動盪年代

儘管威脅的追逐、立法的推動、企業的需求，這些遊戲從未間斷地上演，資訊安全發展為一個專業領域，不過是近10年的光景。

你還記得那2003年寒冷的1月星期六嗎？那天也許是在半夜時分當你的手機唧唧作響時，正在提醒著你要有什麼大事發生了。就是Slammer病毒，病毒橫行霸道地肆虐著網際網路。如果你公司使用SQL伺服器，那麼你會開始失望，並且陷入系統修補的無窮迴圈中，然後才能使你的業務恢復正常。這只是我們在接下來的幾頁中所報導的一個重大的事件而已。你要常常回頭參考事件的年表，它代表過去10年在資訊安全中發生的一些重大事件。
假使你是一個觀察員，回顧過去10年的資安…，若你有背後遭到撞擊的感覺，也無須太過驚奇；事實上，情勢變化過於快速，並沒有幾個安全專家有能力讓它緩和下來。
要從哪裡開始呢？嗯…就從《Information Security》雜誌 1997年12月的回顧啟程吧。當時，沒有任何的資安專家，至少不像我們今天所知道的。資訊安全長過去只是一種概念，當時還不是屬於他的時代；法規，亦不是組織安全存亡的剋星，大量又猖獗的蠕蟲，才是真正的禍源。
「最顯見的是，10年前根本沒有所謂的專家。」AT&T的副總裁暨安全長，Ed Amoroso表示，他是此行業的前輩，早年於Bell實驗室，致力於一個由許多UNIX精英所組成的智囊團。「你可能會是一位高科技專家，但沒有所謂的CISO，在公司也沒有資深執行長。但現今，想在中、大型企業或政府部門中，找到沒有管理階層的安全人員，幾乎是不可能的事。 」
網路露出成為普遍的商業媒介，與IT的每個面向都息息相關，同時也是資訊安全蛻變為專家的主因。像Amoroso這樣的資安守門員與其同儕，必須學習自1997年起至今企業中所有全新的語彙，並且從另一個嶄新的角度，來看待他們的工作。當愈來愈多的生意移至網路時，保護網路和個別系統開始變得不那麼緊急，而是整體營運目標中所需處理項目的排序，愈趨重要。風險管理不僅是個專業術語，還被股份公司和金融專家採用運作。安全專家被迫思考這些問題，及建立有關計畫，來對付那些不僅以客戶資料，還有無價的智慧財產為目標，以便於在高科技產業中從事間諜活動的組織化罪犯。民族國家之間可能利用電腦相互攻擊，進行的不是流血之戰，而是機密的竊取。
「我們已歷經大量的惡意攻擊、目標式與破壞等攻擊類型，走到重大經濟活動領域的駭客攻擊，」 Gene Spafford表示。他是普渡大學之資訊保險與安全教育研究中心(CERIAS at Purdue University)的創辦人。
現今的罪犯是組織化且國際化的，同時，網路改變了他們的經濟模式。盜竊，已不需要再穿梭於實體環境中；駭客很可能從北京某房子的客廳，或從矽谷的某資料中心來發動攻擊。摧毀的網站，不再是駭客狂歡作樂的犧牲品；阻斷式服務攻擊，也不再是他們「惡名昭彰」的實踐工具。取而代之的是，駭客利用分散式阻斷服務攻擊來恐嚇高流量、高金流的網站；網路洗錢、機密竊取以及企業經營模式等，都暴露在風險中。

無處藏匿
過去，差勁的系統或是網路管理員、網站操作員，利用以特徵為基礎的防禦反擊，偶爾躲在廢棄堆中，旦求Windows最新的漏洞已經補上，有時則祈禱散發大量郵件的新型蠕蟲會快速離去。以往那種晦暗不明的安全，對今日許多營運模式來說，都是相當致命的。
「攻擊工具的改變，一直都與變化中的恐嚇威脅狀況相互結合；它的演化，從大量且具有自我繁殖力的攻擊(或駭客)工具，到複雜且自動化的混合式威脅，並且伴隨著高度信賴關係的社交工程」Spafford表示。「殭屍網路(Botnets)和後門程式(rootkits)異軍突起，相當地顯著。同時我們也看到了病毒相似的演變趨勢—非但神不知鬼不覺、範圍廣大、而且是自動化、組織化的犯罪活動，從10年前一路演化至今。」
Donn Parker，一位長期的電腦犯罪觀察家，亦是SRI International研究協會優異的研究者。他表示，在罪犯和那些花錢抑制其蔓延者之間的貓鼠大戰，是追逐著商機移轉至網路的方向為方向的；而且，人們並沒有期待它很快消退。
「我說過好幾次，事實上，電腦的正確使用與濫用間的問題，不過是誰出奇招的問題罷了；壞蛋找出能擊潰最新安全的新方法，好人就促使安全再更上一層樓，」Parker表示，「過去，在60、70、80年代時，犯罪活動只能說是「業餘」，動機通常只是為了解決個人的問題，而去蓄意違反電腦使用。漸漸地，它已演變成大規模與組織化的犯罪活動，出發點搖身一變，化為利益攫取的目的。」

