觀點

動盪年代

2009 / 01 / 13
iseditor
動盪年代
儘管威脅的追逐、立法的推動、企業的需求,這些遊戲從未間斷地上演,資訊安全發展為一個專業領域,不過是近10年的光景。

你還記得那2003年寒冷的1月星期六嗎?那天也許是在半夜時分當你的手機唧唧作響時,正在提醒著你要有什麼大事發生了。就是Slammer病毒,病毒橫行霸道地肆虐著網際網路。如果你公司使用SQL伺服器,那麼你會開始失望,並且陷入系統修補的無窮迴圈中,然後才能使你的業務恢復正常。這只是我們在接下來的幾頁中所報導的一個重大的事件而已。你要常常回頭參考事件的年表,它代表過去10年在資訊安全中發生的一些重大事件。
假使你是一個觀察員,回顧過去10年的資安…,若你有背後遭到撞擊的感覺,也無須太過驚奇;事實上,情勢變化過於快速,並沒有幾個安全專家有能力讓它緩和下來。
要從哪裡開始呢?嗯…就從《Information Security》雜誌 1997年12月的回顧啟程吧。當時,沒有任何的資安專家,至少不像我們今天所知道的。資訊安全長過去只是一種概念,當時還不是屬於他的時代;法規,亦不是組織安全存亡的剋星,大量又猖獗的蠕蟲,才是真正的禍源。
「最顯見的是,10年前根本沒有所謂的專家。」AT&T的副總裁暨安全長,Ed Amoroso表示,他是此行業的前輩,早年於Bell實驗室,致力於一個由許多UNIX精英所組成的智囊團。「你可能會是一位高科技專家,但沒有所謂的CISO,在公司也沒有資深執行長。但現今,想在中、大型企業或政府部門中,找到沒有管理階層的安全人員,幾乎是不可能的事。 」
網路露出成為普遍的商業媒介,與IT的每個面向都息息相關,同時也是資訊安全蛻變為專家的主因。像Amoroso這樣的資安守門員與其同儕,必須學習自1997年起至今企業中所有全新的語彙,並且從另一個嶄新的角度,來看待他們的工作。當愈來愈多的生意移至網路時,保護網路和個別系統開始變得不那麼緊急,而是整體營運目標中所需處理項目的排序,愈趨重要。風險管理不僅是個專業術語,還被股份公司和金融專家採用運作。安全專家被迫思考這些問題,及建立有關計畫,來對付那些不僅以客戶資料,還有無價的智慧財產為目標,以便於在高科技產業中從事間諜活動的組織化罪犯。民族國家之間可能利用電腦相互攻擊,進行的不是流血之戰,而是機密的竊取。
「我們已歷經大量的惡意攻擊、目標式與破壞等攻擊類型,走到重大經濟活動領域的駭客攻擊,」 Gene Spafford表示。他是普渡大學之資訊保險與安全教育研究中心(CERIAS at Purdue University)的創辦人。
現今的罪犯是組織化且國際化的,同時,網路改變了他們的經濟模式。盜竊,已不需要再穿梭於實體環境中;駭客很可能從北京某房子的客廳,或從矽谷的某資料中心來發動攻擊。摧毀的網站,不再是駭客狂歡作樂的犧牲品;阻斷式服務攻擊,也不再是他們「惡名昭彰」的實踐工具。取而代之的是,駭客利用分散式阻斷服務攻擊來恐嚇高流量、高金流的網站;網路洗錢、機密竊取以及企業經營模式等,都暴露在風險中。


無處藏匿
過去,差勁的系統或是網路管理員、網站操作員,利用以特徵為基礎的防禦反擊,偶爾躲在廢棄堆中,旦求Windows最新的漏洞已經補上,有時則祈禱散發大量郵件的新型蠕蟲會快速離去。以往那種晦暗不明的安全,對今日許多營運模式來說,都是相當致命的。
「攻擊工具的改變,一直都與變化中的恐嚇威脅狀況相互結合;它的演化,從大量且具有自我繁殖力的攻擊(或駭客)工具,到複雜且自動化的混合式威脅,並且伴隨著高度信賴關係的社交工程」Spafford表示。「殭屍網路(Botnets)和後門程式(rootkits)異軍突起,相當地顯著。同時我們也看到了病毒相似的演變趨勢—非但神不知鬼不覺、範圍廣大、而且是自動化、組織化的犯罪活動,從10年前一路演化至今。」
Donn Parker,一位長期的電腦犯罪觀察家,亦是SRI International研究協會優異的研究者。他表示,在罪犯和那些花錢抑制其蔓延者之間的貓鼠大戰,是追逐著商機移轉至網路的方向為方向的;而且,人們並沒有期待它很快消退。
「我說過好幾次,事實上,電腦的正確使用與濫用間的問題,不過是誰出奇招的問題罷了;壞蛋找出能擊潰最新安全的新方法,好人就促使安全再更上一層樓,」Parker表示,「過去,在60、70、80年代時,犯罪活動只能說是「業餘」,動機通常只是為了解決個人的問題,而去蓄意違反電腦使用。漸漸地,它已演變成大規模與組織化的犯罪活動,出發點搖身一變,化為利益攫取的目的。」

