https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

資訊安全主管 不能坐以待斃

2009 / 08 / 28
MARCIA SAVAGE 翻譯 ■ 張孟秋
資訊安全主管 不能坐以待斃
為了讓企業資訊安全狀態更具能見度,並讓法規遵循更平順,不妨想像一下安全資訊管理系統(SIM)能夠為您做些什麼?

  您是否對企業網路大量產生的安全記錄與資訊感到不知所措?身為資訊安全主管不能坐以待斃,當您專注地看著來自不同來源且數量龐大的日誌檔,很難有時間去理解其內容,無法清楚地了解到目前企業網路的安全狀態。

  這正是為何我們需要安全事件管理( SEM,Security Event Management ) 與安全資訊管理( SIM,SecurityInformation Management)越來越受到重視的原因。概括來說,這些系統可自動地辨識、處理日誌檔,將事件狀態正規化之後儲存,接著透過關聯引擎,幫助產生有用的報表、發出警告並保存證據。一旦您定義出哪些狀況是重要的,以及企業安全管理的目標,SIM將可以幫助您實現。

  在這個講究法規遵循的年代,組織需要對於網路、系統與應用程式的動態增加額外的可見度,法規則是推動SIM的最大驅動力之一。Gartner分析師 Amrit Williams表示:「許多聯邦稽核員到公司抽查,要求企業必須長時間地記錄並監控這些資料。」

  但使用SIM並非單純的事,Current Analysis公司的分析師Andrew Braunberg表示:「它們需要定期檢視與修正。」首先,需要定義企業所需的流程,接著,必須決定在營運上使用哪種科技-硬體式或軟體式,採用代理程式或不使用代理程式,哪一種方案才最適合您的環境呢?SIM最初期的預算支出通常是25~50萬美金,公司每一年必須再花費45,000~175,000美金好讓SIM的維運順暢,Williams表示。

  假使SIM被有效地執行後,企業安全性將大幅提高,滿足聯邦稽核員與高級主管的期望,減少很多會讓安全經理人頭痛的事情,這就算是物超所值了。

[案例分析#1] 稽核員的最佳拍檔

  Interval International公司正在運作一個全球性的假期交換網路(vacation exchange network),這是在本世紀中快速成長的一個領域,該公司增加了超過一倍的員工,目前已經擁有2,000名員工,並且繼續擴展它的電子商務運作,其產生的結果是擁有一個執行各式各樣作業系統機器的極度複雜網路,和多如牛毛的安全裝置。

  位於美國弗羅里達州邁阿密市的I n t e r v a l公司是一家專門處理度假別墅分享交易的公司,資安長Sasan Hamidi表示,對這種複雜網路而言,該公司僅擁有兩名全職的資訊安全員工,以及一些兼職員工,想要採用手動式監控是件行不通的事,公司需要一種可以針對安全事件監控的自動化系統。

  此外,Interval不再是一家小公司,已從以前的私人公司,成為目前大型公開上市公司的一部分(約在三年前,IAC/InterActiveCorp將其併購),所以它要能夠符合像是沙賓法案的規定,須能夠進行自動化的日誌檔管理以供稽核之用。

  因為要說服高層管理者採納安全管理專案是件苦差事,Hamidi專注在安全資訊管理科技所帶來的稽核效益,以便能得到經費,他計算了Interval公司花費在聘僱外包廠商來協助篩選日誌檔,以及建立程序與報告,以供內部稽核員審查所需花費的金額。

  他說:「我們理解到就算沒有任何額外的資源來管理安全資訊管理環境,如果我們沒有安全資訊管理系統,我們將會為此花費更多的金錢。」   

  公司評估了三家供應商,並因為某些原因選擇了netForensics,供應商的nFX Open Security Platform(開放安全平台)幾乎支援Interval異質環境中各形式的產品。此外,netForensics樂意與Interval一起為尚未支援的產品開發代理程式。

  當另一家供應商對另一個非代理程式的技術做出承諾時,Hamidi坦白,他對於這個選擇是不是正確的目標並沒有信心。

  「原則上認為我們使用代理程式或非代理程式並不是那麼重要,我們最在意的是該如何為我們所有裝置之日誌檔與安全事件的管理上,能夠做到最廣泛的佈署。」

  這些系統包括Novell、Unix、Windows與Solaris伺服器,一台AS/400、Cisco路由器與主控端架構的IDS、Juniper與Check Point防火牆與Sourcefire的NIDS。

