美國CSI 2008四大議題重現

今年的議題除了部分法規面的題材外，web2.0、資料安全和虛擬化的安全都是重要的討論內容。

　　2008 CSI(Computer Security Institute)美國年會已於12月21日圓滿落幕，本年度的年會在美國政治中心華盛頓哥倫比亞特區舉辦，地點選在National Harbor旁的度假飯店內舉行。

　　CSI是以防守為出發點的資安研討會，整個議題涵蓋相當廣泛，包含了管理面、技術面到法規面的探討。會議由主席Robert Richardson根據當天的研討內容做引言，並請一些知名的廠商參與座談。在研討會的議程上，同一時段會有9個議題在不同的會議廳中舉行，如果想多了解不同的主題，只能發揮趕場功力，連跑好幾個場次。研討會的另一個活動就是參與資安廠商的展覽，各大資安廠商無不利用這次的機會，與與會者交流一些新的技術。本次活動贊助的廠商也不乏幾家資安的大廠，但可能受到景氣的影響，參展的廠商和人數較去年略減。

　　11月17日～11月19日是主要研討會的時間。整體而言，今年的議題除了部分法規面的題材，web2.0、資料安全和虛擬化的安全都是重要的討論內容，除此之外還包含了身分識別、事件與記錄的管理、安全的架構設計部分也都是今年談論的重點。另外有幾個場次談到攻擊手法的運用和目前可見的威脅，像Global Denial of service的攻擊趨勢、wireless的弱點威脅、Man-in-the-Browser的攻擊手法等。NAC的安全性和手持載具的資料安全也在幾個場次中被提及，顯示端點防護和智慧型手機的問題，都是未來值得關注的焦點。由於同一個時段場次太多，筆者無法一一聆聽每場的演說，只能就所聽的幾個場次和每天的座談內容，做一整理，讓大家了解今年在CSI資安年會上所著重的幾個重點。

CSI精彩議題

虛擬化

　　虛擬化的話題在今年的討論中著墨頗多，今年這個議題不斷的在業界發燒，隨著微軟推出的HyperV，VMware的ESX的架構，大家似乎摩拳擦掌準備投入虛擬化的行列。許多急於導入的單位往往只看到成本的降低與提高機器使用率上，但在虛擬機器的管理方式和安全性上的考量也不可欠缺。以往一台機器上只有一個系統存在，導入虛擬化後，一台機器同時存在3到5個系統，一旦實體的機器發生問題時，所影響的層面已不只是單一的系統；此外，多個系統的網路流量同時透過一張網卡，當一個系統遭受攻擊的時候，其他的系統也間接遭受到影響，這些都是導入虛擬化時應該要思考的問題。

　　近來針對虛擬機器的惡意程式不斷增加；過去的虛擬機器都是建構在作業系統之上與硬體做溝通。因此有些惡意程式可以利用這些特點，在虛擬機器不開機的狀態下直接感染，等到虛擬機器一開機，即可能發生資料被盜或是系統遭到毀壞。目前已經有多家廠商針對VM的掃毒提出新的功能，在虛擬機器不開機的狀態下完成掃毒的工作，減低這些惡意程式的危害。

　　虛擬化的夢想雖然一步一步往前踏出，但是相關的安全機制配套絕不可小覷。這都意味著企業一旦決定往虛擬化的腳步前進時，須有全面性的思考，才能真的享有虛擬化後所帶來好處。避免未受其利，而先蒙受其害。

企業資料安全

　　企業資料的安全是這1～2年的熱門話題，企業內部資料的產出到流向以及如何被監控、如何防止外洩都是企業相當關注的問題，因為它關係到一個企業的生存。過去的企業隨著資料量不斷的增加，為了資訊或是資料的管理，開始有了ILM、DLM的觀念出現。但隨著越來越多的企業出現資料外洩與入侵事件，除了資料的週期性管理外，如何確保這些資料妥善被保存變成企業的另一項課題。一項新的調查中顯示，明年有大部分的企業對於DLP的導入意願很高，但由於市場上DLP的解決方案非常多，企業必須先清楚自己的需求，再來談導入，而不是一窩蜂隨著市場起舞。

