更新修補管理是一個無止境的挑戰。不論是兩三個IT人員的小企業,或上至財星一千大企業,都在追尋資訊系統的投資與成本的平衡點,包括維護系統、準確提供及時的資訊及勤於更新與修補系統弱點,在資產面臨系統弱點威脅時,能夠以最快的速度補上漏洞,避免重要資產暴露在高風險之中。 未經過測試的更新檔是系統安全的潛在殺手。弱點評估與掃瞄程式的結果並非百分之百正確。更新的過程也會因為種種因素而中斷或失敗。 針對這些可能發生的問題,Information Security雜誌向各家自動化更新修補管理廠商下戰帖,以一家中型企業的需求角度切入,包括廣佈各地的分公司與衛星辦公室,高度分散式網路環境、數以百計的行動式工作者及IT人力不足導致工作超載等狀況,要求廠商回應徵求建議書(RFP)中的各需求項目,提出解決更新修補不夠及時,導致系統遭受惡意程式攻擊的解決方案。 在評選方面,針對我們的虛擬情境作為標的,評選廠商所提出的解決方案是否合宜、提案時的陳述與表現夠不夠說服力,最後我們評選出七家更新修補產品廠商。包括:BigFix、Citadel Security Software、Configuresoft、Everdream、PatchLink、St. Bernard Software與Shavlik Technologies。由四位資安專家組成的審議小組,針對各家建議書進行分析與評分。
BigFix
BigFix提出相當簡潔的建議書,文中詳細描述其解決方案的各項功能,並且逐一針對我們的需求指出因應的措施。BigFix Enterprise Suite(BES)是該方案中建議採用的產品。其獨到之處,在於提供企業一個更新修補部署的狀態圖,讓管理者了解目前更新檔案部署的進度。 BES採用以代理人為基礎的架構,具有相當大的彈性,而且依賴非常簡短的訊息作為代理人程式與系統間溝通的媒介,這種資料格式稱為fixlets,大小僅1KB。不要小看這短短的訊息,它幾乎可以傳遞所有必要的資訊,包括更新狀態、弱點資訊、設定組態資訊與註冊機碼等。同時也可包含各種排程、執行相關指令,在伺服器與代理人程式間控制其活動與任務分派。 在本研究中所虛擬出來的Windows環境裡,這種彈性化的設計看似沒有什麼特別,其實不然。我們所關注的焦點在於更新修補上,而大多數的系統弱點則肇因於設定上的失誤或未設定,fixlet這項技術正好補足這些系統設定的脆弱點。BES還支援企業中比較舊的作業系統,像是Windows 9.x及NT系列。 BigFix的建議書中指出了我們最頭痛的問題:管理與更新數量頗多的小型衛星辦公室與行動工作平台。它們採用BES Relay Servers,部署在三個主要的辦公室,藉由分流的方式減輕整個自動更新修補的流量負擔。透過這三個分流點,儲存更新套件以及處理系統間的通訊。在節省頻寬與時間上,採政策性地調節流量瓶頸,行動辦公人員的電腦在離線時就先行蒐集必要的資訊,等到連上網路時就不必再浪費時間在等待蒐集更新資訊,也可以直接進行必要的更新修補動作。 BigFix安裝於用戶端的代理人程式,可以幫你自動評估更新前後的系統狀態,以及是否已經將漏洞補上。幫助企業減輕在弱點評估、更新後驗證與重複更新工作上所耗費的資源與時間,讓長期以來企業最頭痛的問題獲得改善。 值得一提的是,BES還提供自行包裝各種客製化更新套件的功能。對我們的虛擬企業而言,在Windows作業平台上,仍有許多人力資源、財務與各種企業賴以生存的商用軟體,必須透過這種功能進行定期的更新與修補。
Citadel
Citadel所提出的方案中針對我們的需求,採用其Hercules解決方案。但是對於產品如何部署講的不夠詳細,使我們對這個方案留下一個不夠完整的印象。在收到最終版的建議書之前,Citadel很貼心地先寄出一份5頁的型錄與公司簡介,而且其送出建議書的速度也是最快的。 在這七家廠商中,Citadel是唯一一家採用其他公司的弱點評估產品,強調支援Nessus與多數知名的商用弱點掃瞄產品。利用這些產品,對系統與裝置進行弱點掃瞄,結合廣佈於用戶端與伺服器的代理程式,歸納出矯正措施。