觀點

2008年資安優先度調查

2008 / 09 / 05
編輯部
2008年資安優先度調查
今年,資安專家沒有太多的時間可浪費。

經過1019位資安專家所組成的受訪者團,2008年資安優先度調查,將揭露內部攻擊、資料庫安全與強化網路端點控制等,整體而言, 2008年的優先工作事項落於四個大分類中:行動安全、資料保護、身分識別與存取管理及弱點管理。
從調查結果中反映,組織必須面對一堆急迫的工作,包含管理PDA與其他行動裝置,這意味著企業網路的邊界持續地擴大到您無法想像的地步、處理多如牛毛的系統弱點 、確保機敏資料被鎖在抽屜裡、因應法規要追蹤用戶的存取記錄。
所有的安全議題都應該是圍繞著營運需求、法規遵循與產業規範,並且要有效率,避免令人丟臉的資安事件。資安工作者Ben Halpert表示,實際上,今日法規的要求與威脅的演化,還是屬於不同的層面,例如:加密部分資料絕對是不夠的,你還要可以追蹤用戶對資料做了甚麼?資料保護必須和身分識別與存取管理攜手才能發揮最大效用。接下來,讓我們更深入地來看看2008的優先工作。

優先一:行動安全
雖然行動工作模式對於Mount Vernon市民銀行而言還是個開始,但是他們已經汲汲於管理筆記型電腦,且計畫強化行動裝置的安全。
這家銀行有4家分行與50位員工,IT經理兼安全官Dennis Weiskircher Jr.表示,因為我們的員工會帶著筆記型電腦外出,為了避免資料遺失,我們採用了PGP全磁碟加密。雖然還沒導入Smartphone或BlackBerries等行動裝置,但是它們已經開始評估如何管制此類裝置,以避免員工將營運資料置於風險之中。
我們需要工具來幫助營運的成功,但是也需要安全地工作,這永遠是需要一個平衡,我們總是對新科技採取主動。網路邊界消失是企業界持續發生的現象,因此『行動安全』是首訪者票選最高的安全關注議題。接近一半的安全專家表示,會花更多的時間在行動裝置的安全上。有27.3%的受訪者表示今年將會評估筆記型電腦加密方案。洛杉磯HealthCare Partners的資安管理主任Leo Dittemore簡單地表示:「任何人都需要它。」他們去年完成筆記型電腦的加密,明年將要針對100台醫師用的Smartphone做好加密管理功能。Jack Henry & Associates將PDA及智慧型手機安全管理,列入2008優先工作項目之一,他們為財務公司提供資料處理委外服務。網路與裝置經理John Hill表示:「我們將採用全量加密。」本來在2006年就要導入的加密措施,因為員工的抗拒、指其使得速度變慢,而草草作罷。不過現在不同了,它們有來自CEO的全力支持,凡是有客戶與公司資訊的行動裝置均需要做加密。SystemExperts安全顧問公司CEO Jonathan Gossels表示,你必須考量這些裝置遺失之後的風險,哪些資料會被存取,所有在手持裝置上的機密資料都必須加密。無線安全仍是一個大問題,有超過45%的受訪者表示,將在08年花更多的心力在此議題上,Gossels表示粗心的架設無線網路會造成企業的大漏洞。
無線網路裝置的預設值,通常沒有把安全功能打開,而且架設這些設備的人,也不見得擁有資安的觀念。Gossels補充道。

