https://newera17031.activehosted.com/index.php?action=social&chash=19de10adbaa1b2ee13f77f679fa1483a.2906&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=19de10adbaa1b2ee13f77f679fa1483a.2906&nosocial=1

觀點

為企業資安把脈 用戶端&身分識別安全篇

2009 / 09 / 11
左恩燦
為企業資安把脈 用戶端&身分識別安全篇
  當資訊安全攻擊和風險從網路外部移轉至用戶端與內部人員時,企業最在意擔心的事就是無法控制這種風險與威脅。

  員工可能會為了方便,私接無線網路,也不知不覺的把威脅帶入門;公司裡現在個人電腦、無線網路存取點,到底有多少個端點?誰在網路上?存取什麼資料?企業都清楚嗎?越來越多的PDA、智慧型手機、IM工具等,使用狀況已在企業的掌控下嗎?

  過去企業只要建置防火牆,就可以把大部分的攻擊擋在外面,但現階段威脅已轉換到企業內部;開放的網路架構讓人員可方便的存取到資料,然後輕易帶走,甚至將資料外賣,導致企業嚴重損失;或是因為人員認知不足,盲目的執行危險程式,將威脅帶到企業中,然後在內部發病;駭客已不需使用太高的工具技術也能達到破壞和利益上的目的。這些情形都說明著用戶端安全處於高風險。

  如果用戶端安全防護充滿漏洞,或使用者再沒有建立安全的電腦使用行為,那麼後端和傳輸過程做的儘管嚴謹,窗戶不關的話,無論再多加幾把鎖恐怕也是徒勞。

  「指喻」─發於至微,終為大患,企業應如何管理這些看似不關痛癢的小疾,以免痛至心膂,方知病重求醫?先來檢視企業在用戶端與身分識別安全上常見的徵兆。

企業需求現場

  透過《資安人》雜誌「企業資安需求調查」,我們把用戶端安全界定在防毒、防間諜軟體、個人防火牆、上網安全,以及存取權限控制範圍,來看看企業用戶實際上遭遇的問題。問卷題目包括:「企業內部用戶端安全議題上,長期困擾且難以解決的問題」、「成功推動用戶端安全管理最關鍵的因素」、「如何解決現階段用戶端安全管理的問題」、「需求採購的優先順序」等,直擊企業用戶的需求面。

調查問卷顯示

1. 企業的痛處主要來自於「使用者行為難以建立」,其次是「無適合方案」,而「導入方案後有整合困難」和「高層不夠支持」較為少數。看來科技與產品好處理,人的問題始終是企業最棘手的議題。

2. 目前約兩成五已經導入用戶端安全管理解決方案;而成功推動用戶端安全最關鍵的因素在於教育訓練、高層支持。調查結果亦顯示,企業主管對用戶端安全的重視程度頗高,可喜!

3. 最多企業會透過「找顧問與系統整合廠商」與「添購設備產品」企圖解決用戶端的安全問題。

4. 添購設備後,尚有哪些難解的問題則包括「管理問題」、「功能不足」,「不穩定」在極少數。

5. 企業的預算編列和採購的重要性順序,依次為防毒、存取權限控制、防間諜軟體、上網安全,最末是個人防火牆。


診斷書

徵兆一

員工帳號密碼未採定期更新;外出時忘了帶資料打電話回來告知同事自己的帳號密碼,請同事開啟電腦;很多人還在使用懶人密碼(使用姓名、生日,或身分證上相關資訊);企業多留一個帳號,讓上下游廠商方便使用,但可能人員離職後,還可以進來看。
分 數  無(0分) 有,輕微(1分) 有,嚴重(2分) 有,很嚴重(3分)

徵兆二

多重系統必須使用好幾個的身分識別方式,工作已相當繁重,一個click都嫌麻煩,導致民怨沸騰;為了避免忘記這麼多登入密碼,乾脆寫在便條紙貼在螢幕上或寫在筆記本。
分 數  無(0分) 有,輕微(1分) 有,嚴重(2分) 有,很嚴重(3分)

