觀點

亞太資安論壇研討會精采回顧─10分鐘帶您看研討會

2009 / 03 / 06
吳依恂
亞太資安論壇研討會精采回顧─10分鐘帶您看研討會

是否因為無法參加Info Security Taipei 2008而感到遺憾?研討會場次沒辦法一一參加?不打緊!《資安人》迅速帶您瀏覽本次研討會精華,走過、路過,千萬別再錯過啦!

今年資安研討會的9大主題,可分為應用安全、Web Security、風險管理、網路安全、IAM身分識別與存取控制、SOC、儲存安全、內容安全及防制資料外洩,且讓我們回顧一下。

防制資料外洩-
個資外洩的成因分析與防治之道

目前至少有2種組織想要得到資料,一 是詐騙集團,主要目標是線上拍賣會員、交
易、個人資料等;另外,則是駭客組織,目標是軍政黨的機敏資料。而這2種組織已經結合起來,對民眾造成更大的危害。
如今駭客的攻擊手法,主要是使用社交工程的釣魚手法,也就是假借他人名義,冒
充寄發帶有木馬或病毒的電子郵件,造成癱瘓網路或感染電腦,尤其是政府單位多為攻擊對象。警政署資訊室PK指出,這其中主要的關鍵並非駭客的技術,而是一種人性的攻擊,此種攻擊方式多變,甚至還會隨著時事寄發不同的主旨,
誘使收件人開信或透過信中連結連至惡意網頁,目前政府單位多透過社交工程演練來降低被攻擊的機率。
警政署資訊室提供單位自保措施:
. 關閉MountPoints2(掛載點)權限,避免
USB病毒執行。
.建置代理伺服器。
. 勿過度依賴防火牆與掃毒程式。
. 時常更新Windows & Office。
. 機密檔案勿存放在USB(公私分開,專碟專用)
.注意資安新聞、通報。
而針對詐騙集團最常攻擊的對象-線上拍賣會員(尤其是賣家)、物流系統,由於
其系統建置主要是功能導向,多數沒有遵循SDLC(安全程式開發方法)或是委外建置, 網頁應用程式方面也無人把關,有些公司甚至沒有開啟資料庫查詢紀錄的功能,發生事情後,多數拍賣業者配合度 也不佳,造成檢調單位蒐證困難,資料庫管理者甚至共用帳 號,內部伺服器主機的密碼強度太弱等種種問題。小結如
下:
. 主機裝Server-U、VNC易被入侵。
. 未提供OTP等多重安全機制。
.勿使用盜版作業系統。
.安裝防毒軟體。
.注意釣魚攻擊。
.勿在網路上過度暴露個人資料。
.遇到詐騙電話可打反詐騙電話165查詢。

風險管理-
從法規遵循角度談企業風險管理
何謂法規遵循?資策會科法中心組長吳兆琰認為,可以定義在資安認證的考試範圍以及依循國外 法規。在組織裡橫跨了外界與內部,有許多法規必須遵循,例如在消費者端會有消費者保護法、電腦處理個人資料保護法;在公司內部可能會有證券交易法、商業會計法、公司治理相關規範等。吳兆琰說:「台灣不是沒有資安法,而是太分散!」而從案例的演進看來,個人資料將會成為資安未來的重點。不過民國84年制定「電腦處理個人資料保護法」時,並未考慮到網路變遷如此快速,使
得此法令變成了「單機版」。目前個資保護法草案修正,其中內容主要是擴大個人資料保護的內容,也就是增設敏感性個人資料的保護;此外,組織應該要能夠證明已盡防止洩漏的義務,否則就該接受處罰,資料有被侵害之虞企業應盡通知責任等。
吳兆琰給予企業自保的建議是:引進資訊價值概念,也就是確認企業所應保護的目標;確立保護資訊資產之目的,例如提升效率、減少損害;思考風險的起因,所有可能造成風險的改變;瞭解風險、掌握風險;強化管理流程;避免不必要的風
險,例如說蒐集客戶的個人資料並不是越多越好,而是應該按照企業需求。 最後,她做了以下結語:
1. 安全應成為管理常識、概念或文化。
2. 法規遵循的目的在健全公司營運管理。
3. 法規存在之目的不在增加企業的風險成本。