言之過早
企業開創網路經營模式的熱潮,和貿然地線上服務和產品出售,已由諸多方式貢獻許多成功的犯罪因子。微軟即是早年最明顯的眾矢之的。簡單,卻深具作用;幾個惡意程式就能在Windows的大漏洞上呼嘯而過。IIS Web server隱藏的弱點,致使紅色警戒(Code Red)和娜妲 (NIMDA) 病毒大量散佈網路中,並且以自我複製和網路傳播方式,影響了難以估計的系統數目。而發生在2003年1月的Slammer蠕蟲,其攻擊網路及數量之多最為聲名狼藉,同時它也是最小的惡意軟體。Slammer利用微軟SQL Server資料庫的瑕疵,將部份網路拖曳成龜速,而修補工具(patch)則在幾個月後才出爐,管理者只能放慢腳步來修補這些停滯不前的產品,搞到痛苦不堪。
基於商譽,微軟採取了回頭去面對它的安全情形。比爾蓋茲於2002年發表了知名的「高可信度電腦運算」(Trustworthy Computing)宣言,要求於華盛頓州雷德蒙德市(Redmond)微軟總公司的開發人員,都必須暫停當下的研發計畫,並且受命安全指令,建立安全的發展生命週期。我們在觀察2007年問世的Vista,其安全的改善即是一個嚴峻的考驗。
「微軟已作了安全上的投資,但是不夠明確,而且已消失殆盡,」Spafford表示。「高可信度電腦運算並沒有實現,況且在今天之前,我們早已經身陷困境,其他供應商必須適應這事實。」
Amoroso說,直至今日,我們無法擺脫爛軟體。
「假如你注意其他工程學的分支,像是電機工程;這些已發展相當成熟的工程學分支,千年來的經驗都是建築在基本原理的。當你研究電機工程就會發現,無論你到哪,都會有基礎課程,」Amoroso表示。「軟體工程則不走這一套,一直到1980年,都還沒有軟體工程學位可拿。我們必須把這門不成熟的學問,當作教育訓練來處理。但一年一年的過去,隨著我們學習愈多,程式編寫(programming)也日益進步;此時,我們必須有所作為。我敢說,在我有生之年,可能看不到一個超大又複雜的軟體,是真正完美適當的。」
加上供應端產業的深度錯綜複雜,安全經理人必須親自捲起褲管、涉足穿越,然後做出孤注一擲的採購決定。2000年早期,市場的蓬勃帶動了相當多公司的萌芽,每個公司都有其解決方案,來對付當下最迫切的問題。不幸地,最後大多數公司皆以倒閉收場,因為他們只是在相同的技術上,採取不同的反應措施,以及對當時的威脅提出對策爾爾。修補管理和弱點管理公司則突然冒出來,因應微軟每個月第2個星期二要釋出的修補程式(Patch Tuesday)。入侵防禦在對抗以特徵為基礎的入侵偵測系統有所進展。防毒軟體變得商品化,供應商開始為產品作區隔,同時提供防間諜或防垃圾信軟體。