  安全資訊管理系統的報告能力,可讓Hamidi的小組輕易地對他們所建立的控制點提供稽核軌跡記錄。舉例來說,他們可以調出每週誰登錄到重要的Solaris伺服器的報告,並對其中任何差異之處進行檢查。

  Hamidi表示:「在這之前,這是一件非常痛苦的事,我們必須有人去經歷這些事情,手動地檢查所有伺服器日誌檔,或是到日誌檔伺服器依主機名稱進行搜尋。」安全資訊管理系統,讓Interval可以快速地偵測出外包廠商帶進網路並受到感染的個人電腦。

  Hamidi表示,無論如何,管理相關技術會是一種挑戰,包括挑出不正確的事物,來自公司企業運作中心的技術人員能夠減輕全職員工的負擔,他補充說,然而,沒有一套安全資訊管理系統可以替代4倍或5倍的資源,完成安全管理所需的一切。

  Hamidi對這個專案感到很滿意,如果可以再來一次,將會在研究階段投入更多的資訊科技小組人力,就算是安全小組無法完全了解安全資訊管理系統對事業有何協助,也可以依賴其他的資訊科技員工來實行科技。

  他說:「可以將這些人帶進來,讓他們做一部分的研究, 便能更夠參與的更深入,如此一來, 就可以在買進產品之後,把推廣工作做得更好。」

Sasan Hamidi 智慧箴言
·取得支援異質環境的能力
·專注稽核效益以爭取經費
·在專案研究中投入其他的IT經費

[案例分析 #2]久病成良醫-如何成功建置SIM

  在沙賓法案與SAS 70開始被稽核後,T. Rowe Price公司資安小組便處於槍林彈雨之中,他們發現旗下投資管理公司可能因為無法管理安全事件日誌,而得到不好的評等。

  資深網路安全工程師David Maas僅花了60天便讓系統就定位,其下屬很快速地研究SIM產品,並將候選名單縮減到四個產品,那時已經沒有時間可逐一進行測試,因此他們選擇了一家廠商承諾可提供易於管理的方案,在稽核其間設備運作良好,順利通過稽核的難關,但該設備並未實踐其當初天花亂墜的承諾,管理與設定都令人相當地痛苦。

  歷經一年痛苦經驗之後,T. Rowe Price決定要與ArcSight公司有一個新的開始,公司打算採用軟體架構的解決方案,從Check Point防火牆與Blue Coat代理伺服器這類主要的安全設備中蒐集日誌檔,並逐步地加入更多系統,包括Cisco路由器、Windows系統設備與Juniper防火牆。

  Maas表示:「雖然我們已經進行大規模改造,卻仍需不斷地學習,這是一套要求相當高的系統。」

  這家位於美國巴爾的摩(Baltimore)的公司增加一位專職工程師到網路安全小組之中,目前總共4位成員,以便全職地與ArcSight系統一起工作,產生報表、調整代理程式,並解決所發生的任何問題。

  暫時拋開學習曲線這個因素不談,SIM可以同時協助稽核與管理安全前設備,管理員可以每個月、每週或每天地回報所有可蒐集到的資料,舉例來說,報告可以詳細到一週內有多少個使用者帳號被刪除,Maas表示這便是稽核員想要的訊息。

  報告可以提供稽核員與高階管理者以視覺化方式,呈現環境中所發生的情況Maas表示,「我們以前從來沒有過這種東西。」

  集中處理各設備上蒐集到安全事件的訊息,安全資訊管理系統可讓T. Rowe Price建立出事件的關聯性並觸發警報,它也可以幫助安全小組進行分析工作,像是追蹤工作站受到感染的狀況。

  Maas表示:「它允許我做很多資料分析並集中整合,而不須親自地到每台桌上型電腦、伺服器或代理伺服器上檢查日誌檔,明顯地節省了很多時間。」

  這個系統讓防火牆的維護上更為容易,工程師可以看到防火牆使用了哪些規則,如果某個規則已經很久沒有被使用,便可以將這個規則移除,這可以增進防火牆的效能,也證明防火牆的確可以稽核到公司內部的安全設備。

  T. Rowe Price的ArcSight部署是由四個裝置所組成:一個執行ArcSight Manager,一個執行搭配有連結磁碟陣列的Oracle資料庫,以及兩個採用Windows作業系統並安裝了代理程式的伺服器,以便從系統中搬出事件資料,此外還有直接執行代理程式的獨立系統。對於Blue Coat的裝置,日誌檔則是透過FTP來進行蒐集。

  有了來自ArcSight安全工程師的協助,佈署工作得以成功,並節省了相當多的時間,但是Maas馬上理解到數兆百萬位元組的儲存容量並不足夠,有一些專案必須要重新規劃設計。

