https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

全面檢視企業弱點

2006 / 01 / 16
DIANA KELLEY & ED MOYLE
全面檢視企業弱點

資產識別
我們無法控管我們所不知道的東西。如果目前處在企業網路之中,還有裝置和機器是未經管理、沒有在維護,或者是無法追蹤的,這倒是一併處理的好機會。而我們要掌控的設備,可以是尚在運作或是正處在實驗室中的機器,也可以是在自身網路內漫遊的機器,或是被蓄意隱藏在NAT設備身後的裝置也行,還可以是交由廠商所維護管理的機器,亦或是任何「難搞」及無法掌握的設備。
此時,資產識別工具就派上用場了。運用這些工具,我們可以掃描整個網路環境,並從回報之中,得到機器相關的詳細資料-不過,同樣會有我們所預料和出人意表的情況發生。這些掃描工具,可以是裝在某台機器上的代理程式,也就是單機型的,不然就是使用網路型的掃描器。我們無須登入系統就可以利用工具來進行掃描-即未經允許的掃描類型(uncredentialed scan)-這些掃描方式,不是使用一般的網路偵察技術(例如:判斷作業系統版本或是由歡迎畫面來斷定系統的類型),就是採取比較溫和無害的弱點掃描手段。
就因為機器上所安裝的任何軟體都會引發漏洞危機,所以相關於此設備所能獲取的資料,當然是愈多愈好。故作業系統的版本資料、修補程度,和其所安裝的軟體,還有組態設定,或是被指派的角色,所有有用的資料都可以包含在此次的識別程序之中!
當部署感應器或掃描裝置時,我們要將網路架構列入考慮:注意到交換器、路由器和防火牆的位置,以確保我們進行掃描時不會有任何死角。還有,千萬別漏掉那些可以跟網路扯上邊的設備,像是傳真機和印表機等。

抽絲剝繭
現在有趣的問題來了:去找出裝置之間的關聯性和連結點!沒有這層認知,你所擁有的,不過是一堆機器所組成的清單罷了。搞不好在知道這些機器怎樣協同工作之後,我們還會有更深刻體認:就像一個偶發事件所產生的回應訊息,這種類型的資料可以協助我們了解受害機器上的蠕蟲到底是如何複製繁衍的?還有蠕蟲在事發現場是怎樣侵入得手的?
在這裡,找出設備之間的關聯性絕對是關鍵所在!所以,我們可以將自身網路上每個裝置所獲得的各類資料彙整起來,諸如軟體的記錄檔,還有系統的記錄檔、回報記錄(traps)和警告訊息;而運用找尋關聯性的工具,更可以協助管理者來追蹤設備之間的依存關係。為確保有正確無誤的比對樣本,所蒐集到的資料必須為常態性或是具有可分析性的,接著再將其轉化成標準的格式才行。到這裡為止,遊戲規則都是在於確認設備之間的關聯性和可能造成的因果關係上面打轉,因此也讓我們可以對於自身網路的弱點有更深一層的認識。
簡而言之,讓所收集到的資料時時刻刻保持最新,並加以組織和集中管理!另外,一項可以讓資訊集中和警訊管理的安全資訊管理(SIM , Security Information Management)/安全事件管理(SEM , Security Event Management)工具,則是達成這個目標的好幫手。所以,如果能善用資源,像是主機式監控工具、記錄檔彙整工具,以及時序同步工具、入侵偵測系統(IDS , Intrusion Detection System)/入侵防衛系統(IPS , Intrusion Prevention System)報告跟政策/組態設定儲藏庫等工具,會讓從不同網路中所蒐集到、儲存的資料,還有將其建立索引的過程,變得簡單又有效率!

驗證真確性
不是每一篇貼在Bugtraq上的文章就是所有造成災難的原因,平均來說,大概每天都會找到8個左右的弱點漏洞。如果要試著一一處理每個被發現的弱點,那無疑是浪費時間和精力,因為實際上只有一小部分的弱點會真正影響到企業本身。就拿幾個例子來講,AIX的弱點漏洞對於沒有使用AIX系統的企業,根本不是問題;IIS漏洞也不會影響到全是跑Apache和Tomcat服務的公司。即使弱點是出現在已部署的軟體和作業系統上,影響所及,也只是未經修補,和啟動某特定服務的機器而已,而非全部的對象。
那麼從何得知什麼弱點會影響到自身網路?而什麼又不會呢?其實,癥結就在驗證弱點的真確性!驗證性工具可以確認何項網路設備是否真的有危機?並且將弱點資料過濾簡化至重點清單中,以利決定何者是值得我們處理的弱點漏洞。驗證就是將弱點清單上的資料,與現實網路環境作比對。要是剛好與企業所部署的部分吻合,那麼,此項弱點就該被明確標示出來,並且請管理人員來處理,否則,就無須理會!