優先二:身分識別與權限管理
人工管理HealthCare 3500名用戶帳號是很笨的行為。在這樣規模的機構中,使用者隨需供應或自助(user provisioning)是IT聰明的優先投資。Dittemore表示:我們希望以自動化來節省人力支出,避免不必要的存取風險。HealthCare Partners今年是許多專注於身分識別與權限管理的組織之一,有42%的受訪者表示,今年將花更多預算來做IAM。56%b認為強化用戶存取授權是重要的工作,60%認為強韌的身分鑑別是今年的優先進行項目。同時有31%表示會在今年評估隨需供應或自助科技(provisioning technologies)。
許多企業主已經發現IAM對於營運的好處而竊笑著,Stevens 科技學院科技管理副教授Paul Rohmeyer表示,企業已經克服導入IAM初期 的不安與懷疑,認為這只是一時的流行。因為這一類工具已經成熟、實用性高,而且他的重要性也被發現。你會在今年看到更多企業一窩蜂地導入IAM,以感受它的威力。Gossels表示,法規的要求是IAM最主要的驅動力,以要能夠知道員工做了甚麼,存取了什麼資料。此舉也將帶動身分鑑別的發展,如智慧卡、Token或其他更新的科技。
Parsons Behle & Latimer 是一家擁有250名員工的法律事務所,採用BioPassword 的軟體作為遠端律師登入公司系統的身分鑑別機制,除了要輸入用戶帳號密碼,還要配合用戶打字的節奏習慣(rhythm ),該公司的IT應用系統管理者Jason Smith 表示,這是我們能想到最簡易的方案了。
對於受訪者而言,單一簽入(SSO)是另一項IAM相關科技,有36%的人表示將於今年評估企業級的SSO,它們將此視為年度的重要工作。實際上,Forrester Research資深分析師Andras Cser表示,因為企業級的SSO在實作上相對容易,也可當作導入整體IAM的跳板,讓大多數應用系統都已經先完成先導工作。
Cser表示,eSSO可提供良好的用戶體驗,降低未來導入IAM的最大障礙,正確地建立應用系統的身分角色管理系統,是成功的第一步。
網路存取控制(NAC)是遊戲產業最積極導入的措施,也是Video Gaming Technologies of Tennessee列在待辦事項中最頂端的工作。我必須要確保這些員工可以上網存取資料時,他們電腦上的防毒與防間諜軟體都有更新。資深網路工程師Dan Goldberg表示,基本上一定要確保網路上的節點不會對整個網路造成傷害。
約有34%的人表示,今年將評估導入NAC,而有31%的企業已經導入,有16%預計在今年完成導入。
Beth Israel Deaconess Medical Center準備在實驗環境中先導入NAC,資安管理與災害復原經理Mark Olson表示,作為一個研究與教學醫院,大量的端點無法符合醫院的資安政策,這就是NAC吸引人的地方。他可以提供IT人員更動態地找出違規者,提供一個虛擬網段來隔離問題用戶。現在,用戶管理工程師可以快速地找出被入侵的電腦,並且修復它。NAC的模式允許醫院網路快速地隔離端點,減少到現場處理的數量。NAC持續地發揮其顯著的功用,提供我們掌控、可衡量的科技管理。

