近年來企業對於資訊安全的防護已逐漸重視,因此都陸續在公司內部建置防火牆、入侵防禦系統、防毒軟體、弱點評估軟體和郵件過濾等防禦設備;然而,在面對各種資安設備所發出的警告時,企業資訊安全管理人員普遍無法即時判斷其是否會對企業營運造成影響,且長時間對於『錯誤警告』的反應麻痺,也就對警告產生『狼來了』的心態,往往導致忽略真正資安事件的來臨;而當資安事件真正發生時,資訊管理者必須逐一查看各項資安設備、網路設備、作業系統及應用程式的日誌檔等,才能試圖從中釐清問題的根源,這也是讓資訊管理人員感到最困擾的部分,所以如何在面對危機狀況時,讓管理人員能夠快速找出問題根源與解決之道,已成為發展安全資訊管理(SIM,Security information management)系統必須身負的重要任務。
從用途一窺資安管理工具
從原先較為單純的攻擊類型,轉變到現今必須面對多變且複雜的網路攻擊,資安防禦工具的種類也變得多元化了,但目前的攻擊型態已非單一防禦產品就能達到偵測、阻隔、事先預防等集於一身的功效,誠如CA香港及台灣區總經理彭紹昌所言,資訊安全管理是現今商業基礎架構中重要的組成元件之一,在不斷變動的環境中,企業資訊系統就必須被不斷地重新設定和部署安全工具。但如何將其系統簡化,就成為管理人員最期盼的要件,因此結合多種防禦工具的安全資訊管理工具油然而生,然而究竟何謂安全管理工具呢?又有何特殊功用呢?
精業資訊安全事業部產品經理陳家煌就表示,簡單來說,安全資訊管理工具必須具有蒐集企業內部的資安設備所產生的訊息,且提供彙整、管理、記錄和鑑識分析等功能,以協助管理者在最短時間內判斷入侵或病毒感染事件的途徑和遭受攻擊的目標。除此之外,這類工具應保有完整的資安事件資料,也因為資安事件層出不窮,必須持續不斷的維護資料庫內容的更新,來協助管理者在發現事件的同時,提供第一時間做緊急應變處理措施,來降低資安事件的危害程度。至於諮安科技產品經理陳文權則強調,想了解安全資訊管理工具的特質可從評估各家資安事件管理系統來看,大致可包含以下幾個因子,其一、『事件關聯分析能力』為資安事件管理系統之主要核心,可針對彙整過的資訊進行關聯式的交叉比對,用以判斷是否為資安事件;其二、『資安事件管理功能』:就是針對資安事件進行即時監控、報表、警告及後續追蹤稽核等功能,而警告時也必須提供資安事件完善的相關訊息,如此才可讓管理者快速地處理資安事件;其三、『事件蒐集能力』是否能夠支援市場常見的資訊安全設備,如防火牆、入侵偵測、防毒軟體、存取認證管理工具和及資料庫之系統日誌等功能,且與各設備間之整合的能力是否可達到預期之效能;其四、『事件彙整能力』由於蒐集的資訊過於繁雜,且各設備紀錄檔格式不一,因此須對蒐集到的事件進行正規化與合併等化繁為簡等工作。
綜上所述不難發現,其實安全資訊管理工具就是能提供一個視覺化管理多方異質單點安全設備的架構,在資安事件發生後,自動化分析入侵路徑、資產價值、弱點管理等要素,用以協助企業資安小組第一時間察覺問題點和後續解決方案等功能,來有效降低資安小組的管理負擔。
當前安全資訊管理解決方案
既然安全資訊管理工具擁有整合性的優勢,但為何不能像其他安全產品成為市場真正主流?這是基於安全資訊管理工具之技術開發門檻較其他產品高,且因產品價位較高,除大型企業因整合相關設備資訊管理之迫切有實際建置需求外,短時間內應該仍難普及,因此可預見未來幾年市場上將不會出現太多相關產品。目前國內提供安全資訊管理工具包括CA、Cisco、Symantec、是方電訊、精業、諮安科技等廠商,以下將就這些安全資訊管理解決方案做介紹。
