觀點

資安管理像開車一樣容易 資安儀表板

2005 / 06 / 20
Tony Bradley
資安管理像開車一樣容易  資安儀表板

混亂中的一線曙光
資安儀表板必需具備蒐集與分析資料的功能,才能夠產生有用的資訊。它們必須從各種資訊資產掃瞄系統、防火牆、IDS/IPS、防毒軟體、路由器與交換器等各種資訊來源,將資料一一「拉」回處理中心,再透過分析與演譯引擎,將這些有關聯的資料轉化為易於了解且有價值的情報。
安全資訊管理(SIM)工具可以提供蒐集資訊與事件關聯的功能。常見的廠商有netForensics、ArcSight、GuardedNet、Intellitactics、Network Intelligence與e-Security。SIM原本是為了解決IDS大量警訊的問題,後來演化成可以從各種訊息來源蒐集並分析資料的產品。從不同的裝置,透過syslog或SNMP trap將資料集中儲存,接著將這些原始資料正規化以及事件關聯分析,產生更易於理解的資訊。 SIM現在的發展越來越迅速,不斷衍生出附加的功能,像是應用系統監控、威脅事件關聯分析、緊急事件處置與是否違反資安政策之符合性分析。GuardedNet、ArcSight與netForensics都已陸續推出在應用軟體層(layer 7)的監控產品。
安全事件管理(SEM)能夠提供的訊息就更多了!GuardedNet的NeuSecure提供客製化、圖形式的資安儀表板,可以顯示各種系統弱點、掃瞄行為、大流量攻擊與依照事件別分類的報表,讓安全管理經理可以一目了然,看到各種問題、新的系統弱點造成的影響,還可以根據這些資訊做出趨勢分析報告。舉例來說,我們可以從儀表板上面,針對剛發佈的系統漏洞,檢視網路環境中尚未修補的機器數量,然後當你想知道這些機器是誰負責管理的,就用滑鼠在名稱上按一下即可。 部分產品還具備新穎的風險管理平台,提供各種法令、標準的條文符合度與風險索引管理功能,目前已經有針對沙賓法案(Sarbanes-Oxley)和ISO 17799的產品,例如:Skybox Security、myC.R.O. Solutions、SecureInfo與Cybertrust。結合上述兩種功能,將提供企業完整營運情報的資安儀表板。

忠實反應現況
一個好的資安儀表板必須透過電腦螢幕上有限的顯示空間,忠實反應出所有資訊,供資安管理者與經理做出正確及時的決策,並採取適當的行動。
為了做到這一點,你必須調整資安儀表板將最新的壞消息排在最前面,把一般且週期性出現的訊息排在後面,如果是一些根本無關緊要的雞毛蒜皮小事,盡量排到下一頁或次要的頁面,安全經理人沒有必要浪費時間在思考這些無傷大雅的資訊上,也可以把工作做好。反過來看,它們需要的是像目前有哪些正在流行的新漏洞,這些真正關鍵、必須立即採取行動的資訊。 資訊安全代管服務供應商(MSSP),如:LURHQ、Symantec、VeriSign、SecureWave與Cybertrust,大多都會在監控中心螢幕顯示資安儀表板,即時顯示客戶端的警訊,並提供相對的監控與應變服務。MSSP的資安儀表板可以提供最快速的威脅事件關聯,以及對應到企業的網路環境,決定企業目前的風險狀態。
LURHQ的資安儀表板,提供威脅趨勢管理功能,它將所有弱點與已知威脅、修補建議,三者的資訊交叉分析,來決定網路目前的風險等級、組織間的網路安全等級、安全趨勢情報,以及展現對企業產生衝擊的安全警訊。
其實光有這些訊息還是不夠。在LURHQ的資安儀表板上,還有一系列的深入追蹤的監控報告、安全訊息、掃瞄工具與待處理事件清單。許多方案中的資安儀表板,都提供類似的功能,利用向下探掘的功能與動態的連結,針對特定事件展開更詳盡的報告與圖表,提供更進一步的資訊與趨勢分析。在電腦螢幕上有限的空間裡,優先顯示關鍵的重要資訊,透過介面讓使用者可以自行點選它們想要知道的內容。

警訊的呈現
資安儀表板非常重視資料的呈現方式,因此大量使用彩色的圖形、圓餅圖、長條圖與趨勢圖,而很少使用單純文字來呈現。因此,不管是原始資料、稽核檔、弱點掃瞄與風險分析報告,在還沒轉化為摘要式的有用資訊前,都毫無用武之地。
真正會吸引安全經理注意的是「紅色」的警訊。就像是我們平常最熟悉的交通號誌,也是使用顏色來區分優先次序與傳達訊息。紅色表示緊急的、需要馬上介入處理的;黃色表示有危險、警告之意;而綠色則表示系統、網路一切正常。而文字模式的說明應該留給使用者想深入了解狀況時,再提供更詳盡的文字說明。
BigFix的修補與組態管理平台,有效地使用圖形式的介面,呈現重要的資訊,再輔以文字說明。位在控制畫面上方的圖片,表示最新資安事件的數量,並且依照各種風險的危急程度分級,顯示目前網路上受到弱點的威脅與修補進度。在螢幕下方則顯示各種最新修補程式與風險威脅的資訊。 基於安全標準與法規,安全經理人會想要看到關於弱點暴露的狀況、組態設定的控制資訊以及其他符合NIST、SANS與沙賓法案、FISMA、ISO 17799等安全規範的需求資訊。
當安全經理發現一個「紅色」的警訊,表示他得要當心點,開始注意各種相關的趨勢與儀表板上面的數據。從系統中獲得相關的IP位址、主機名稱、服務、通訊協定與流量,將這些資料準備好,再啟動應變程序。