矯正作業
接著,下一步就是矯正作業,以便讓有漏洞缺陷的機器可以從威脅之中脫離出來。至於實施的方式,就要依弱點而有所不同。一般說來,矯正作業要包括漏洞修補套用、變更應用軟體,或是更新裝置組態設定,另外,還有增加過濾機制,如使用防火牆,或者加設VLAN來防範,甚至針對缺陷機器,還可採用任何其他隔離的技術來限制其流量。不過,在使用矯正工具時,要注意所採取的矯正層級。舉例來說,像部署有潛藏衝突的修補程式之前,是否在重點裝置上有作過設定檔的回溯測試?而什麼樣子的修補流程,還需要先說服目前尚參與此維護作業的小組人員才能進行?再談談稽核,如果確保每項自動化動作都有經過稽核手續的話,那麼,未來在除錯時,此舉將會十分有用。

停、看、聽
準備好要買弱點管理工具了嗎?下定論之前,先確定是否已有條不紊地備妥計畫。企業部署VM解決方案,就好比是跳傘者一般,可不想在往下跳的半途中才發覺有一條繩索不管用,那結局當然是只有一個「慘」字來形容了。 首先,是否有顧慮到在使用自動化掃描工具前,得先說服受測系統擁有者的同意?因為總是會有不恰當的掃描作業,導致系統出事而停擺的狀況。如此一來,非但沒有成全VM的美意,而且還大打折扣。
建立起管理制度,並為系統中的資料及流程指派適當人選。企業內的系統大多應該是獨立分散的,但是這些系統的管理卻仍舊像是垂直或階層式的架構。請提前決定,系統是集中式,或是分散式,還是委任式的控管。以小型企業為例,如果掌控系統的能力在有限的情況下,可直接下達指示的話,我想,他們比較會傾向使用集中式的系統。請記得,在採購任何產品之前才是說服的良機!如果沒有管治制度,也無清楚明確的職責劃分及他人的認同,那麼弱點管理只不過是在唱高調。
在早期階段就規劃要如何運用VM的資料。例如,我們可以決定事件發生時處理的優先順序為何?所以當數千台機器身陷危機時,慌亂和沈著應付的不同就在於有無良好定義的優先權策略,而優先權則要取決於設備每一分錢的價值、還有IP及其PR值,另外,再加上設備停擺時企業的連帶損失,或者是矯正作業所花上的時間長短。
接著,還要對環境、網路架構、技術相關和作業方面作出評估。例如,必須決定連線穩定度是否為需求?了解什麼東西是可供再利用的?矩陣化資料如何運用?做什麼會持續有成效?最後還有,誰掌管系統的什麼部分?
也請牢記一點:任何類型的掃描過程將會影響部分網路效能!通常情況是,想獲得的資料愈齊全,所付出的代價也就愈高。舉例來說,如果以ping指令來掃查整個網路環境和主機,那麼,所受的影響就相當地小,但是,卻也僅能獲得很少量的資料。就另一方面來說,使用眾多高效能的代理程式雖可獲得更細部的資料,但對整體網路和伺服主機的影響卻大很多。部分其他的掃描技術,諸如一些未經允許、會主動找尋網路漏洞的掃描,這些工具甚至在某些情況底下,更是會讓系統一下子崩潰的!
就因為廠商賣給企業的是一般性的商品和服務,所以我們必須自己挑選彈性夠的產品,以便更適合地用在個別性的企業流程裡。因此,要是這些VM工具無法有效檢查自身的工作流程,那麼,我們不會知道在指派時的責任歸屬對象可能有問題,或者直到稽核時,才會發現因這些隱匿活動而丟下去的錢坑真面目。例如,一個程序是這樣子的:作業系統的修補程式在部署到整個企業環境前,會先在QA(Quality Assurance)實驗室裡先行測試一番。儘管修補工作是在QA實驗室裡頭進行,可是VM工具仍提出「弱點完全沒修補」的警告,這樣,就會誤導矩陣化的資料,並且也會建立無用的訊息。
想一下VM工具可能會為你帶來的矩陣化資料為何?將資料矩陣化有助於追尋企業的安全狀況。例如,我們可以查看主機在組態設定政策上所遵守的程度,也可以了解,在企業網路中尚有漏洞的系統數量有多少?還有,要花多久的時間來修補這些威脅?而矩陣化資料在討預算上顯得特別有用,此舉也幫助量化系統的ROI(投資報酬率,Return on Investment),並且提供資源配置的有用資料。
雖然如此,將一切矩陣化並非仙丹妙藥。它們可以提供有關網路環境之中的明確資料,也告知我們目前環境狀況為何?隨時間的變化環境又會有何改變?但是,要讓它有用的話,就必須確定我們所追尋的東西是有用,且跟已知的事物是有相關聯的。