徵兆三

有員工把NB帶回家,再進公司後一接上公司內部網路,成為辦公室網路災難的開始,MIS人員忙到焦頭爛額不打緊,還成了眾矢之的、幫兇手背黑鍋。
分 數  無(0分) 有,輕微(1分) 有,嚴重(2分) 有,很嚴重(3分)

徵兆四

防毒軟體抓不到該抓的病毒,反而拖慢系統速度;聽說間諜軟體很嚴重,去下載免費程式來掃描,結果中一堆,難道防毒軟體沒用嗎?
分 數  無(0分) 有,輕微(1分) 有,嚴重(2分) 有,很嚴重(3分)

徵兆五

IM管理始終是個不解之謎,保守派與流行派別相互拉扯,企圖在方便和安全的界線上再多劃分一點版圖,但就算保守派別佔上風,還是有人偷偷使用,而且上班時間打的火熱。
分 數  無(0分) 有,輕微(1分) 有,嚴重(2分) 有,很嚴重(3分)

望聞問切

8-12分 病入膏肓


缺乏用戶端管理是貴公司最大的問題所在,只要用戶數量一多,很容易就造成IT人員在維護上出現瓶頸。如何重新評估、規劃有效的用戶端管理方案,是你迫切需要且必須解決的問題。用戶端管理因為牽涉到「人」的問題層面,因此建議採漸進式,逐步解決單一問題,把問題單純化,按部就班地依照規劃走。

4-7分 需要調養身體

政策規範與宣導不足,雖然有相當的用戶端管理方案,但是在落實執行上面還需要補強。部分管理措施可能無效,如:IM管理、防毒管理與身分識別管理。需要檢視目前作業上的盲點,並且從記錄中找出問題所在。

1-3分 MIS經理換人當都沒關係

難能可貴。用戶端管理及身分識別管理是最複雜、最難以落實的一項任務。請記得持續在稽核上面下功夫,確保用戶端防禦措施能夠落實執行。

處方籤

  用戶端安全隨著市場需求的到位,成長趨勢被看好,許多廠商也開始著重此環節的防護。像是微軟或思科都在推此新觀念─除了網路安全外,更有一個嚴重的漏洞來自用戶端安全。其中身分識別管理的需求,特別是在金融、高科技產業、IP業者更為明顯,近來CA組合國際、RSA也因為網路遊戲業的活躍,和引發的盜寶犯罪問題而投入這一塊新市場。

  間諜軟體的隱患不斷增加,像是癌細胞無形中變成了使用者身體的一部分,卻不自知,通常發現時都已是末期。因為間諜程式並非病毒或惡意的程式碼,而是危及隱私的應用程式,隨著使用者下載應用程式的同時,不知不覺地下載到電腦,讓駭客在使用者毫無知覺的情況下取得電腦的控制權。CA組合國際諮詢顧問總監韓文雄表示,台灣目前防毒的成熟度大約有90%,而防間諜軟體的成熟度大約是50%,使用者還需要再強化認知和教育,有了防毒軟體不表示可以擋得了間諜程式。現在,幾家防毒廠商也同時把對間諜軟體的防護,列為新版防毒產品的重點功能,例如McAfee、賽門鐵克及趨勢科技等。

  IM管理首要還是在人員認知建立,再與以工具管理。台灣微軟公司伺服務平台事業部協理史百誠表示,企業需建立企業訊息保全的概念,防範因訊息溝通帶來的問題,例如IM、email管理。個人安全和IT人員或研發人員的安全防護層級不同,對end user來說是很大的方便時,對IT人員來說就會是很大的顧慮。例如,IM的使用是方便的,同時也會有很多漏洞,但漏洞並非全然來自於產品本身的問題,而是使用者本身有意無意的把威脅帶進來,或將資料傳出去。必須透過教育建立安全認知,同時IT人員與以工具管理(例如內容過濾機制、防止IM過程夾帶的病毒等);而站在一個供應商的角度,給end user很多方便的同時,也必須給IT人員相對的工具。