Hercules能夠從各種裝置與弱點掃瞄系統中,彙整分析所有的資料,解決資料格式間不一致的問題,同時也可以提高來自不同弱點掃瞄系統報告的正確性。 這邊指出了一個問題,就是對我們公司而言,擁有為數不少的分公司與小型衛星辦公室,因此必須仰賴弱點掃瞄系統來輔助更新修補管理,而Citadel公司則建議對遠端辦公室進行弱點掃瞄,不過對我們的虛擬企業來說,這似乎不夠實際。 Citadel的建議書中,對於安裝於用戶端的代理人程式交代不夠清楚,僅簡單描述後就直接切入主題。直到我們在研究「符合性檢驗(compliance checking)」這個問題時,才再度提到代理人程式。符合性檢驗就是利用簡短的script指令,檢驗該電腦的更新狀態,及是否需要作任何更新與矯正的措施。 不過Citadel還有一項吸引人的產品──ConnectGuard是用戶端的安全組件,不過要擁有它得額外付錢買。然而,對我們的虛擬企業而言,絕對是必備的項目。因為這項產品可以檢驗遠端與衛星辦公室的電腦,在它們要加入公司網路之前,就驗證其更新與弱點是否完成修補,確認之後才能進入網路。而之前提到的BigFix,其作法就必須透過代理人程式,在用戶連上網路時向伺服器回報更新狀態,接著才自動進行更新修補活動。 像BigFix、Configuresoft與Hercules這一類產品,可以提供大範圍的更新矯正,譬如說電腦的組態設定、檢查未授權的服務、不安全的帳號。不過這些功能都必須依賴AssetGuard這一類資訊資產盤點工具,負責蒐集各種企業網路上的裝置資訊,並且儲存相關的更新狀態訊息,當然,這是要額外購買的。
Configuresoft
Configuresoft的建議書中特別強調其Enterprise Configuration Manager(ECM)與Security Update Manager(SUM)套件,主要功能為組態管理與自動化更新修補管理,及兩者合而為一,達成企業整體性弱點管理。美中不足的是,Configuresoft的更新修補管理建議書內容,整體來說還算切題,但是無法有效地滿足我們所提出的需求。 嚴格來說,Configuresoft在建議書中似乎打造出自己的需求,從我們的RFP衍生出其他的需求項目,在某些程度上,這些建議在打造整體資安環境上是有用的,但對我們而言都是Configuresoft自己去定義出這些問題,然後襯托強調出自己方案的強項。 正如上述的問題,Configuresoft與多數的廠商,提供我們一個不夠實際的計畫,留下太多假設性空間,讓我們得多一點想像力,才能知道這些方案可以如何解決我們的需求。 Configuresoft的用戶端代理人程式,透過資料庫整合資訊,在完成安全政策設定與自動化更新修補上,能夠發揮驚人的彈性。ECM讓管理者可以針對各種應用系統,自行創造出各種客製化的範本,自動完成評估與修補的工作。更進一步,可以將各種裝置依照功能或屬性分類,以因應大型組織複雜的網路架構與多如牛毛的設備。 針對行動辦公者與衛星辦公室這個問題,Configuresoft的方案有點雜亂無章,在建議書中提到的更新發佈點,聽起來有點像是在本地端作檔案的快取,以減輕網路的頻寬,但是實際上要如何作,以及其真正的意涵就沒有交代清楚。在這方面如果能夠根據我們的需求去量身打造加上幾張架構圖來闡釋,對我們會更有幫助。 Configuresoft採用DCOM技術來實作用戶端的代理人程式,鑑於DCOM本身在通訊上的弱點,Configuresoft以AES加密HTTPS通道來彌補通訊上的弱點。
Everdream
Everdream更新修補管理方案獨樹一格,與其他廠商不同的是,他所提出的方案是完整的代管服務。一般來說,自動化更新修補產品有很高的投資報酬率,但是資安委外代管,可解決管理者長久以來的頭痛問題,也是頗吸引人的方案。我們必須權衡,採納代管服務必須交出部分的控制權,也就是要找可以信賴的代管廠商。 專家經過評估之後表示,對於我們所虛擬出來的小企業而言,不失為一個可實行的選擇,但是對於大型組織而言則有待商榷。根據Everdream建議書中提到的參考客戶案例,其架構為分散於26國、40000台以上電腦的環境,強調Everdream具備中大型組織的代管能力。 