觀點

Under Fire -火線上的資訊安全

2008 / 05 / 15
編輯部
Under Fire -火線上的資訊安全

不管是否都是同樣的預算和資源,中型規模的企業,必須時常和最新孳生卻同時更加複雜的資安攻擊威脅搏鬥。本篇文章將討論一些最新的資安挑戰。

微軟在它的網域名稱伺服器中,發現了一處容易遭受攻擊的漏洞,但是,要修補這個程式的漏洞得花上好幾個星期;同時,這個名為W32/Delbot AI的破壞程式會順著修補的路徑和程序發動攻擊。有兩家調查公司預測,成為目標遭而受攻擊的企業,其電腦安全將會面臨重大的威脅,因為這個定點式攻擊將會迅速且廣泛地取代目標式破壞程式。而在Usenix協會的一項會議上,專家們警告,這種botnets殭屍病毒會劫持這些受感染的電腦,去竊取財務數據資料,甚或散佈垃圾郵件,同時,其特性還會變得更加複雜,甚至還有能力去劫持更多的電腦以竊取重要機密資料。
上述事件,只是在今年春季中,某單一星期內所發生的眾多資安壞消息的其中之一。當資訊安全團隊還在與圍堵技術上的新的漏洞進行困獸之鬥時,同時還得要避免更廣大的病毒攻擊。他們必須隨時保持警覺,以面對架構緊密與多態媒介攻擊的新威脅。
資訊安全經理人很清楚駭客大隊是一群集高超技術和聰明智慧於一身的一群大壞蛋,他們不眠不休地進行多態媒介攻擊。這些攻擊會同時以不同的方式去測試其目標公司的網路,例如如何利用垃圾郵件,或尋找防火牆的空隙—-從而為駭客們提供了一個更好的機會,在一個公司裡面找到資訊安全的漏洞。無疑地,多態媒介攻擊引發了許多新的資安挑戰,讓這些中型規模公司更受困於有限的資源裡。然而,聰明的資訊長則會扭轉劣勢,並且會採取一個多維策略進行防禦,其中包括向資安供應商採購各種安全技術以及工具。
不過,到底目前這些多態媒體攻擊是有多普遍?『攻擊者蓄意地集中成為共犯結構,將一些多態媒體威脅組合在一起,這種方式和觀念可說是相當的新。』位在美國密爾瓦基的Metavante財務服務公司,其資訊安全與隱私管理部門副總裁史蒂芬福瑞德說。『一一檢視在過去幾年間,我們所見到與經歷到的網路攻擊歷史事件,大家不斷的在講多態媒介攻擊,其實比我們真正在戰場面臨過的比大家講的還要少。但是,我認為這個挑戰遲早要面對的。』
多態媒介攻擊有許多型式。例如,根據位於科羅拉多州圓石市的企業管理聯合顧問公司(EMA)的資深分析師,史考特卡羅夫表示,一個攻擊者會利用社交工程,與其他型態的攻擊者,好比是利用分散式攻擊,或分散垃圾郵件網路等,從使用者或用戶端獲取其個人資訊。『相互串連,共謀合作以達到最終的共同目的的攻擊能力,已經逐漸成為相當嚴重的資安問題。這個串謀的能力為了要達到他們想要的目標,進而能夠與安全系統和整體資訊系統結合,無疑的更加地提高了資安管理障礙。』