  美商鳳凰科技總經理康迪認為,市場的推動需從法規著眼,而且愈早推動愈好。由於金融業者各家的存取系統都不同,對未來要實施終端安全管制,銀行業在做整合和投資時將會是一大挑戰,對使用者來說也是麻煩。再者,適度的法規更勝於教育宣導,就像騎機車戴安全帽一樣,不戴安全帽的理由也許有一百種,但是戴上安全帽的原因卻只有一種─法令。如國外多是政府主動推廣,對業者強制規範,目的是為了保護消費者,同時也減少金融犯罪和網路犯罪。以美國來說,今年底前銀行業必須完成雙因素認證,以符合FFIEC規範;而新加坡年底網路銀行也必須通過雙因素認證,可預期的馬來西亞、泰國也都將會受到影響。國內雖有推廣但強度不足,期待政府更多的投入,畢竟最終的目的還是在保護消費者。

  Authenex亞洲區策略中心產品經理林伯欣則表示,台灣身分認證市場還在提升的過程未臻成熟,雖然目前token或smart card技術都相當成熟,便利性上也有突破性的改善,但仍少了一股帶動市場的驅動力,這是他們目前在做的。林伯欣同時表示,現在雙因素認證都以符合oath(open authentication organization)平台的標準去做,這將有利於未來市場的整合,也是目前的趨勢。

  網際威信股份有限公司安控產品處協理周芳冠表示,今年可說是用戶端安全的爆發期,目前除了針對大型企業提供整體的解決方案外,也將發展個人資料保護產品。而企業在導入用戶端安全解決方案時,則常遇到整合上的問題,包括技術面、政策面和制度面,企業主和使用者需要一段適應期,畢竟多了一個安全就是多了一個程序,對使用來說就多了一個排擠。因此,除了教育外,在開發產品時必須儘可能的站在end user的角度思考。

  買安全如同買保險概念,除了人壽險還要加上醫療險、防癌險?,才能提高防範複雜多變的意外和風險。以整個資安的角度來看,買了用戶端安全產品也不代表就是安全,因為安全的確是一層層的堆疊保護上去的,了解企業的弱點和實際需求來對症下藥,對症下藥後還得身體力行、準時吃藥,才是維持強健體魄的根本之道。


藥引(相關產品/方案)

修補更新管理(patch management)

  由於安全弱點會讓攻擊者、病毒或各種網路安全威脅傷害電腦。因此廠商會確認這些存在於其軟體中的安全弱點,並且發行相對應的修正檔(patch),使用者需有隨時下載修補更新的觀念和習慣,才可有效降低電腦受到攻擊或病毒感染的機會。

用戶權限管理

1. 單點登入(SSO, Single SignOn),讓公司內部使用者或出差在外的使用者,存取網路資源時,在單一驗證的基礎上,有效存取已被授權的網路資源。

2. 雙因素認證( Two-Factor Authentication),身分認證有三個要素:第一個是指所知道的內容:需要使用者記憶的身分認證內容,如密碼、身分證號碼;第二是所擁有的物品:使用者擁有的特殊認證加強機制,例如動態密碼卡、IC卡、磁卡等;第三是所具備的特徵:使用者本身擁有的惟一特徵,例如指紋、瞳孔、聲音等。把前兩種要素結合起來的身分認證的方法就是雙因素認證。

3. Token,可在電腦或是網路上用來辨識個人身分,且可隨身攜帶的硬體裝置。

4. SSL-VPN,利用 SSL 傳輸加密協定建構 VPN,相較於 IPSec 繁瑣的設定,SSL-VPN可以透過用戶端網頁瀏覽器建構安全的傳輸通道。