繩之以法
緊跟著報到的是安隆醜聞(Enron scandal)和沙賓法案(Sarbanes-Oxley;SOX),法案要求企業,必須對其財務報告的廉正性負責任。IT專家把他們的職責分了出來,而執行長開始特別注意IT安全。安全專家終於有東西可向行政管理部門證實他們的價值;執行長也忽然非常樂意把錢花在安全工具上,以符合法規要求,好讓他們免於牢獄之災。
「SOX、HIPAA、GLB、信用卡行業的PCI、歐盟資料保護法案(European Data Protection Act)…等,各式各樣相關的法規—這時,想對企業當頭棒喝,產業已找到了最佳權杖,而且有效的很!」Bruce Schneier表示,他是知名講師與作者,同時也是BT Counterpane的創立者,以及Blowfish 與 Twofish演算法的開發者。「法規迫使企業更嚴謹地看待安全,同時販售更多產品與服務。」
Choice Point身分盜竊之災,將2005年資料破壞的年代一腳踢開、取代舞台,後來數億筆的遺失資料,促使官方資料遭破壞通報有法依循,信用卡規範有所依附,特定產業的法規也有@所參考。安全和風險必須運作協調,IT安全人員才能擺脫不見天日的地下室,時常與營運單位平起平坐,學習如何制定最佳防護方案,這不僅是為了滿足管理部門,還有稽核人員。
「法規證實—當資訊安全遇上責任和規定時,是亟待努力的,」Parker表示。「就像安全帶之於汽車,我們必須有法強制,安全帶才會在車內出現,而且被人繫上。類似情形已出現在較高等級的資安。我們正企圖將資訊安全的目標,從降低風險轉移到遵從法規。」
此時,我們已到達資安第一個10年的終點,正展望著下一個10年。我們看到了網路團體,對安全愈來愈有責任感。安全技術被嵌入基礎架構中,像是路由器和交換器;許多大供應商,像是Cisco、IBM、HP及EMC,不斷推出重要的安全技術。獨立 (Standalone)安全供應商,無論有多創新,始終是最容易被攻擊攫取的。法規遵從對安全經理人而言,將是一場長期抗戰,而整體的風險管理正逐步取代資安長角色。
Amoroso預估,10年後,今天我們所認知的安全將淡出舞台。
「未來我們將回首檢視,從現在開始的5年到10年,然後娓娓道來—這是一個我們將安全覆蓋到系統和網路上的年代,而且我想我們已經知道,那是一個有問題的模式,」Amoroso表示。「設計了一套網路,才在上面建構安全,是不合理的;或是讓安全元件與網路運作分道揚鑣,也很愚蠢。」


來不及長大
在過去1年左右,IBM、EMC、HP,以及Symantec等資訊大廠的併購大軍勢如破竹。雖然如此,這種快速的態勢已是成熟產業自然演進的一環,隨著單一創新技術點都將成為整體安全架構的一部份,短命的市場都將會被較大的總合市場所接收。
有些公司會消失的無影無蹤;有些公司則在企業體消滅之後,其名稱還是一直掛在某個產品線上;而有些公司的名稱更是掩蓋了母公司的光環。若您身為安全主管,您的感覺可能會像那些從未變更過銀行,但銀行卻被換掉了的忠實存戶一樣。
我們列舉了10家已成為過往雲煙的資安公司(有些則是某個市場中的事業群):
1. @stake:Symantec併購了@stake作為其專業服務,並善用其服務商的客戶。Symantec接收了SmartRisk分析器服務,它可有效地找出並關閉肆虐顧客的網路漏洞。
2. Baltimore Technologies:還記得「PKI年」 (Year of PKI)嗎?您應該知道的,因為有太多的PKI年了。愛爾蘭的Baltimore在不穩定的PKI市場上享有盛名,但卻不敵Entrust、RSA以及VeriSign等競爭者的發展。Baltimore在2004年終於屈服,在享受了dot-com泡沫的高峰之後,被beTrusted納為旗下一部份。
3. BindView:風險管理的領導廠商,他們的產品已被整合進Symantec的產品組合中。
4. Brightmail:這家受歡迎的email安全服務商現在已成為Symantec的服務與產品的要角。
5. 身份遺失:Netegrity是少數Web存取控制廠商之一,已被CA拿下,而其競爭對手Oblix也已被Oracle併購,這些重量級選手將在日益重要的Web身份管理市場上,與RSA Security及IBM等大廠競爭。
6. Okena/Entercept:這些公司在主機入侵防禦系統(host-based intrusion prevention systems,HIPS)引人注目卻有部署有限時,都曾經風光一時。現在,一些HIPS已是新的完整安全產品的必要元件之一,而Okena與Entercept已分別成為Cisco與McAfee的基礎服務。
7. 蹩腳服務:安全委外管理服務商(managed security service providers,MSSP)的脆弱信心終於在2001年4月Salinas Group垮台時崩潰了,他們還沒把顧客系統的密碼交給使用者就關門了,而Pilot Network Services則是無預警地關門,許多客戶還將其工程師送去廠商的SOC中。
8. 資訊配置市場:使用者資訊配置(user provisioning)市場將自己演變成更廣泛、更含糊定義的識別管理市場,但這也讓Waveset(Sun Microsystems)、Thor Technologies(Oracle)、Business Layers(Netegrity),以及Access 360(IBM)都被併購成完整產品的一部分。
9. TruSecure/Ubizen/beTrusted:還記得買下Baltimore的公司beTrusted嗎?它引起了委外管理供應商Ubizen的併購興趣,隨後又與服務商TruSecure(在將Information Security賣給TechTarget之後)合組為CyberTrust,到頭來,最近又被Verizon Business併購下來了。
10. Web應用程式防火牆正搶手:隨著Web應用程式安全強化的盛行,這個市場的新星正快速地消失。Teros(之前的Stratum8)賣給了Citrix;Sanctum賣給了Watchfire,而隨後,AppShield賣給了F5;KaVaDo被Protegrity併購,而Barracuda Networks則在2007年9月併購了NetContinuum。