言之過早
企業開創網路經營模式的熱潮，和貿然地線上服務和產品出售，已由諸多方式貢獻許多成功的犯罪因子。微軟即是早年最明顯的眾矢之的。簡單，卻深具作用；幾個惡意程式就能在Windows的大漏洞上呼嘯而過。IIS Web server隱藏的弱點，致使紅色警戒(Code Red)和娜妲 (NIMDA) 病毒大量散佈網路中，並且以自我複製和網路傳播方式，影響了難以估計的系統數目。而發生在2003年1月的Slammer蠕蟲，其攻擊網路及數量之多最為聲名狼藉，同時它也是最小的惡意軟體。Slammer利用微軟SQL Server資料庫的瑕疵，將部份網路拖曳成龜速，而修補工具(patch)則在幾個月後才出爐，管理者只能放慢腳步來修補這些停滯不前的產品，搞到痛苦不堪。
基於商譽，微軟採取了回頭去面對它的安全情形。比爾蓋茲於2002年發表了知名的「高可信度電腦運算」(Trustworthy Computing)宣言，要求於華盛頓州雷德蒙德市(Redmond)微軟總公司的開發人員，都必須暫停當下的研發計畫，並且受命安全指令，建立安全的發展生命週期。我們在觀察2007年問世的Vista，其安全的改善即是一個嚴峻的考驗。
「微軟已作了安全上的投資，但是不夠明確，而且已消失殆盡，」Spafford表示。「高可信度電腦運算並沒有實現，況且在今天之前，我們早已經身陷困境，其他供應商必須適應這事實。」
Amoroso說，直至今日，我們無法擺脫爛軟體。
「假如你注意其他工程學的分支，像是電機工程；這些已發展相當成熟的工程學分支，千年來的經驗都是建築在基本原理的。當你研究電機工程就會發現，無論你到哪，都會有基礎課程，」Amoroso表示。「軟體工程則不走這一套，一直到1980年，都還沒有軟體工程學位可拿。我們必須把這門不成熟的學問，當作教育訓練來處理。但一年一年的過去，隨著我們學習愈多，程式編寫(programming)也日益進步；此時，我們必須有所作為。我敢說，在我有生之年，可能看不到一個超大又複雜的軟體，是真正完美適當的。」
加上供應端產業的深度錯綜複雜，安全經理人必須親自捲起褲管、涉足穿越，然後做出孤注一擲的採購決定。2000年早期，市場的蓬勃帶動了相當多公司的萌芽，每個公司都有其解決方案，來對付當下最迫切的問題。不幸地，最後大多數公司皆以倒閉收場，因為他們只是在相同的技術上，採取不同的反應措施，以及對當時的威脅提出對策爾爾。修補管理和弱點管理公司則突然冒出來，因應微軟每個月第2個星期二要釋出的修補程式(Patch Tuesday)。入侵防禦在對抗以特徵為基礎的入侵偵測系統有所進展。防毒軟體變得商品化，供應商開始為產品作區隔，同時提供防間諜或防垃圾信軟體。

繩之以法
緊跟著報到的是安隆醜聞(Enron scandal)和沙賓法案(Sarbanes-Oxley；SOX)，法案要求企業，必須對其財務報告的廉正性負責任。IT專家把他們的職責分了出來，而執行長開始特別注意IT安全。安全專家終於有東西可向行政管理部門證實他們的價值；執行長也忽然非常樂意把錢花在安全工具上，以符合法規要求，好讓他們免於牢獄之災。
「SOX、HIPAA、GLB、信用卡行業的PCI、歐盟資料保護法案(European Data Protection Act)…等，各式各樣相關的法規—這時，想對企業當頭棒喝，產業已找到了最佳權杖，而且有效的很！」Bruce Schneier表示，他是知名講師與作者，同時也是BT Counterpane的創立者，以及Blowfish 與 Twofish演算法的開發者。「法規迫使企業更嚴謹地看待安全，同時販售更多產品與服務。」
Choice Point身分盜竊之災，將2005年資料破壞的年代一腳踢開、取代舞台，後來數億筆的遺失資料，促使官方資料遭破壞通報有法依循，信用卡規範有所依附，特定產業的法規也有@所參考。安全和風險必須運作協調，IT安全人員才能擺脫不見天日的地下室，時常與營運單位平起平坐，學習如何制定最佳防護方案，這不僅是為了滿足管理部門，還有稽核人員。
「法規證實—當資訊安全遇上責任和規定時，是亟待努力的，」Parker表示。「就像安全帶之於汽車，我們必須有法強制，安全帶才會在車內出現，而且被人繫上。類似情形已出現在較高等級的資安。我們正企圖將資訊安全的目標，從降低風險轉移到遵從法規。」
此時，我們已到達資安第一個10年的終點，正展望著下一個10年。我們看到了網路團體，對安全愈來愈有責任感。安全技術被嵌入基礎架構中，像是路由器和交換器；許多大供應商，像是Cisco、IBM、HP及EMC，不斷推出重要的安全技術。獨立 (Standalone)安全供應商，無論有多創新，始終是最容易被攻擊攫取的。法規遵從對安全經理人而言，將是一場長期抗戰，而整體的風險管理正逐步取代資安長角色。
Amoroso預估，10年後，今天我們所認知的安全將淡出舞台。
「未來我們將回首檢視，從現在開始的5年到10年，然後娓娓道來—這是一個我們將安全覆蓋到系統和網路上的年代，而且我想我們已經知道，那是一個有問題的模式，」Amoroso表示。「設計了一套網路，才在上面建構安全，是不合理的；或是讓安全元件與網路運作分道揚鑣，也很愚蠢。」