  此後,T. Rowe Price計畫拓展安全資訊管理系統,以便從更多設備中蒐集資料,像是從IBM Tivoli Access Manager蒐集資料。Ma a s也意識到這個擴充動作似乎意味著要增加更多人員,然而,一旦公司實行更多關聯性規則到安全資訊管理系統之中來觸動警報,工作人員只需監控更少量日誌檔。

David Maas 智慧箴言
·評估硬體式及軟體式解決方案
·聘僱全職的工程師負責管理部署
·考慮儲存的需求

[案例分析 #3]警報與分析

  在美國海軍網路防衛維運指揮中心(NCDOC, Navy Cyber Defense Operations Command)的操作者,專門忙於監督美國海軍電腦網路,透過偵測器發掘任何可能的攻擊,但是額外的網路與偵測器也將會產生堆積如山的資料。

  NCDOC的技術總監Jim Granger表示:「它已經遠遠地超過人們用手工方式可處理的範疇。」

  中心決定需要採購一套系統來管理所有的安全事件資料,並選定來自 e-Security公司的軟體解決方案(Novell於2006年4月併購了e-Security公司),並在後端結合SAS公司的資料倉儲。

  Granger表示:「e-Security提供我們接近即時的前端系統,以便蒐集多樣化的異質資料來源,並可提供即刻的行動警報給我們的觀察員。我們可以從e-Security所蒐集到的資料送到後端的SAS資料倉儲之中,以便進行長期的趨勢分析。」

  佈署初期啟動了一個前導專案,稱之為Mobius,在擴充到全線運作的系統規模時, 現在稱之為Prometheus。e-Security起初是沿著一些防火牆與路由器的IPSes網路蒐集事件資料,但是NCDOC計畫放入更多的設備,像是弱點掃描器,以及主控端的安全系統。

  Granger表示,我們現在有一個150TB容量的SAN(儲存區域網路),Prometheus可讓NCDOC來分析幾乎無限制的資料容量,以便探索「低速且緩慢(low and slow)」這類可能的網路攻擊提出警告。

  當工具已經被證明是有用的,他相信無論是水手還是平民都能夠成功地使用它,NCDOC與來自e-Security與SAS的工程師密切地共同工作,已發展出一套有效的系統。

  在整合過程中,e-Security的事件追蹤系統更是不可或缺的一員,Granger表示:「許多早期的安全資訊管理科技直接將所有偵測器資訊放到同一個管理畫面中」,但實際上,您更需要長期追蹤事件的狀態,然後儲存這些資料並製作索引,以便您能夠在數個月或數年之後,還能夠找到這些資料。」

Jim Granger 智慧箴言
·依賴互動式的開發流程
·使用資料倉儲做長期分析
·部署具有彈性的代理程式

[案例分析 #4]安全資訊管理的威力

  擁有約1 , 2 0 0 萬名居民的加拿大安大略市( O n t a r i o ) , 仰賴著獨立電力系統營運商(IESO, Independent Electricity System Operator)的電源,來維護在網路安全上的重大需求。

  保持高度安全威脅危機意識至關重要,該組織想擁有一個能夠自動地蒐集、分析、報告,及將網路安全設備產出的事件資料有效彙整的設備,另外一個驅動力量則是來自北美電力可靠度委員會(NERC, NorthAmerican Electric Reliability Council)所建議的安全稽核需求。

  在負責管理安大略市電力系統的非營利I E S O擔任「安全小氣鬼(security curmudgeon)」的David Lewis表示:「稽核員有一個簡單易懂的口號:『如果沒有寫下來,那就不算數。』」

  擁有考古學背景的Lewis開始四處挖掘任何關於SIM的相關訊息,從表列的13家供應商之中,快速地排除掉一些太過昂貴的系統,然後審查產品功能,最終選擇了Network Intelligence公司的enVision設備。

  非代理程式特色是該產品能夠雀屏中選的重要因素,Lewis表示:「這些日子裡,讓我們極端痛苦的事情之一便是代理程式氾濫成災,這些代理程式不斷地為入侵偵測、防火牆推出各種更新程式,我終於忍受不住地說:『到底有完沒完啊!』」

  其次,就是設備操作的便利性,其他供應商提供擁有類似價格的解決方案,但採用軟體式架構,因此IESO需要增加一點成本來採購硬體。Lewis表示:「它看起來是有點不太實際,但我想要的是一台只要丟東西進去的設備,然後它就會幫我完成所有的工作。」