有效使用並量化VM資料
儘可能的在現存技術之中取得平衡,因為這不僅省時,也提升解決方案的執行效率。像現存的財產清單追蹤系統(ITS, Inventory Tracking System)可以提供最初的資產列表,而採購系統(Procurement System)可以保持財產清單的最新狀態,另外,軟體版本工具則可以提供主機安裝何種軟體的最新資料。只要整合現存的工作流程,VM便可以取得最新最多的系統資料量。例如,VM可以修補作業的部署工作流程,並且在遭遇問題時,馬上進行事件回應程序。
最後,設立內部系統量測解決方案的效能,不論系統運行是否有如預期,使用較務實的矩陣化方式來進行追蹤。注意矩陣化上所提供的環境資料,像是有跟著政策走的裝置所佔用的比例為何?已達最佳修補等級的比例又為何?為讓系統能更臻完美,把反應程序效率的矩陣化資料也納進來吧!例如,像是修補機器設備的速度可達多快?定期量測這些數據,以協助設備改善狀況。再者,精簡矩陣資料以作為資訊面板(dashboard)的輸入參數,好輸出執行層面相關報告!
不過,真的沒有一個解決方案是可以完全辦好所有事。當然,廠商喜好解決特定部分的技術-VM管理中的資產識別、找尋關聯性、驗證真確性和矯正作業等功能。雖然每一步都相當艱難,但卻都是至要關鍵!一家企業,假若不知道自己部署了哪些東西?得先經過資產識別這道手續,也不能追蹤到某裝置的狀態-得經過找尋設備關聯這道手續,那麼,在要驗證真確性時,必定會發生錯誤,而錯誤則會增加支出並置企業於險境之中。聰明地結合多樣技術來滿足特殊的VM目的,是可以幫忙達到企業複雜的需求!
VM的成功關鍵始於健全的基礎。循規蹈矩所建立的完好政策、程序和處理優先順序,以及管治制度則是VM的基石,而非只是靠VM工具來取代!
本文作者Diana Kelley & Ed Moyle 為自由作家,如有任何建議或是指教,歡迎來信至iseditor@asmag.com

補強措施:到底什麼是實際可行的?
讓我們面對現實吧!因為遭駭客入侵真的是相當地惱人。我想,沒人喜歡花時間去稽核,當然更不用提那版本控制的蠢事。就是這樣,所以當廠商一提出只需「移動滑鼠,接著點選,然後套用」的解決方案時,你認為,還有任何事會比這更令人動心的嗎?知名企業有沙賓法案(SOX, Sarbanes-Oxley)可以遵循,在金融界則有所謂的金融服務法(GLBA, Gramm-Leach-Bliley Act)解決之道,另外,聯邦機構證券則可按美國聯邦資訊處理標準(FIPS, Federal Information Processing Standards)系列之中擇其一或選擇外加的模組。這聽起來是不錯,但實際的作業情形又是一回事。
但十分不巧地,這兒並沒有像滑鼠一樣有「拖-拉」方式的補救之道。一般的規章上頭並無詳細地定出實施尺度到那兒?舉例,像是沙賓法案(404.a.2)中部份所述:「對於發行公司在財務報告上,作出內部管控架構及實施流程的評估」 講雖然是這樣講,但是此舉需要包含財務報告流程中的所有系統-從傳統大型主機到會計部門所用的Excel試算表,有時甚至還要包含委外的IT部門。所以,沒有廠商能確確實實提供整套的解決方案,來保證非自動化程序的效力。
然而,這也不是說廠商無法提出補救辦法!通常那些可以提供系統資訊面板用在流程報告,監控系統活動和違反公司政策上的資料,也就給予相當強有力的補救價值。其實,這也因為一旦企業決定何者有所貢獻價值,它絕對會去處理這些毫無效率的地方,所以,在推動及精簡自動化上所獲得的效果,就會是一項重大的勝利。這些地方的改進不僅可幫助達到符合現存法規,而且也同樣守護企業順應未來趨勢。就像系統資訊面板的出現,不僅加快了稽核的速度,也提振管理人員的信心一樣。