優先三:資料保護
麻省的稅賦署(MDOR)採用多重保護,避免機敏的稅務與兒童救助資料外流。
它們採用的策略包括資料庫監控計畫,用來確保其存取是符合法規的。筆記型電腦加密、傳遞機敏資料的安全郵件系統,當然還有持續的資料安全意識訓練與員工廠商的背景查核。
John Moynihan表示,資料保護議題已經不是IT可以解決,需要更複雜的技術與非技術方法…只要再你的資訊安全策略中有一個小洞,就會壓毀你整個資料安全治理結構。John最近才從MDOR辭去副督察與內控官員職務,從事資料治理顧問服務。
保護機敏資料是許多組織的第一要務,有46%的人表示,今年會花更多時間在資料保護上,有68%表示資料庫安全是重要的,其中有58%的人認為資料刪除、資料保存的監管是不可缺少的。
資料外洩事件通報法以及產業自律的PCI-DSS、醫療隱私HIPAA的驅動之下促使資料保護的發燒,Gartner研究副總Eric Ouellet表示。
以往企業注重資料在傳輸過程中的安全,而現在也注意到資料庫安全的重要性,資料庫安全包括確認有足夠權限的人才能夠存取到所需的資料,以及嚴謹的資料輸出稽核機制。保護資料的最佳之道在於從頭到尾的控制,長期保護的方式只有加密別無他法,SystemExperts的 Gossels表示。
接近31% 的受訪者表示,正在評估資料庫加密工具,其中30%計畫採用軟體式加密,另外的29%則選擇硬體式加密方案。Forrester Research 首席分析師Paul Stamp 表示,企業必須符合多重的外在規範,如PCI等,避免員工存取不該看到的資料,並且保護在外行動裝置上的企業機敏資料不會被外人所讀取。他認為,加密是一勞永逸的方法。
不斷上演的資料外洩案例,Citizens Bank已經採用磁帶加密,Weiskircher表示,雖然磁帶運送只有15哩,但是資料的確有15哩的安全空窗期對吧!
另外一方面企業也開始注意,員工透過電子郵件或USB隨身碟將機敏資料外流的問題,不論是意外或是惡意竊取,都已經讓35%的受訪者開始評估防制資料外洩產品方案。
Stamp表示,防制資料外洩方案的確需要企業先做好資訊生命週期規劃,以更廣的策略思考,加上電子資料探索(e-discovery),方可知道資料在哪邊,以及如何被處理,才算完整。

優先四:弱點管理?
弱點管理是心中永遠的痛。不過今年將會有新風貌,有44%的受訪者表示組織要花更多時間在這領域上,更有63%的人表示威脅與弱點的關聯分析是未來弱點管理的重要發展。SANS Internet Storm Center 主任Marcus Sachs表示,這樣的關聯分析幫助企業建立弱點與威脅的矩陣圖,包括軟體缺陷、人為因素的社交工程攻擊都包含在內。
弱點永遠是補不完的,但是一定會有優先順序的考量,Marcus 認為,一個不錯的思考方向是,哪種威脅對你的弱點影響最大,一定要優先處理,這樣的做法至少給了一般管理者一個方向,不在無所適從。
舉例來說,有一個WEB伺服器弱點和一個FTP伺服器弱點,因為威脅大多針對WEB伺服器弱點而來,因此要修補WEB伺服器的優先程度就比較高。
安全就是風險管理,是沒有絕對完美的安全。所以,試著管理她到可接受的風險等級,這就是我們的生活啊。
Video Gaming Technologies的Goldberg表示,非常同意將威脅與弱點的關聯分析是非常重要的,但是他認為企業在進入這一步之前,需要把更多基礎建設完整建構起來。
安全真的要從風險的角度來看,風險評估是我今年最優先的工作之一,Goldberg表示。
當企業積極在佈署網路安全防禦外部攻擊之時,許多焦點已經開始轉向到內部受信賴的員工、約聘人員、廠商,這些人都可以存取企業內部網路與資料。70%的受訪者表示,他們非常擔心要如何偵測與阻擋內部攻擊者。
MDOR所有的廠商員工,凡是要存取內部資料者,都必須要做身家背景調查,看看是否有犯罪記錄。因為MDOR不能讓員工或外部約聘人員,威脅到資料安全政策的落實。
資料治理顧問Moynihan說,我們用了那麼多外部廠商,怎麼可能會知道這廠商是誰?來做甚麼?會不會造成單位內身分資料外洩或是偽造。再者,內部稽核員應該落實非預期抽驗廠商所攜出入的設備,包括背景查核,以確保員工與資料的安全。有60%的受訪者表示,簡化安全管理的落實跟弱點管理在今年的優先度一樣重要。Forrester的Stamp表示,簡化安全管理是很多用戶的心聲,部分的理由是安全工作是面對非資安專家的一般員工,對網管工作人員來說,安全是他們的責任之一,所以他們希望能儘量簡化安全管理。對組織而言,簡化安全管理要能夠銜接安全稽核的工作,才能達到稽核的目標。