應用安全-
Novell幫您打造全方位 的資訊安全解決方案
設備雖然已經佈署完畢,但資安事件依然層出不窮,因為政策管理依然 未落實,許多資料外洩事件並非技術問題,而
多為人為管理因素造成,尤其是管理疏於形式。大多數的人都被ISO27001、SOX、BaselⅡ、ISMS、 ITIL等國際規範嚇得不知如何下手,這是因為政策
管理的規範就如同交通規則般,會隨著時間、環境複雜而逐漸增加。
為此,Novell資深業務經理黃成弘提供了一些務實的方法:可從免費的資源下手,例如遵循政府的資安政策,採取分等級的方式辨別威脅,或是也可
以參考行政院科技顧問組出版最新出版的-2008資通安全政策白皮書。另外,黃成弘更是大力推薦,像是支付卡產業資料安全標準(PCI-DSS, Payment Card Industry Data Security Standard)這樣的私人標準,其實也提供了許多詳細的作法與規範,十分值得參考。
另外,在安全管理上,面對龐大的分析資料有其實作上的困難,多半在於Log太多以致無法分析,黃成弘建議可以從關聯分析著手,與過去的報表、
資料相比,當然,關聯分析主要有3個向度範例:運用弱點對應關聯過濾假警報、資產資訊定義營運衝擊分析、運用不同硬體設備事件資訊比對。而這樣
的動作不能只做一次,要定期檢視產出報表,否則空有設備卻無人管理,依然存在資安問題。

Web Security-
Simplified Network Access Control(NAC):A
different approach
在傳統的網路存取控制系統裡面,並沒有針對網頁應用程式方面的保護考量,在公司內部網路進行搜尋,可能會搜出給商業合作夥伴使用的半公開
登入網頁,而針對網頁應用程式的攻擊有非常多種方式,甚至不需要登入成
功,只要持續大量嘗試登入便會造成系統的負擔,
在IPS、IDS看來這似乎只是Loading變重而無法解決這樣的問題。
面對這樣的問題有幾個作法,一是可以透過端點的檢查,擋住一些未經授權的電腦連線。或是F5也提供了使用原來SSL VPN來強化應用程式的安全性,透過SSL VPN前端Portal做登入,即使遭受到攻擊也只是攻擊前端的機器,並且可以針對錯誤的登入作控制,而無需更動後方應用程式,這樣的方式
也可以達成安全的單一登入(Single sign-on),在通過F5提供的Protal後,所有資料、網址也都經過改寫,等於提供一個前端登入與Server之間的伺服器,便能擋住來自網頁端的攻擊。
此外也提供網頁安全通道連結到應用程式,也就是控制瀏覽器,不讓使用者隨意安裝外掛去進行未授權的動作,只能透過此解決方案提供的瀏覽功能連結到應用程式,達到安全的網頁瀏覽。

風險管理-
風險管理與營運持續

BSi訓練部協理蒲樹盛提到,風險的意識必須累積在各方面,因此需時時注意組織裡面的弱點、不足。而管理需求往往都 來自生活上的影響,例如
大部分的國際標準(從歐洲開始)都會要求供應商需要遵循法規,這是風險管理裡面需要注意的。而所有的管理都有排擠效應,保有資訊競爭力的方法就是要「更快、 更好、更便宜」,需要思考的是如果服務沒有兼顧價值,就會沒有績效。而內控制度能不能幫助我們更快一點,產品會不會更好、品質更安全,且具有SOA(服務導向)的概念,更便宜、更有效率的方
式。管理活動有些是顯性,有些是隱性。可以跟同業比,不然就跟自己比,只要設定指標,透過完成指標來達成。一般而言,有7成的風險威脅為已知, 但只要能夠透過這些管理方式知道過去忽略的30%便能值回票價。