在面對市場上多類型的安全資訊管理工具時,彭紹昌首先談及CA 的 eTrust的『安全資訊管理 (Security Information Management)』,市面上多數的資訊安全系統是透過資安相關的資源及問題警告進行資料的蒐集,每個系統都會以自有方式產生訊息,以不同的檔案格式呈現,且儲存在不同的地點,報表則另外置放在其他位置。如果這種混合式的資安訊息產生方式持續下去,由各種不相容的資安技術不斷地產出資安事件記錄,就會造成資訊的超載情形和難以稽核的慘狀。CA 的eTrust安全資訊管理解決方案能夠協助企業確保控制資訊安全基礎架構,而不是被其控制,更會將來自於不同系統及應用程式等各類訊息,自動轉換成具有意義的分析內容,來協助管理者預防商業營運中斷,並提供推行資安規範時所需的資訊安全相關檢視,因此是更符合人性化的安全資訊管理工具。
Symantec亞太區技術顧問林育民也表示,隨著網路攻擊時間越來越短,提供即時偵測工具將越來越重要,目前Symantec提供「賽門鐵克企業資訊安全架構(SESA,Symantec Enterprise Security Architecture)」和「SSMS管理系統」。SESA企業資訊安全架構可協助企業有效達到以下幾點功能,一是預防潛在網路威脅,透過早期警示機制提供預先防禦、管理建議與回復,以防範可能的突發事件;二是全面掌控安全漏洞與新興網路威脅,透過可自訂的資訊安全智慧層級,有效地掌握新網路威脅與安全漏洞;三是主動捍衛企業資安資產,評估現有的資安產品部署狀況,並衡量未來資安的需求;四是降低風險與營運成本,提升資安機制運作的效率,將原有的資訊安全產品投資發揮最高效益,以減低風險與降低業務營運成本;五是集中式控管,透過中央單一控管來管理企業內所有的資安資產,提供客戶 360 度的全方位安全檢視。至於「SSMS管理系統」是由多個管理原件所組成,企業可依據營運目標的不同,選擇部署符合自身需求的原件,SSMS管理系統主要包含下列三種構成原件:『Symantec Event Manager』:針對特定領域(如防毒、防火牆等),蒐集各家產品的資料,以掌握該領域最完整的事件紀錄。目前可整合的產品包括NAI 的Anti-Virus、Check Point的Firewall。『Symantec Incident Manager』:透過交叉比對,判定蒐集來的事件是否為資安事,能夠明確判定入侵行為,並迅速做出回應與處理。『Symantec Enterprise Security Manager』:安全性政策規範及系統漏洞管理解決方案。
是方電訊涂敬智則強調,是方電訊提供SIMCommander是一個資安事件管理的軟體平台,可以將來自不同設備偵測所得資料進行蒐集、關聯分析、事件優先重要性分析及視覺圖形化呈現。也能自動地將這些雜亂無章的資訊轉換成有意義數據,然後對資安事件做出有用的回應資訊,且經由簡易操作讓所有的事件記錄呈現在單一管理視窗中,更會依照事件嚴重度進行優先處理順序分析,以協助資訊安全管理者或系統管理者有效率且迅速地對嚴重攻擊事件做出快速辨視及回應。因此,企業可以從既有的安全控管資源中釋出更多資源,從事可為企業帶來更多獲利的產值工作。此外,SIMCommander目前已提供全中文化介面3.5.2版本,其功能更包含更人性化的圖形化介面、即時報表功能、攻擊路徑分析、事件處理追蹤流程等,以提供更簡易管理的功能介面來讓資安事件不再是令人望而卻步。
代理Protego的MARS系統的精業公司與近期才引進的Cisco有何看法呢?Cisco業務開發經理賴永城與陳家煌認為, MARS(Mitigation and Response System)威脅輕緩及回應系統可以蒐集各類偵察資訊,再藉由探索每筆對話來做出主動式的關聯分析,稱為Session Based Active Correlation,所以偵測其間若有可疑活動出現,系統就會自動針對受害系統作弱點分析,以確定該可疑活動是否會導致資安事件,如此就可以大量降低假警報發生的可能性,除此之外,MARS是屬於Appliance系統,因此相關安裝、建置都非常簡單,不似其它公司的軟體式資訊安全管理系統,耗時一、兩個月,而這類優點都可減輕監控人員的工作負擔。
