循環週期中再次改善企業的資安體質，而不再倉促面對各種資安事件，急忙找出威脅所在並消弭它。

本文作者SHON HARRIS，擁有CISSP及MCSE證照，目前是Logical Security訓練機構的負責人，也寫過幾本有關資訊安全的著作，同時也經常投搞Information Security。 SHON HARRIS的e-mail：shonharris@logicalsecurity.com或寫信至︰iseditor@asmag.com