近來,經常於資安事件處理現場遊走,感覺就像是到了戰地,遍地煙硝。本來以為完美防守的陣地,卻看見指揮官與幕僚抓著頭在燒,都是因為駭客與犯罪集團的入侵,資料外洩所引爆的症候群。站在這裡,好像到了一個曾經有人駐守的戰壕,發現前面部隊所建構的防禦工事不夠完全,或者是虛張聲勢沒實質效用,真正要找問題時,後勤與安控完全使不上力或者根本沒有。但是敵人就在眼前,戰況告急該怎麼辦?舉白旗投降嗎?恐怕敵人沒有這麼仁慈,但是他不殺害會生雞蛋的母雞,只是經常在你不注意時,不留痕跡地將金雞蛋取走雞婆地去問了一下之前的資安廠商,為什麼不建議或實施更完整的防禦工事,或者是有提出建議但是用戶不採納等。
許多答案總歸是在於一個機率問題,用戶覺得這樣的問題不大「可能」會發生,不需要用不對稱的資源及預算去預防這個用戶「認為發生機率小」的威脅。也有人說,「駭客不可能用這種手法攻擊」,因此在對於企業體的個資保護、外洩偵測、事發處置上,通常缺乏一套有效的控制與對策。對於資訊或資安經理人而言,也不樂見此狀況發生在自己身上,但是在專案優先次序的取決下,很容易犧牲了基礎的防禦工事,等到事發之後,焦頭爛額且怎麼做都是吃力不討好的無力感便油然而生。企業主也知道這個風險,卻都在賭機率問題,總是以為不會輪到他。
一場資訊不對稱的賭盤
專業資安廠商與人員隨時都要花時間注意資安威脅的每日發展,而一般企業資安人員是否有這麼多時間和精力去關注問題,答案是不大可能。現在的資安威脅一日數變,已經和幾年前的變化相差甚大,資安威脅來源變得更多、更廣、更快,專業的犯罪組織不斷投入資安黑市,造成嚴重問題。安全威脅一日數變,各種變形木馬隨時都在換,一換之後企業最仰賴的防毒軟體就遲遲偵測不出。最近的URLZone木馬,這麼重大的網銀盜領事件,也是一個星期後主流防毒軟體才全面可以偵測,但是萬一犯罪者心情不好一日數改,這樣防毒還抓得到嗎?
相對的,要防守一個開放式的陣地很困難,尤其是在資訊不對稱的發展趨勢下,你不知道你的敵人在哪邊?有多少人?有多少武器?現有的防禦能否抵擋新式武器與手法的襲擊?所以這是一場必輸的不對稱賭盤,答案是99.9%有機會出問題。剩下0.1%唯一我們知道的是,對手要的是什麼、可能的目標及目的。
資訊資安環境體質總體檢
資安與IT經理人要如何面對這樣的局勢呢?答案是做資訊環境體質改造以及定期巡邏。首先,可以透過簡單的基礎防禦等級自我評估項目(請見資安體檢表)看出企業目前的防禦抵抗力。以上只要六個全部均為「是」,那恭喜你至少具備公認為較佳的資訊安全體質,若是第1、2項有,但是其他項目沒有,就是最基礎的資訊體質,低於此標準,就相對地危險。但是此等級也必須考量企業的資訊環境規模,一般會使用電腦數量來做比較,超過百台電腦者,最好要有不錯的資訊資安體質。如果六個項目都具備,是不是代表高枕無憂而不會有資安事件發生嗎?答案是否定的。因為,貴公司可能還有網站、資料庫、委外廠商與流動在外的行動電腦等重要資訊資產。
第1項是基本的必要需求,一般IT人員與系統開發人員現在大多已經做了基本的修補,但誠如前述攻擊手法的變革疾速,擋得了一時,擋不了下一代變形的攻擊手法。近年發生的大量資料庫注射掛馬即為一實例,許多網站已經具備阻擋基本款攻擊的能力,卻擋不下單向一次的大量掛馬攻擊。
第2項,是否存放重要的敏感資料,決定了網站是否會經常遭受攻擊的命運。台灣線上購物之發達讓人眼紅,重要網路商城變成為歹徒覬覦的首要目標,此項則為衡量企業該投入多少資源的依據。若有存放敏感資料,並且連結資料庫,則應更注意第3、4、5項之評估。使用WAF將攻擊風險與資料外洩風險轉移,是近年來最夯也最亂的市場,隨著攻擊手法的演變,維護WAF的防禦規則也必須跟著進步。第6項乃專門為資料庫安全,著重於特定資料的使用記錄與監控,可以說是最靠近核心資產的一道防線。