個人化的訊息平台
並非在組織中的每個人都有需要看到相同的安全情報。像是CISO最需要看到資安政策的落實情況、威脅趨勢與應變分析。面對威脅,安全經理要取得有弱點的系統清單、預計的矯正修補時間和處理中的工作排程報告。安全管理員則僅需被告知哪些系統需要維護與加強安全設定即可。
個人化的資安儀表板可以做到兩件事,就是權責區分與提供用戶它們完成工作所需要知道的資訊。許多產品已經提供各種個人化的視窗設定,還有以職務為基礎的存取控管模組。這樣可以避免使用者看到與職務無關的機密資訊與整個網路的安全狀態,也可以預防用戶的各種不當行為。
在理想狀態下,以職務為基礎的存取控管與個人化介面,整合各種工作排程系統,可以提供每日工作表給安全經理和管理員。專門提供弱點管理的Secure Elements公司與提供企業級安全管理的Preventsys公司,它們產品中的資安儀表板都可以根據職務精確提供使用者所需的資訊。
根據使用者的設定檔,提供使用者簡要的資訊,如:最重大的威脅排名與各種弱點攻擊手法。而資安儀表板上也會顯示出根據該弱點所應採取的矯正措施,並列入工作排程之中。動態的資料連結,可以讓使用者隨心所欲,往下探掘各種他所被授權閱讀的資料,來完成任務。

豐富的報表
資安儀表板讓你清楚了解現在企業內的安全現況。更進一步可以累積資安的歷史報告,根據用戶的需求產生各種組合的安全報告。
許多資安儀表板都提供產生各種報表的選擇,像是QualysGuard的企業弱點掃瞄報告與資安儀表板,讓使用者根據掃瞄所發現的弱點,產生高階、詳細資訊的報告,以及各種弱點的發展趨勢圖。資安經理人可以從這一份簡單扼要的報告中,看到資安部門成功防堵弱點暴露的效率。 但是,即便是這麼先進的報告還是有不足之處,這樣的報告太集中於單一時間點所發生的事件。一個好的資安儀表板,應該要涵蓋整個企業資安的每一個角落,並且包括各種安全邊界上的安全活動與內部網路的健康程度,最重要的是可以提供輔助企業遵循法規的典範。例如,透過資安儀表板,產生一個符合沙賓法案的條文索引與相關的作為,讓稽核人員可以掌握各種法規上的依循標準。
還有,資安儀表板必須提供工作管理與矯正任務追蹤的功能,部分SEM產品、更新管理與弱點管理系統等,都會提供產生工單、工作指派與後續追蹤的功能。例如McAfee的Foundstone FS1000弱點管理平台,讓安全經理可以指派各種工單給特定的管理者,還會幫管理人檢視哪些工單拖太久,並發出通知提醒當事人。
以往許多網管軟體與工單、報表工具的主流軟體,像是HP的OpenView、Remedy或Crystal Reports,一如往昔引領著市場趨勢,但是現在情況已經開始轉變,資安儀表板的觀念出現後,這些工具開始被要求加入整合報表工具且提供更強的功能,讓使用者可以自訂報表格式以迎合個別用戶的需求。

快速應變
各家資安儀表板產品之間,在事件早期預警的能力上可以分為好幾種等級。怎麼說呢?像更新與組態管理產品可以預先掃瞄並針對目的設備的狀態產生報告,然後進行改善與矯正工作。IPS偵測網路流量與是否有異常,回報各種異常行為的警訊,如果有針對該行為預先做好應變的腳本,那它就會自動做出反應。
組態管理系統將會引領下一波跨平台與應變的解決方案。譬如Configuresoft的ECM,採用DCOM協定,從各別伺服器與用戶端將資料拉回來,並且進行事件關聯分析,以產生威脅與弱點報告。同時也允許安全經理針對特定的群組與用戶端,進行發送變更或更新指令。McAfee的ePolicy Orchestrator也有類似的功能,其主要功能就是做為各家防毒軟體的中介橋樑,方便管理者進行全面的掌控,目前也已經可以管理各種不同廠商的IPS。
當然,像Cisco、Juniper Networks與Microsoft這些大廠也不會缺席,各家均提供自動化的網路防禦機制。資安儀表板算是這些廠商在「防禦固守」的策略下,所產出的副產品,為了勾勒出網路安全與IT系統自動針對威脅應變的藍圖,就必須要依賴豐富的資安儀表板,提供各種網路攻擊與防禦的即時資訊,讓資安經理人可以進行全面性或針對特定事件的控管。像Sygate、StillSecure、Endforce、Check Point與InfoExpress,也針對用戶端提供類似的安全防禦機制。
隨著市場機制的發展,接下來我們會看到各種將風險管理量化且易於理解的資安儀表板嗎?就各家廠商的考量,以可以展現其產品功能與價值定位的呈現方式,來傳達安全資訊。而使用者其實只要它們真正需要的介面和資訊內容。好比各廠商手上都有一塊拼圖,等這些拼圖被正確地結合在一起,就可以看到企業真正需要的工具。
TONY BRADLEY,About.com Guide for Internet/Network Security編輯,擁有CISSP-ISSAP、MCSE2K證照,同時也擔任財星前100大企業的安全顧問。若有任何建議可寫信至iseditor@asmag.com。 想要多瞭解企業安全管理嗎?請參考www.isecutech.com.tw