網路安全-
Juniper Networks統一存取解決方案建構高效能企業網路

Juniper台灣暨香港區技術總監游源濱認為,今年的統一存取解決方案將會更容易佈署,以及更聰明!說到更容易佈署,其中 有項原因是微軟的Vista
將會內建NAP,支援統一存取解決方案,並且由於Juniper的統一存取解決方案佈建皆符合標準協定和開放性原始碼,可以基於原有設備佈署,無需再花
費更換設備成本。且可支援不同平台,甚至是支援網路印表機。當然,若基於預算考量也可進行階段性的佈署,先從重要的咽喉點開始建置,可先佈署
Layer 3網路層,包含Firewall、Router、Switch等。
而如何更聰明呢?過去對於網路存取的控制只能到達網段間的控制,如今已經可以延伸到應用程式的第7層,可以在發生問題的源頭立即解決。

IAM身分識別與存取管理-
誰可以進我們家?

精確的控管進入企業內部的權限資格,便能避免未經授權者進入取得機敏資訊。為了管理以及使用上的方便,許多企業會採 取單一登入的方式來進入系統,但「水能載舟、亦能覆舟」,過去傳統的單一登入系統是危機重重的,例如駭客可能在網路或採中間人方式竊取密碼、入口網站可能被入侵盜取所有帳
密、單一系統被入侵導致其他系統瓦解、系統管理者不當利用使用者資訊、系統建置廠商的離職員工不當利用使用者資訊等。而資通電腦研發經理吳建東認為他們提供的解決方案可阻絕以上問題,主要原因是提供高資安規格,且網路上只傳遞帳號,不傳密碼,密碼永遠不離開 個人電腦,使用者、各單獨之應用系統與uIAM密
碼主機間,形成個別獨立的認證機制,確保個別應用系統使用上的機密性,不因單一系統被入侵就瓦解整體安全機制。並且在訊息上做加密且內含時戳等訊息,防止重送攻擊,也支援委任、分層認證,加快認證速度,還適用各種作業平台下,各種應用程式開發語言之應用系統,也適用Web base、Client Server架構之應用系統。
內容安全-
每分鐘就有19人變成資料外洩受害者,您能倖免嗎?

資訊散佈管道越多,外洩的可能性也隨之提高,威脅的方式自然也趨於複雜化。針對資料保護,資安長(CISO) 有日益增加的法規壓力, 不僅是一個國際趨勢和標準,當資料外洩事件發生的時候更可能造成商譽的損失。而面對內部威脅,則有來自行動裝置、端點控管等問題。且無論違反規定的層級高低與否,都將會產生相關的業務風險,因此從傳統的資料保護方式是不足,必須從基礎佳構做起。
在過去,使用單一產品去解決各個單一的問題,不僅會有系統間的相容性的問題,也會同時增加營運維護成本。McAfee大中華區技術總監韋頌修認為,要提供完整的資料保護解決方案,可以分3階段:“The Two Day Policy”-從設備的管理,磁碟的加密或是影響營運最小的部份開始進行、“The
Two Week Policy” -文件內容的保護和規範使用者行為、“An Ongoing Process” -將機敏資料分門別類,按照等級來保護。

防制資料外洩-
LeakProof防護機密資料外洩之實作應
用-科技業、金融業、政府部門
在過去談到的資安,多是抵擋外部駭客的攻擊防禦,但如今需要面對的問
題是內部資料的外洩,其主因有3:作業不慎、工作習慣以及惡意竊取,
而其中又以內部具有權限者最難防範。趨勢
科技所提供的防制資料外洩產品LeakProof,採取類似指紋辨識的技術或被稱為DataDNA,在精密的數學演算之間,完成更精密的防範。其主要適用在集中管理的機密檔案防護,資料庫、結構性資料的防護,一般檔案的文字比對和廣泛性之檔案屬性的防護。不但可辨識中文,也可做計量的管制,例如說1次複製10份以上資料就會受到控管。樣板組合比對,如只要資料包含身分證搭配信用卡號、電話、住址等的組合,亦會受到控管等。其佈署不易被察覺,不僅可避免員工反彈,也可收到暗中監控機敏資料的效果。 

