美國年度資安預算 調查報告

Information Security與TheInfoPro的資安預算調查指出，企業正投入大把鈔票，建構管理系統以符合法規要求。 近年來，大型組織已經開始從單純監控安全，演變為引導與適應各種關鍵科技，將企業安全管理，從混亂逐步導向統治、遵循法規與管理的康莊大道。 Certegy的CISO Wayne Proctor說：「即使要跟上法規的步調是一件煩人的任務，不過我們的確做到了！根據這些法規的要求，逐步導入，還挑不出什麼問題。」「針對這些法規的要求，我們都將其列入管理工作項目中。」 SOX、GLBA、HIPAA、SB 1386、Basel II等法規，已經儼然成為現代企業安全字典上不可或缺的一部分。從SOX實施以來，大型企業就開始加入這場追逐的競賽，不斷地修正安全管理措施、將安全納入公司管理上的要務，以確保資料的完整性、避免安全事件，才不會因為違法的情事，而去蹲苦窯。 符合法規要求只是最基本第一步。許多企業還逐漸要求上下游廠商與服務供應商更緊密地在安全管理上合為一體，落實安控機制確保遵循法令規範避免肇生安全事件。 Certegy是一家信用卡與現金卡的交易處理廠商，當然也面臨SOX法案的嚴格要求，他們將更進一步要求全球6000多家相關的銀行業者，也必須要符合相當程度的安全規範。 「我們有責任完成顧客的需求，例如：加入Visa的驗證網路，完成金流的授權驗證、檢查額度，Visa具有廣大的公信力，當然必須在安全上下不少功夫，所有的服務都透過網路串連起來時，就會開始要求合作廠商在安全管理上必須達到一定的保障。」 企業如何因應這些安全需求呢？在Information Security與TheInfoPro針對財星1000大企業的研究調查報告，不論在哪一個產業中，這些企業所採取的主流科技與導入的計畫，不外乎是安全架構和管理系統兩大範疇。包括：身份管理（identity management）、安全資訊管理（security information management）與增進、確保內部安全架構的企業安全管理系統（enterprise security management systems）。
自我評估
因應SOX與其他安全法規對於安全完整性的需求，表示企業必須清楚記錄誰正在使用你的系統、誰存取了哪一份資料以及這些人對資料作了什麼動作。這倒是引發了科技業者的興致，擴大對於整個身份管理生命週期中，管理與控制的重新詮釋。 安全架構與安全資訊這兩大主題，在今年企業安全管理上佔有同樣的份量，不論在哪一種產業中都具有相當高的優先等級。企業界紛紛從「讓好人可以進入系統、把壞蛋擋在門外」這種傳統的典範，轉移到新的思考層面上，從商業的角度來做到「安全歷程管理」，也就是從使用者獲得權限開始，到順利登出為止，這中間的過程都要準確掌控。 製藥巨人Merck公司的CSO Pamela Fusco說：「我們必須了解系統有哪些用戶，他們在系統上的存取行為是否都有正確的授權與控管。」、「這些授權都必須要經過我簽字才算數，當員工離職時，他的帳號也必須立即停用。」 Merck公司在全球各駐地總計72,000名員工，其系統必須為數十萬的客戶、合約商、研究單位與顧問提供服務，服務、管理與監控所有用戶的存取活動，是其最基本，也最急迫的需求，而這個需求的來源則是為了符合SOX、HIPAA與European Union Data Privacy Act與FDA 21 part 11 privacy rules等規範。 Merck公司的企業安全管理部門擁有20名全職的系統管理者，專職維護身份識別與存取管理工作。聽起來也許有點嚇人，實際上許多大型企業也差不多是這個樣子，Merck公司正迫切尋找一種自動化的密碼重置與管理方案，並且擁有聯邦式身份識別功能與帳號活動監控的應用系統。這些措施的目的就是要符合法規的要求，當然也包括推動更符合成本效益的身份管理，透過化繁為簡的登入程序讓用戶不會產生不知所措的感覺。 Fusco表示：「最大的挑戰在於，如何在可容許的時間內完成身份驗證，以及處理失效的帳號密碼。」、「應該要發展出更流暢、實用的方法，或者是身份管理生命週期可以依循，就不會在身份管理上浪費太多的時間和資源。」 市場上許多身份管理方案，都強調用戶可以在短時間內有很好的適應曲線，但是別忘了這些技術與其相關的程序，在本質上還是挺複雜的。根據我們的研究，高達39%的大型企業，已經採用企業自己的密碼與身份管理系統。另外35%的企業則預計在一年內完成建置。還有一個值得注意的數字，在自動授權管理系統（automated provisioning system），企業則偏愛於單一決解方案，不喜歡不同產品所結合的整合型方案。這些整合型方案，其導入適應期較長，只有大約21%左右的企業選擇採用。 McKesson的安全部門VP Patrick Heim表示：「為了更有效地達到管理目標，施予更多的控管與獲得簡潔的報告，我們在身份識別管理上選擇單一的集中管理方案。」McKesson是一家供應醫療產品的世界級廠商，也是美國排名第十六大企業。「市面上這些產品還是太過於複雜，需要投入許多人力維護，而且在建置初期的投資明顯偏高。因此我們採用中央集控式的身份識別管理程序，達到高度自動化的成本效益，讓企業內稽人員更容易完成任務。」