  事實上,他很驚訝它的小組會如此快速地完成設備的佈署,因為它有一個網頁式的管理介面,IESO的員工幾乎可以隨處地輕鬆管理設備。

  許多安全資訊管理產品則需要很多的「細心呵護」,Lewis表示:「您必須花費許多資源全心全意地照顧這些『怪獸』,維護代理程式以及系統設置。」

  在SIM安裝之後,IESO現在符合NERC對其安全基礎設施稽核需求,「我們能夠展示我們所蒐集到的日誌檔,讓稽核員能夠對其進行檢視。」

  透過IT技術盡可能地提供即時安全警訊,Lewis表示,enVision的儀表板在發生一些狀況時,可讓網路操作人員能夠快速地看到,並對其做出反應。

  在這之前,該組織是使用一台系統日誌伺服器來蒐集日誌檔,「痛苦不堪」是Lewis對這個過程的最佳描述。

  Network Intelligence預先建立的報告格式可讓IESO能夠產生各式各樣的報告,舉例來說,防火牆的警訊可讓組織找出不適當的防火牆規則變更。

  Lewis對安全資訊管理系統的唯一遺憾,就是一開始未規劃足夠的儲存設備,起初只是針對符合法規遵循為目的,雖然初估在2012年之前仍然夠用,但未來仍將計劃做更多的投資。

David Lewis 智慧箴言
·避免「代理程式氾濫成災」
·考慮設備的易用程度
·購買更多的儲存設備

代理程式 vs. 非代理程式的作業方法

  雖然Windows對應用程式擁有通用的登錄系統,但是將日誌檔輸入到安全資訊系統並非其原先就具備的功能,想要匯出日誌檔資訊,您需要給安全資訊管理系統足夠的權限,透過現有的API調出日誌檔,或是增加代理程式來將日誌檔從Windows系統中送到安全資訊系統之中。

  對一些網路管理者來說,採用非代理程式「調出資料」,可以克服許多先天限制:不需要在系統中安裝軟體,然而,採用調出策略,日誌檔資訊通常會受到Windows Event Log(事件日誌)的限制,此外,要提供安全資訊管理系統足夠的憑證來蒐集日誌檔將會令人感到窘困,但是侵入式的安裝模式,仍然是其強大吸引力的所在。

  在安裝代理程式之後,SIM便能夠擁有最新的日誌檔,並依據代理程式的程式設計,提供更多樣化的效能與安全資訊,供應商選擇使用系統日誌做為共通的通訊協定,代理程式能夠簡單地將Windows Event Log的內容轉換系統日誌,透過撰寫客製化代理程式取得更詳細的資訊,完成更多複雜的功能。當然,這並非互相牴觸的,在同一個安全資訊管理系統中,您可以選擇在伺服器這系統中安裝代理程式,然後在一般用戶電腦上使用非代理程式的「調用」技術。

SIM購物清單,讓您一次到位

購買安全資訊管理系統之前,有六點需要考慮:

1. 系統該如何蒐集與儲存資料?
2. 商業規則又該如何描述?
3. 安全資訊管理系統允許做出主動反應嗎?
4. 它的法庭證據力是什麼?
5. 安全資訊管理系統能夠支援資料保存需求嗎?
6. 它能夠產生有用的報告嗎?

安全資訊管理系統與儲存

  在您購買安全資訊管理系統之前,決定儲存空間需求可參考以下項目。其中兩個關鍵因素是有多少設備需要將資料回報給安全資訊管理系統,以及貴公司的資料保存政策。

  市場行銷資深與商業開發副總裁S t e v e S o m m e r表示,ArcSight在許多案例中發現,客戶通常會低估了對儲存設備的需求,因為最終他們都會比原先的規劃送入更多設備的資料到安全資訊管理系統之中。

  儲存需求也會依據公司想要保存資料多少天、幾週或幾個月,以及他們計劃將如何保存這些資料。

  Sommer提出一些問題:「他們想要蒐集每個單一事件與日誌檔,或是想過濾掉一些與公司或安全無關的資料?這些都是影響儲存需求的因素。」

  netForensics的系統工程總監Sunil Rath預估500 MB的硬碟空間將可以儲存大約100萬筆安全事件,他認為無論如何儲存需求都將會與客戶的保存政策與設備的訊息容量有關。

  美國國家標準與科技協會(NIST, National Institute of Standards and Technology)最近發表了公司安全日誌檔管理準則SP800-92,Sommer表示這將對業界有所幫助,這份文件包括了管理長期資料儲存的準則。

-MARCIA SAVAGE