來不及長大
在過去1年左右，IBM、EMC、HP，以及Symantec等資訊大廠的併購大軍勢如破竹。雖然如此，這種快速的態勢已是成熟產業自然演進的一環，隨著單一創新技術點都將成為整體安全架構的一部份，短命的市場都將會被較大的總合市場所接收。
有些公司會消失的無影無蹤；有些公司則在企業體消滅之後，其名稱還是一直掛在某個產品線上；而有些公司的名稱更是掩蓋了母公司的光環。若您身為安全主管，您的感覺可能會像那些從未變更過銀行，但銀行卻被換掉了的忠實存戶一樣。
我們列舉了10家已成為過往雲煙的資安公司（有些則是某個市場中的事業群）：
1. @stake:Symantec併購了@stake作為其專業服務，並善用其服務商的客戶。Symantec接收了SmartRisk分析器服務，它可有效地找出並關閉肆虐顧客的網路漏洞。
2. Baltimore Technologies:還記得「PKI年」 (Year of PKI)嗎？您應該知道的，因為有太多的PKI年了。愛爾蘭的Baltimore在不穩定的PKI市場上享有盛名，但卻不敵Entrust、RSA以及VeriSign等競爭者的發展。Baltimore在2004年終於屈服，在享受了dot-com泡沫的高峰之後，被beTrusted納為旗下一部份。
3. BindView:風險管理的領導廠商，他們的產品已被整合進Symantec的產品組合中。
4. Brightmail:這家受歡迎的email安全服務商現在已成為Symantec的服務與產品的要角。
5. 身份遺失:Netegrity是少數Web存取控制廠商之一，已被CA拿下，而其競爭對手Oblix也已被Oracle併購，這些重量級選手將在日益重要的Web身份管理市場上，與RSA Security及IBM等大廠競爭。
6. Okena/Entercept:這些公司在主機入侵防禦系統（host-based intrusion prevention systems，HIPS）引人注目卻有部署有限時，都曾經風光一時。現在，一些HIPS已是新的完整安全產品的必要元件之一，而Okena與Entercept已分別成為Cisco與McAfee的基礎服務。
7. 蹩腳服務:安全委外管理服務商（managed security service providers，MSSP）的脆弱信心終於在2001年4月Salinas Group垮台時崩潰了，他們還沒把顧客系統的密碼交給使用者就關門了，而Pilot Network Services則是無預警地關門，許多客戶還將其工程師送去廠商的SOC中。
8. 資訊配置市場:使用者資訊配置（user provisioning）市場將自己演變成更廣泛、更含糊定義的識別管理市場，但這也讓Waveset（Sun Microsystems）、Thor Technologies（Oracle）、Business Layers（Netegrity），以及Access 360（IBM）都被併購成完整產品的一部分。
9. TruSecure/Ubizen/beTrusted:還記得買下Baltimore的公司beTrusted嗎？它引起了委外管理供應商Ubizen的併購興趣，隨後又與服務商TruSecure（在將Information Security賣給TechTarget之後）合組為CyberTrust，到頭來，最近又被Verizon Business併購下來了。
10. Web應用程式防火牆正搶手:隨著Web應用程式安全強化的盛行，這個市場的新星正快速地消失。Teros（之前的Stratum8）賣給了Citrix；Sanctum賣給了Watchfire，而隨後，AppShield賣給了F5；KaVaDo被Protegrity併購，而Barracuda Networks則在2007年9月併購了NetContinuum。