網路安全—
Skype與Greynets的風險控管與應用

在網路安全主題方面,比較特別的是針對IM的控管應用上面,FaceTime與Skype原廠合作推出的解決方案,目前該公司提供的解決方案已經可以擋掉
在Skype當中傳訊的惡意網址連結,透過Skype的授權後FaceTime已可進行分析,並且可以限制傳檔等功能;除此之外,針對其內容的側錄功能,也將於 年底完成;而一般企業擔心的IM資料外洩問題也可獲得解決,Skype對話內容將可設定不另存備份於Skype主機上。
而相較於其他競爭廠商的解決方案之差異性,其大中華地區業務與技術經理林志成表示,目前市面上的產品多需要在Client端另行安裝Agent,一但
Skype版本更新,Agent也必須隨之更新,或者做控管與應用。

Web Security—
Web 2.0 : 全方位網站安全風險管理

阿碼科技執行長黃耀文在研討會上也與聽眾分享其團隊前往美國舊金山參加RSA 2008 Conference活動的經驗,提及目前資安漏洞重點可放在網頁應用
程式上的防禦。一般民眾接觸到惡意程式網站的比率相當高,尤其是熱門關鍵詞網頁也往往是犯罪集團鎖定的目標,但市面上常用的掃毒軟體對這些惡
意程式的偵測率卻只有50%~80%不等,且駭客已有專用的大量佈署惡意連結攻擊平台系統。而惡意程式主要的目標是使用者的個人資料,盜取銀行、線
上遊戲的帳號密碼,尤其是線上遊戲公司對於安全防護不如網路銀行來得重視。
目前在Web上,也就是惡意程式的起源有3大問題:XSS、Java Script Malware以及目前尚無明確解決方案的CSRF攻擊手法,CSRF攻擊主要是利用程式撰寫者的漏洞,駭客只需要送出指令給瀏覽器送資
料到網站上,使用者便在不知不覺中被盜取資料。
黃耀文指出,目前若想避開CSRF攻擊,可以在使用重要網路服務時另外以較冷門的流覽器開啟,畢竟冷門瀏覽器的弱點比較少。為了避免因web mail遭
CSRF攻擊而外洩個人郵件資料,消極的做法則是自行檢查寄件備份是否被設定副本收件人

內容安全—
2008年上半年惡意程式發展趨勢與探討
卡巴斯基代理商奕瑞科技也在此次研討會中,探討2008上半年惡意程式的發展趨勢。總經理張義淵提到,在過去1年間,木馬已經成為惡意程式的大宗,大幅領先病毒與蠕蟲,主要是因為對駭客來說,木馬的程式撰寫技巧較為容易,所竊取到的個人帳號密碼經濟效益也較高,在未來甚至可能會發展出類似「惡意程式2.0」的模式,也就是駭客集體創作,甚至使用木馬產生器大量且迅速的發送惡意程式碼或利用社交工程等手法,隨著不同模組而有
不同功能,屆時變種速度也會更快。弱點入侵的漏洞問題則因為受到大家重視而有所改善。而由於預測未來透過行動上網狀況愈發普及,可能引發行動惡意程式的流行,目前行動裝置上的感染,多為亂發簡訊,造成需要給付大量金額給某些站台。

應用安全—
利用主動式管理的平台技術作為Client端管理的利器

在本次研討會中,也邀請到Intel亞太區企業解決方案銷售總監Subra Shankhar探討如何「利用主動式管理的平台技術作為Client端管理的利器」,主要是在企業內部採用有Intel vPro晶片的韌體、網路卡、電腦等,再搭配上相關的管理軟體,也就是從網路、硬體上面去阻斷入侵,透過硬體防護隔離特定的記憶體,保護分隔的虛擬環境下的資料,甚至是在作業系統毀損或未開機的狀態之下,依然可以實現企業內部的安全,並且達到掌控企業資產的目的。會中聽眾問及,若原本使用之設備非Intel技術豈不是無法整合?Intel方面則表示,這同時也是逐步進行硬體汰舊換新時可以參考的點,購買內建Intel vPro技術的硬體設備,再搭配相關軟體即可獲得資訊安全、資產管理、遠端修復,甚至是高效省電的功能。