2008年資安優先度調查

今年，資安專家沒有太多的時間可浪費。

經過1019位資安專家所組成的受訪者團，2008年資安優先度調查，將揭露內部攻擊、資料庫安全與強化網路端點控制等，整體而言， 2008年的優先工作事項落於四個大分類中：行動安全、資料保護、身分識別與存取管理及弱點管理。
從調查結果中反映，組織必須面對一堆急迫的工作，包含管理PDA與其他行動裝置，這意味著企業網路的邊界持續地擴大到您無法想像的地步、處理多如牛毛的系統弱點 、確保機敏資料被鎖在抽屜裡、因應法規要追蹤用戶的存取記錄。
所有的安全議題都應該是圍繞著營運需求、法規遵循與產業規範，並且要有效率，避免令人丟臉的資安事件。資安工作者Ben Halpert表示，實際上，今日法規的要求與威脅的演化，還是屬於不同的層面，例如：加密部分資料絕對是不夠的，你還要可以追蹤用戶對資料做了甚麼？資料保護必須和身分識別與存取管理攜手才能發揮最大效用。接下來，讓我們更深入地來看看2008的優先工作。

優先一：行動安全
雖然行動工作模式對於Mount Vernon市民銀行而言還是個開始，但是他們已經汲汲於管理筆記型電腦，且計畫強化行動裝置的安全。
這家銀行有4家分行與50位員工，IT經理兼安全官Dennis Weiskircher Jr.表示，因為我們的員工會帶著筆記型電腦外出，為了避免資料遺失，我們採用了PGP全磁碟加密。雖然還沒導入Smartphone或BlackBerries等行動裝置，但是它們已經開始評估如何管制此類裝置，以避免員工將營運資料置於風險之中。
我們需要工具來幫助營運的成功，但是也需要安全地工作，這永遠是需要一個平衡，我們總是對新科技採取主動。網路邊界消失是企業界持續發生的現象，因此『行動安全』是首訪者票選最高的安全關注議題。接近一半的安全專家表示，會花更多的時間在行動裝置的安全上。有27.3%的受訪者表示今年將會評估筆記型電腦加密方案。洛杉磯HealthCare Partners的資安管理主任Leo Dittemore簡單地表示：「任何人都需要它。」他們去年完成筆記型電腦的加密，明年將要針對100台醫師用的Smartphone做好加密管理功能。Jack Henry & Associates將PDA及智慧型手機安全管理，列入2008優先工作項目之一，他們為財務公司提供資料處理委外服務。網路與裝置經理John Hill表示：「我們將採用全量加密。」本來在2006年就要導入的加密措施，因為員工的抗拒、指其使得速度變慢，而草草作罷。不過現在不同了，它們有來自CEO的全力支持，凡是有客戶與公司資訊的行動裝置均需要做加密。SystemExperts安全顧問公司CEO Jonathan Gossels表示，你必須考量這些裝置遺失之後的風險，哪些資料會被存取，所有在手持裝置上的機密資料都必須加密。無線安全仍是一個大問題，有超過45%的受訪者表示，將在08年花更多的心力在此議題上，Gossels表示粗心的架設無線網路會造成企業的大漏洞。
無線網路裝置的預設值，通常沒有把安全功能打開，而且架設這些設備的人，也不見得擁有資安的觀念。Gossels補充道。

優先二：身分識別與權限管理
人工管理HealthCare 3500名用戶帳號是很笨的行為。在這樣規模的機構中，使用者隨需供應或自助(user provisioning)是IT聰明的優先投資。Dittemore表示：我們希望以自動化來節省人力支出，避免不必要的存取風險。HealthCare Partners今年是許多專注於身分識別與權限管理的組織之一，有42%的受訪者表示，今年將花更多預算來做IAM。56%b認為強化用戶存取授權是重要的工作，60%認為強韌的身分鑑別是今年的優先進行項目。同時有31%表示會在今年評估隨需供應或自助科技(provisioning technologies)。
許多企業主已經發現IAM對於營運的好處而竊笑著，Stevens 科技學院科技管理副教授Paul Rohmeyer表示，企業已經克服導入IAM初期 的不安與懷疑，認為這只是一時的流行。因為這一類工具已經成熟、實用性高，而且他的重要性也被發現。你會在今年看到更多企業一窩蜂地導入IAM，以感受它的威力。Gossels表示，法規的要求是IAM最主要的驅動力，以要能夠知道員工做了甚麼，存取了什麼資料。此舉也將帶動身分鑑別的發展，如智慧卡、Token或其他更新的科技。
Parsons Behle & Latimer 是一家擁有250名員工的法律事務所，採用BioPassword 的軟體作為遠端律師登入公司系統的身分鑑別機制，除了要輸入用戶帳號密碼，還要配合用戶打字的節奏習慣(rhythm )，該公司的IT應用系統管理者Jason Smith 表示，這是我們能想到最簡易的方案了。
對於受訪者而言，單一簽入(SSO)是另一項IAM相關科技，有36%的人表示將於今年評估企業級的SSO，它們將此視為年度的重要工作。實際上，Forrester Research資深分析師Andras Cser表示，因為企業級的SSO在實作上相對容易，也可當作導入整體IAM的跳板，讓大多數應用系統都已經先完成先導工作。
Cser表示，eSSO可提供良好的用戶體驗，降低未來導入IAM的最大障礙，正確地建立應用系統的身分角色管理系統，是成功的第一步。