陳文權也指出,諮安科技代理ArcSight ESM(Enterprise Security Management)產品為多層式架構,可依企業實際需求,從單一網段到跨區域性皆可彈性部署,並可提供備援機制,具備部署之彈性及後續擴充性。其透過SmartAgent蒐集各設備日誌檔,部署時無須更動企業現有網路架構,並提供自訂過濾功能,以避免不必要之資料佔用儲存空間。也提供頻寬管理功能,可將一定時間內之相同訊息彙整,僅傳出單筆彙整後的資料;或設定高優先權之資料優先傳輸,避免同時間傳輸資料量過大而佔用網路頻寬。Manager收到資料後可針對資料正規化、彙整及SmartRule交叉分析比對,且企業可以建立單位資訊傳輸之設定檔,並據此以資料倉儲之技術針對即時的事件找出其行為特徵是否為威脅或是可疑行為,當然管理人員也可利用瀏覽器連結至Manager,透過簡單易用之操作介面,即時監控資安事件和稽核資安事件處理狀況。
安全資訊管理工具的發展值得眾人期待
為了能有效控制營運成本,企業無法花費龐大的人力、物力來進行所謂的資訊安全小組編制,經常必須仰賴網管人員協助處理資安事件,也由於現階段國內安全監控委外的服務並不成熟,在考量投資報酬問題之際,找到一個管理平台可以輕鬆地進行資安監控顯然已經成為目前資安管理瓶頸的唯一出路。值得慶幸的是,目前安全資訊管理工具的技術已逐漸成熟,且未來仍將隨著攻擊型態來調整安全資訊管理工具的功能性,因此安全資訊管理系統工具的發展成效仍是指日可待的。
陳家煌就認為,屬於網路架構的資訊安全設備已經達到某一成熟階段,下一步就必須建置一個整合性的管理平台,將這些資安設備的事件檔做蒐集與分析,並進一步的做智慧型的比對、判讀事件發生的途徑與脈絡等來協助管理者做進一步的緊急應變處理。而觀察目前資安市場的趨勢,SIM的設備應該會在不久的將來發光發熱,一方面是因為這一類的產品已經趨於成熟,可以支援的設備也趨於多樣化,因此較能符合一般網路資安設備建置,另一方面SIM的觀念也已經普遍為網路與資安的管理者所接受,在買齊所有資安設備後,還是需要一個集中的平台來管理,減少管理每一單點產品時所產生無謂的時間與金錢的浪費。
林育民也指出,有鑑於企業對於IT安全設備的管理需求漸增,多家廠商已相繼推出或代理相關安全資訊管理工具,但賽門鐵克強調,未來安全資訊管理工具的發展方向應具備跨平台、跨廠商、跨產品等特色,因為企業採購IT資安設備的廠牌不盡相同,如何統一管理非單一廠商所提供的資安產品,將成為管理工具最大的挑戰。然而,軟體式的資安管理工具亦會面臨設定較多元件,操作起來較為困難的問題,因此,管理工具未來也有可能朝向硬體化的方向前進,以降低企業IT管理員實際操作管理工具時所面臨的使用困難。林育民依舊重申,基於安全資訊管理工具仍處於發展階段,除了可以考慮採用安全資訊管理系統,中小型企業仍可考慮選擇值得信賴的安全代管廠商(Managed Security Services Provider)委外,因為畢竟不是所有企業都必須投入如此眾多人力、物力和財力去面對此種瞬息萬變的攻擊事件。
後記
涂敬智再三強調,在網路相關攻擊趨勢有增無減的狀況下,未來企業對於資訊安全單點防衛產品的設置必是快速成長,這也將造成資安管理人員更是沉重的負擔,且在有限的資源下,當資訊管理人員專注於重要主機是否遭受攻擊而忙得昏頭轉向之際,對於網路上80%無法攻擊成功的行為,是否需要被處理追蹤,這是可以被討論的,因此如何利用圖形化介面來呈現分析、管理內容,將發現原來簡單、精準、效率是處理資安事件所能產生意想不到的成效。
目前利用各種即時傳訊來自行擴散的病蟲
W95.SoFunny.Worm@m
W32.Aplore@mm
W32.Goner.A@mm
W32.Choke
JS.Menger.Worm
W32.FunnyFiles.Worm
W32.Annoying.Worm
W32.Mylife
W32.Maldal (some versions)
W32.Seesix.Worm
W32.Led@mm
VBS.Msnb.Wor