了解你所面對的風險
在企業能夠充分掌握系統上的用戶與其行為之前，必須要能夠適切地蒐集到這些相關資訊，在企業的系統架構之下到底有哪些狀況，這必須仰賴企業安全管理系統（ESM）與安全資訊管理系統（SIM）相關的安全管理產品，才能夠持續蒐集安全資訊。而企業蒐集這些資料的目的，在於深入分析其面臨的威脅與風險等級，並且透過科技、程序與政策，來減輕威脅發生的機率與降低風險等級。 ZionsBankcorp的CISO Preston Wood說：「我們不可能在尚未摸透新科技前，就貿然導入到管理系統中，你必須要充分了解科技，並且知道怎麼去駕馭它，才能降低發生意外的風險。」該公司提供跨州的銀行交易系統，擁有超過9000名員工與300億美金的資產。 「我們在導入任何風險控管活動時，先決要務就是完全了解面對的是什麼程度的風險與威脅。有幾件工作是必須具備的：監控、建立案件特徵、將資訊矩陣化與勤於管理的責任感。」、「我們現在已經清楚了解，我們的目標以及要為組織帶來什麼價值。這些價值的產生，都是由種種的控制程序中昇華而來。」 針對SIM與ESM產品而言，一般都具有相當高的適應能力與學習曲線。約30%的大型企業已經部署SIM產品，亦有25%的企業採用ESM產品。未來12～18個月內準備導入SIM與ESM產品的也高達33%與23%。 SIM與ESM系統，就是將入侵偵測系統的事件記錄，轉換為即時的事件關聯分析與即時監控工具，讓企業安全管理可以獲得一個更深入的剖析、了解在企業網路中到底發生什麼事件。這些產品都可以從任何法規所期望的角度與層面切入，取出適當的資料、偵測出粗糙的程序或異常的系統行為。 應用系統的稽核工具，是符合法律規範要求的必要項目之一，在這方面的成長速度顯然還在適應階段。只有接近一半的受訪企業已經使用應用系統稽核工具，18%的企業計畫在年底之前採用，同時還有7%的企業打算在18個月之內完成導入。 科技與程序的結合，是任何風險管理符合法規要求的成功關鍵因素。企業所需要的是一套系統可以提供它們即時、正確，甚至是可作為打官司的證據，讓企業在安全管理上採取矯正措施以符合法律規範。ZionBankCorp使用資訊蒐集工具，評估企業安全等級，並且採取矯正措施。而這是程序上的管理活動而不僅是技術面的進步，必須符合SOX與GLBA等銀行業者必須遵循的法律。 「我們不希望大家把法規當作是消防演習一樣，應該要使其成為日常作業程序的一部分。」

確保企業安全架構
David Giambruno說：「還記得2003年八月，Blaster網路蠕蟲讓內部電腦成為攻擊來源，網路安全策略從強化邊界安全對抗外來威脅轉而建構內部防禦工事。」他是Pitney Bowes公司安全與科技策略的主管。在法律的規範下，企業被要求必須對個人電腦、行動辦公平台加強安全管理，並投入更多精神去管理與監控。 Giambruno所提到的，正好說明了資料關聯技術已經成為新的資安監控典範。將分散於企業內部的安全資訊，從防火牆、IDS/IPS、防毒軟體、伺服器與個人電腦集中處理，把這些分散的資訊合而為一。Pitney Bowes透過ESM與SIM等安全管理工具，將每天數以百萬計的事件記錄，經過關聯分析之後轉化為符合企業網路架構的有用情報，並以圖表方式展現企業面臨的風險等級與消弭風險的建議。 「我們每天要處理近五千萬筆記錄，只要指定哪些資料是要進關聯引擎的，剩下就是自動化處理的過程，每當我要開始做事之前，就先讓它執行。最後得到都是有用的資訊，而非原始資料。我現在要做的就是看紅燈、黃燈、還是綠燈，以及閱讀本日的處理報告。」 上述功能都是透過「資安儀表板（dashboards）」，協助企業處理事件關聯、產生簡易報表與指出企業安全狀態。在Information Security與TheInfoPro的研究報告中，發現有27%的企業已經採用資安儀表板，還有23%的企業已經計畫在18個月內導入。 建置完整的安全資訊系統與資安儀表板，是企業推動自動化處理資安警訊、弱點掃瞄、組態管理與修補更新管理的基礎工具。研究報告指出，受訪企業已經在導入這安全科技上砸下大量的預算。 修補更新管理產品的部分，76%的企業已經完成導入，剩下20%左右的企業預計在18個月內建置。弱點評估管理系統部分，67%的企業已經開始使用，而其他21%的企業計畫在2006年之前採用。 Giambruno表示：「要維護企業資安的不二法門，就是保持系統及時更新，並且透過安全管理系統隨時掌握狀況。」