網路存取控制(NAC)是遊戲產業最積極導入的措施，也是Video Gaming Technologies of Tennessee列在待辦事項中最頂端的工作。我必須要確保這些員工可以上網存取資料時，他們電腦上的防毒與防間諜軟體都有更新。資深網路工程師Dan Goldberg表示，基本上一定要確保網路上的節點不會對整個網路造成傷害。 約有34%的人表示，今年將評估導入NAC，而有31%的企業已經導入，有16%預計在今年完成導入。 Beth Israel Deaconess Medical Center準備在實驗環境中先導入NAC，資安管理與災害復原經理Mark Olson表示，作為一個研究與教學醫院，大量的端點無法符合醫院的資安政策，這就是NAC吸引人的地方。他可以提供IT人員更動態地找出違規者，提供一個虛擬網段來隔離問題用戶。現在，用戶管理工程師可以快速地找出被入侵的電腦，並且修復它。NAC的模式允許醫院網路快速地隔離端點，減少到現場處理的數量。NAC持續地發揮其顯著的功用，提供我們掌控、可衡量的科技管理。

優先三：資料保護
麻省的稅賦署(MDOR)採用多重保護，避免機敏的稅務與兒童救助資料外流。
它們採用的策略包括資料庫監控計畫，用來確保其存取是符合法規的。筆記型電腦加密、傳遞機敏資料的安全郵件系統，當然還有持續的資料安全意識訓練與員工廠商的背景查核。
John Moynihan表示，資料保護議題已經不是IT可以解決，需要更複雜的技術與非技術方法…只要再你的資訊安全策略中有一個小洞，就會壓毀你整個資料安全治理結構。John最近才從MDOR辭去副督察與內控官員職務，從事資料治理顧問服務。
保護機敏資料是許多組織的第一要務，有46%的人表示，今年會花更多時間在資料保護上，有68%表示資料庫安全是重要的，其中有58%的人認為資料刪除、資料保存的監管是不可缺少的。
資料外洩事件通報法以及產業自律的PCI-DSS、醫療隱私HIPAA的驅動之下促使資料保護的發燒，Gartner研究副總Eric Ouellet表示。
以往企業注重資料在傳輸過程中的安全，而現在也注意到資料庫安全的重要性，資料庫安全包括確認有足夠權限的人才能夠存取到所需的資料，以及嚴謹的資料輸出稽核機制。保護資料的最佳之道在於從頭到尾的控制，長期保護的方式只有加密別無他法，SystemExperts的 Gossels表示。
接近31% 的受訪者表示，正在評估資料庫加密工具，其中30%計畫採用軟體式加密，另外的29%則選擇硬體式加密方案。Forrester Research 首席分析師Paul Stamp 表示，企業必須符合多重的外在規範，如PCI等，避免員工存取不該看到的資料，並且保護在外行動裝置上的企業機敏資料不會被外人所讀取。他認為，加密是一勞永逸的方法。
不斷上演的資料外洩案例，Citizens Bank已經採用磁帶加密，Weiskircher表示，雖然磁帶運送只有15哩，但是資料的確有15哩的安全空窗期對吧！
另外一方面企業也開始注意，員工透過電子郵件或USB隨身碟將機敏資料外流的問題，不論是意外或是惡意竊取，都已經讓35%的受訪者開始評估防制資料外洩產品方案。
Stamp表示，防制資料外洩方案的確需要企業先做好資訊生命週期規劃，以更廣的策略思考，加上電子資料探索(e-discovery)，方可知道資料在哪邊，以及如何被處理，才算完整。

優先四：弱點管理?
弱點管理是心中永遠的痛。不過今年將會有新風貌，有44%的受訪者表示組織要花更多時間在這領域上，更有63%的人表示威脅與弱點的關聯分析是未來弱點管理的重要發展。SANS Internet Storm Center 主任Marcus Sachs表示，這樣的關聯分析幫助企業建立弱點與威脅的矩陣圖，包括軟體缺陷、人為因素的社交工程攻擊都包含在內。
弱點永遠是補不完的，但是一定會有優先順序的考量，Marcus 認為，一個不錯的思考方向是，哪種威脅對你的弱點影響最大，一定要優先處理，這樣的做法至少給了一般管理者一個方向，不在無所適從。
舉例來說，有一個WEB伺服器弱點和一個FTP伺服器弱點，因為威脅大多針對WEB伺服器弱點而來，因此要修補WEB伺服器的優先程度就比較高。
安全就是風險管理，是沒有絕對完美的安全。所以，試著管理她到可接受的風險等級，這就是我們的生活啊。
Video Gaming Technologies的Goldberg表示，非常同意將威脅與弱點的關聯分析是非常重要的，但是他認為企業在進入這一步之前，需要把更多基礎建設完整建構起來。
安全真的要從風險的角度來看，風險評估是我今年最優先的工作之一，Goldberg表示。
當企業積極在佈署網路安全防禦外部攻擊之時，許多焦點已經開始轉向到內部受信賴的員工、約聘人員、廠商，這些人都可以存取企業內部網路與資料。70%的受訪者表示，他們非常擔心要如何偵測與阻擋內部攻擊者。
MDOR所有的廠商員工，凡是要存取內部資料者，都必須要做身家背景調查，看看是否有犯罪記錄。因為MDOR不能讓員工或外部約聘人員，威脅到資料安全政策的落實。
資料治理顧問Moynihan說，我們用了那麼多外部廠商，怎麼可能會知道這廠商是誰？來做甚麼？會不會造成單位內身分資料外洩或是偽造。再者，內部稽核員應該落實非預期抽驗廠商所攜出入的設備，包括背景查核，以確保員工與資料的安全。有60%的受訪者表示，簡化安全管理的落實跟弱點管理在今年的優先度一樣重要。Forrester的Stamp表示，簡化安全管理是很多用戶的心聲，部分的理由是安全工作是面對非資安專家的一般員工，對網管工作人員來說，安全是他們的責任之一，所以他們希望能儘量簡化安全管理。對組織而言，簡化安全管理要能夠銜接安全稽核的工作，才能達到稽核的目標。