Web 2.0

　　Web 2.0這個已經談論好多年的話題，依舊是今年的重點之一。現存網路上大量的網頁存在了許多的漏洞，這些網頁程式的漏洞已經成為駭客最愛的攻擊方式之一。許多知名的網站都被植入惡意的程式碼，讓使用者一旦連上該網站，馬上遭到後門植入。會中提到今年頒佈的支付卡行業資料安全標準（PCI-DSS）新的版本中，增加了第6.6條這個項目，主要就是為了減低公眾的Web應用程式所面臨的威脅。規範中要求必須透過手動或自動使用程式漏洞安全評估工具或方法檢查這些對外的Web應用程式，或在Web應用程式前端安裝Web應用程式防火牆，至少擇一來建置。

　　從這個新的規範顯示逐年惡化的上網問題，一直未能獲得改善，但隨著各項服務都轉變成Web形式後，Web應用程式的安全性就必須被高度看待。雖然針對這個議題所提出的解決方式也不外乎是程式碼的檢測和WAF的建置，但若要企業逐步修改過去所撰寫的網頁程式，所耗費的時間和人力勢必對企業而言是一個困擾。就短期上的效益來看，黑箱與白箱的同時檢測，是比較有效的防堵方式。但在長期上，企業對於網頁程式的開發，需建立起標準的開發流程與檢測機制，才能開發出安全的網頁程式供使用者使用。

　　但Web的安全不僅僅只有網頁程式本身，另一個令人關注的議題則是瀏覽器本身的安全問題。駭客利用使用者上網時透過這些重大的漏洞入侵個人電腦，藉此竊取相關的個人資料。會中不斷呼籲各個瀏覽器的開發公司能提升瀏覽器本身的安全性；尤其最近IE7.0不斷報出Zero-day的攻擊，各地陸續傳出入侵災情，Firefox和Chrome也公布幾個重大的漏洞，雖然部分企業購買的IPS可以針對這方面的攻擊，提供較為快速的反應，但一般的使用者幾乎無法招架，紛紛中箭倒地；這都需仰賴開發商來修補這些漏洞。一旦開發商無法即時提供修補的方式，所造成的傷害將無法計數，因此使用者必須要求軟體開發商盡到更多的責任來捍衛這樣的資安問題，針對已知的問題提出立即性的解決方案。

NAC

　　Trusted computing的研討內容中指出，目前的端點防護大致上可分為思科主導的NAC、微軟的NAP和TCG組織所推行的TNC，這3項技術有很大的相似性；除了帳密的驗證，連入的主機還須符合制定好的安全策略，才能進到受保護的網路中，如不符合將被隔離到另外的網段，待完成相關的修正才能在轉到被保護的網路。以目前的發展來看，NAC和NAP已經有很多的整合，而TNC的優勢在於它是開放的架構，都有各自的擁護者，讓企業很難做選擇。除了這幾家大廠各自發展的標準外，還有眾多驗證的標準和需要支援的硬體，都讓企業在選擇導入端點防護多了些難度。

　　然而現行的NAC機制中存在了很多的漏洞，這些漏洞將使得原本的端點防護變得不夠完善；由於TPM晶片逐步的普及化，將TPM與NAC、NAP的機制整合，將可彌補目前端點安全上的不足。此外，NAC的機制多半控制在每台PC上安裝的Agent，一旦Agent遭到綁架，端點防護的工作將可能功虧一簣；網路上已經出現針對NAC Agent而來的惡意軟體，藉此崩解整個端點防護的機制，不可不防。現行的NAC機制中，針對手機載具、PDA或是linux Base的設備，多半不在端點檢查的防護中，如何做好適當的網段隔離，避免因為這些設備的問題，而影響到受保護的使用者，這都必須在規劃初期，將這些問題做好周延的考慮。

　　以上是筆者針對幾個比較大的議題做一說明，讓大家了解今年度CSI在資訊安全上的重點，希望能有助於企業或是個人針對明年資安上的規劃和發展，找到一個方向。同時明年度CSI 2009研討會已經宣告將於2009年10月份在華盛頓DC舉行，希望對資安方面有興趣並想提昇自我資安能量的人，能有機會一起來參與這一場年度的資安盛事。