單純的安全防禦
有些資訊長會擬制複合式資訊安全科技以保護防禦多態媒介的攻擊。例如,安全資訊管理系統(SIM)會監視和分析在防火牆日誌裡的大量數據、入侵偵測系統、以及其他的工具去鎖定攻擊,這樣,可以減少人工管理的負擔。
『我從中小企業的角度來看資安面臨的挑戰,就是要能夠有足夠的專業人才和低成本的工具,來監管你所有的系統,』位在科羅拉多州的電影電視製片公司Castle Rock,城堡石,其直播電視中心的資訊科技經理Mark Weatherford表示。『我們沒有大製作大場面的豪華安全管理部門,我手下有十九個人,負責的事情從小到換碳粉匣,大到管理異步傳輸模式的回傳鏈路網路。所以我的部屬個個是身兼多職,而我們部分的工作職責是要確定我們的數據是安全無虞的。』
威福期望能有一個系統是能夠讓檔案日誌在不同的伺服器、防火牆以及其他的設備間相互串連,同時還會針對可疑的網路或系統活動發出即時警告。他也希望這套系統能夠稽核日誌檔案。在權衡評估四家供應商的產品優缺之後,他決定選擇TriGeo 網路安全公司的安全資訊管理解決方案。『這套解決方案幾乎可說是一指搞定,只需要短捷的設定程序。』Weatherford說。『它非常具有價格競爭優勢,也同時能夠全面滿足我的需求,其中包括了最小化的管理和成本支出。』
這套安全資訊管理系統幾乎串連了所有的安全設備的日誌檔案,同時還能夠從多重防火牆、交換機、路由器、以及入侵偵測系統中,追蹤活動數據以提供即時的資安警告。Weatherford強調,他的公司也許是中型企業裡的例外,他們不會只顧著回頭找問題,而是主動地稽核系統日誌。『我們終於能夠各種程序中及早發現問題,特別的是,通常某一系統設備通常無法辨識出來的病毒活動,卻能夠在串連的其他設備中被及時發現。』他強調。過去,病毒活動或者服務阻絕攻擊,通常會在用戶抱怨後才會被發現。
另一個會讓中型企業組織轉而採用安全資訊管理系統的原因,是它的警示系統充分顯示了成本效益。大概在一年間,位在奧克拉荷馬州靜湖鎮的靜湖國家銀行,曾經將主要的監控功能系統,例如警示系統等交由委外服務。當監控服務運作良好時,它卻也僅能涵蓋銀行中一百個伺服器的五分之一。根據該銀行的資訊安全副總裁羅拉布理斯科表示,它也沒有提供關鍵日誌監控以及報表功能,這些欠缺的功能包括了不同的法律規範稽核,像是SOX、HIPAA及美國金融資料保護法。
『當時我們已經是迫切地需要這種對法規稽核的監控系統。你的稽核和法律人員都要求你必須要建置這種監控和報表系統,這樣你才可以知道誰進入了哪些欄位區域,存取了哪些數據資料。』布理斯科說。
並不只為了要承諾其義務,以及固定要年分期付款給服務供應商,而是,靜湖國家銀行將安全資訊管理科技視為企業內必要的工具。如同城堡石的威福,布理斯科也選擇了TriGeo的產品。她說,這套系統所提供的功能讓我們擊敗競爭對手,好比說像是桌面代理程式及USB鎖定工具;而他們鎖定中型規模企業,因此價格上也相當具有競爭力,符合中型企業的需求與能力可負擔的範圍。靜湖銀行每年花上美金十二萬元,就可以涵蓋他們的整體系統。相較於一次付清的服務的金額還要少一些,但是布理斯科得到了功能強且涵蓋網路廣泛的服務。
不過,值得注意的是,安全資訊管理技術還在演進改良中。一位資訊經理表示,安全資訊管理的數據監控規則,通常是由供應商自行定義,他們容許安全資訊管理系統攔截一些攻擊,但並非全部攻擊都能攔截得到。羅伯法藍斯集團的莫菲說,安全資訊管理還會凸顯中型企業資源有限的挑戰,這並不是有一個全職的分析師,透過作啟發性技術分析就可以讓系統達到想要效果。『有些工具已經具有整合規範功能,』莫菲說,『但通常這些來自不同地方所定義的規範,其功能都是由”人”來進行設定。』
一些研究機構也正研發新的技術,以協助中型規模公司能夠更有效的利用安全資訊管理,以利用組織論分析創造新的工具。以鎖定安全資訊管理報表中出現的異常活動。其統計圖會協助比對在流量有關的特定應用程式中所出現的惡意行為。因此,如果有部分的網路的流量有激增的現象—就是可能出現問題的警示—程式員就可能要進行深入的調查。其中可能會有合法正當的商業理由,好比是特別的促銷活動,這就會在特定的應用程式周邊,產生額外的活動,或者,它也可能是惡意程式軟體所製造出的活動流量。