買了各種網路安全設備,還是沒辦法確保安全嗎?當新的攻擊模式一出現,最先遭殃就是負責外部安全的網路安全設備,當企業為了確保不受攻擊,花了大錢買齊防火牆、IDS、IPS、VPN等設備之後,就能高枕無憂嗎?
隨著攻擊手法越趨複雜,單一的網路安全設備不再能滿足需求,然購買了一層又一層的網路安全設備後,資訊人員能保證對每種設備都能瞭若指掌嗎?能輕易的對所產生的警訊加以解讀嗎?
企業需求現場 本問卷針對企業網路安全維運負責人進行調查研究,從「企業網路安全管理最頭痛的問題」到「網路安全需求採購優先順序」,藉此對企業現行網路安全管理狀態進行瞭解研究。
問卷調查顯示
1. 企業如何解決現階段網路安全管理問題呢?不出意料之外,對於網路安全管理還是添購設備/產品最能夠解決問題,其次是找顧問協助作整體規劃、診斷問題所在。
2. 如同年初所進行的UTM 產品調查結果,這次問卷調查仍然顯示,在UTM產品上用戶主要還是採用外商大廠,如Cisco、Juniper Networks、Fortinet為主的方案,而國產UTM佔相對少量。另外,八成五以上的受訪者表示,現有方案已經可以解決企業在網路安全管理上的問題。且對於產品的滿意度平均分佈在普通和很滿意兩個選項。顯見在網路安全產品上,已具備一定的水準,而未來的市場將會更小、更激烈。
3. 未來採購的優先次序為IDS/IPS、反垃圾郵件、防毒牆,而正規防火牆配備則不到最高值的一半,因為打算採購上,高優先順序的企業,通常已經買了防火牆,或者打算直接購買多功能的UTM設備。
藥引(相關產品/方案)SIM(Security Information Management)
安全資訊管理,透過統整所有安全設備所產出的訊息,將企業內防火牆、IDS、IPS、VPN等設備的襍log進行關聯分析,產生出統整過後正確性相對提昇的報告,加上視覺化的管理介面,可以協助管理者看出企業網路發生的問題與趨勢變化。
SOC(Security Operation Center)
安全維運中心,不論自建或委外,透過24 X 7 的專人輪班監控,比SIM更進階的關聯分析引擎,可以看出區域性的資安趨勢,堪稱為資安的氣象台。
診斷書
徵兆一
企業已購買了防火牆、IDS、IPS、Anti-SPAM及防毒牆,但沒人可管,只要安全政策一經修改,即牽一髮動全身!
分 數 無(0分) 有,輕微(1分) 有,嚴重(2分) 有,很嚴重(3分)
徵兆二
處理不完的假警報!常收到告警訊息(Alert),但是找了半天,仍找不出問題或攻擊來源。
分 數 無(0分) 有,輕微(1分) 有,嚴重(2分) 有,很嚴重(3分)
徵兆三
如何檢測網路設備的規則(Rules)是正確的?自從防火牆買回來之後,就再也沒有人去設定或管理了,直到有一天檢調單位來函通知,才知道自己被入侵了!
分 數 無(0分) 有,輕微(1分) 有,嚴重(2分) 有,很嚴重(3分)
徵兆四
應用層的攻擊已成為主流,傳統的防火牆好像失效,但是內容過濾設備效能又不夠好!常常出現意料外的資安事件。
分 數 無(0分) 有,輕微(1分) 有,嚴重(2分) 有,很嚴重(3分)
|
| 望聞問切 |
8-12分 病入膏肓
應該要重新檢視企業網路安全的防禦架構,找出問題的來源。相對於無人看管的設備,要找出該負責的人或者考慮委外。避免空有設備無人看管的情況。 |
4-7分 需要調養身體
當你每天有處理不完的入侵假警報,表示你被網路管理了,而非管理網路。第一、先檢視規則的設定是否符合現狀,修改調整為最有效與準確的版本,例如:公司內只有Windows平台,因此針對Unix平台的規則可以先Disable。第二、個人能力的提升,透過課程或自學增加處理類似事件所需的能力。 |
1-3分 MIS經理換人當都沒關係
安全是沒有百分百的,這句話是資安的第一定律。當你覺得一切都風平浪靜時,表示你沒有看到真正的問題所在,或者網路安全防禦措施失效,告警與報表未定期產生送到正確的人手上。 |
處方籤
很多企業認為在採購網路安全設備之後,最重要的問題還是在於管理,以及調配適當的人力來維護。專職的網路安全管理人員,佔所有IT人員約一成六,對於台灣以中小型企業居多的特質來說,已經是蠻高的比例。
在IDC 2006年資安市場預測報告中,UTM將會迎頭趕上,或者是取代傳統防火牆產品的市場,相對的企業用戶對於UTM效能問題迄今還是沒有一個滿意的答案,除非採購比需求高一級的產品,才能夠在不影響整體網路效能的狀況下,持續為安全把關。
相對於法規、資安問題層出不窮、政府產業推動,約有六成廠商認為市場需求到位與市場成熟度、行銷包裝才是台灣資安市場的驅動力。對於法規、資安問題層出不窮、政府產業推動不足等根因,是否已經彈性疲乏,對整個資安界來說這是個危險的訊號! |