對於網站與資料庫之稽核(log)檔案之正確處理,是網站入侵事件調查最重要的線索來源之一,缺此則鮮少能全面確實找出問題。因此也必須要考量駭客將之刪除或變造的可能因素。一般會建議把log檔案定期複製到可以寫入的網路儲存裝置,透過集中管理以及快速檢索查詢工具,或者是用SIEM關聯分析作資安事件的偵測控制。如果必須要從log中找出蛛絲馬跡,則可以利用logparser這一類的工具,幫助處理人員快速檢索出特定時間、特定網頁或特殊的攻擊字串等資訊。
常見的log檔案包含主機安全事件紀錄(eventlog),以Windows作業系統來說有安全事件、系統與應用程式的event log,而unix-based則有登入、例行工作、郵件與系統錯誤等syslog所記錄的資訊。通常還可以搭配防毒記錄,看看事件前後的可疑中毒跡象,往往都會發現經常中毒的電腦,就會是最後問題的來源。再配合檢查網路防禦裝置,如防火牆、入侵偵測的事件記錄,資料庫稽核記錄如果有開啟也是個重要的資訊來源。可是,這麼多log檔案要怎麼看?假設時間和機器運算能力都充足的前提下,一般人的肉眼怎麼可能找出密密麻麻的資料海裡面的一顆沙呢?這就要借助log彙整與事件關聯的引擎,包含快速地搜尋log檔案的機制。
求生不易舉證更難
當今面對的網路犯罪特色就是,來源不確定(很可能是境外)、工具不確定(難以從工具追犯人)、證據不好找且容易被消滅,另外一個就是被害者不容易察覺犯罪正在進行中。似乎完全站在劣勢的企業主,難道就雙手一攤嗎?生意也不用做了嗎?當然不是,看在電子商務每年3成的爆衝成長力道,一定得想出一些可以自保又財源廣進的好方案,這時壓力就全然地落在資訊資安團隊的肩膀上。當企業面臨資安事件的舉證,如何證明「善盡保管與預防」以及「善盡管理責任」呢?
將來面對主管機關之稽查時,應該不只是書面審查而已,勢必會包含技術面的稽核。除了上述之基礎防禦措施之外,在商業流程中所接觸、處理的敏感資料,應該都要有存取記錄與資料分級、人員權責之落實,以及資料庫的存取稽核、資料保存的方式與期限和參考第三方的驗證結果,都會在所謂
技術稽核的範圍中。企業亦可效法實體安全門禁監控的概念,將內部、外部的網路流量通通記錄下來,就像是隨處可見的CCTV錄影機,將來有犯罪與事件發生總有個調查的依據,不啻是一個低成本的保命求生方法。再者,要有定期巡邏的觀念,就像是大樓有警衛,不只在門口管門禁,還要定時定點去巡邏,對於企業資訊資產也要定期巡邏,包含上述的各項影響體質好壞的關鍵點。以下為內部環境持續改進自我評估項目,供企業對於強化資訊資安體質做為參考,安全是持續的過程,稍微鬆散造成最嚴重的結果就是從99掉到0。
1. 企業對於資安意識之強化與人員訓練,人員是資安過程最重要的一環,各項措施的落實都要由人員落實達成。
2. 資安情報定期更新,犯罪手法與武器的進展是不會自動跟您報告的,企業必須要能夠了解到威脅的發展狀況,方可恃吾有以待之。除了各種零時差攻擊、修補更新、犯罪組織目標對象,還包含法規、案例的發展。
3. 資料分級與加密的策略,既然知道最後可能會被偷走的目標,何不將之做更妥善的分級策略,減少接觸面,輔以加密的策略,將可降低遭竊後之衝擊,也善盡敏感資料保管之責。
4. 定期的資安稽核、弱點掃描與滲透測試,問題是不會自己浮現的,資訊資安體質改善了多少、做了多少?可以透過定期的稽核與第三方驗證測試來確認,同時也善盡預防與持續改進之管理責任。此外,資訊安全作業程序與作業權責;重要資訊處理人員是否簽署保密協議;資訊安全管理相關文件及記錄受到適當之保護與管制,也是企業不應忽視的重要項目。最後,如果這些都做了,那發生資安事件的機率還剩多少?答案是可以大幅降低,但仍然不會是零風險。