不過Everdream還是沒有被評為最佳的方案。因為在建議書中,常常可以看到它們強調『我們可以做到…』等字眼,而很少提到針對需求的建議以及詳細的作法為何。 它們的服務必須在用戶端安裝一個代理人程式,登入到Everdream的安控中心,每天進行更新資訊的檢查。更新修補有兩種可選用的方案,第一種是透過Everdream預先測試過的更新套件進行修補,另一種則是透過標準的SUS部署更新套件,而後者讓客戶端擁有較高的本地端控制權,可自行管理與測試更新套件。 在Everdream的建議書中未提及如何偵測與驗證更新套件,而且宣稱其用戶端的代理人程式僅需要56K撥接的頻寬,不過也沒有明確指出真正實際的頻寬需求。在遠端與衛星辦公室的問題上,沒有太多著墨,因此我們也無法從建議書中了解Everdream打算如何解決這個問題。 Everdream亦提供軟體更新套件客製化的功能,不過必須另外收費,可以採用月繳或者依次計價。而其用戶端不支援Windows 9.x系列,全功能掃瞄也僅限定於XP平台。
PatchLink
PatchLink送來一份完整的建議書,並針對我們的需求提出一套特別的架構。文中詳細描述PATCHLINK UPDATE如何達到我們的需求,並且清楚地展示出其確實可行,但如果有一張描述整個方案的架構圖會更好。 PATCHLINK UPDATE也是一套以代理人為基礎的產品,當用戶端有新的事件,包括安裝新軟體、病毒碼更新等,就會將這些訊息傳給伺服器。DPF(Digital Patch Fingerprinting)是PATCHLINK用來驗證更新套件的方案,包含檔案大小、版本、更動日期、CRC檢查、數位簽章與註冊機碼等非常嚴謹的檢查與驗證項目。不過這倒也產生了另一個瓶頸,就是在本公司分散式的環境下,要正確無誤地驗證並安裝好所有更新套件,是很費時的。 基於這個問題,PatchLink的回答令人印象深刻。他建議每10個分區辦公室就建立一個更新套件的派送點,由中央伺服器負責這些派送點的套件控管。用戶端的代理人程式會自動向派送點詢問是否有更新,可以確保這些裝置在連上網路之後立即獲得最新版的更新套件。 很明顯地,PatchLink針對更新套件發佈前的驗證測試方法,是各家建議書中寫的最為詳盡的。在我們的RFP中也提到必須針對更新套件進行驗證的需求,因為測試各種應用系統更新套件對IT人員來說,可是一件沈重的負擔。大多數廠商都宣稱在更新套件派送之前,都會經過一定程序的測試,而PatchLink更指出每一個更新套件,都要經由合格的工程人員在超過250種硬體組態、作業平台與應用系統下測試。保證不會釋出有瑕疵的更新檔。而每一個更新套件中也有文件記錄詳細的測試結果。 PATCHLINK UPDATE還繼續支援Windows 9.x系統,而且在客製更新套件上,有許多彈性的選項。
St. Bernard
St. Bernard的建議書內容大致上還算不錯,詳細說明了其UpdateEXPERT的運作架構與方法。除此之外,對本公司而言,其他部分還是不能完全滿足RFP中的需求。 St. Bernard的方案中,不論是否採用代理人程式均可,對一般企業而言提供了真正的彈性,行動員工與衛星辦公室的裝置適合採用代理人程式。代理人程式可以在電腦連上網路時就馬上進行更新修補。針對遠端與衛星辦公室的問題,St. Bernard與大多數廠商一樣,建議採取分群組分流的方式,甚至可以整合目錄服務(AD),解決更新派送與頻寬的問題。 UpdateEXPERT比較不同的一點,它的管理介面是不必因為用戶端擴充而加收版權費用的,而且包含在最基本的方案中,對我們公司的分散式環境而言,無異是個划算的選擇。 在各家廠商中,St. Bernard是唯一可以提供所有新的更新檔,在釋出的24小時內,就能夠提供該更新相關服務的公司。完全符合我們RFP中可用性項目的要求,其實這根本就是把廠商推入火坑嚴苛條件,一般廠商僅在SLA中對於「危險級」的更新,提供在24小時內釋出的服務。 St. Bernard的SecurityEXPERT工具,可提供大範圍的組態管理功能,已經包含在UpdateEXPERT系統中。在RFP中最主要的更新修補管理問題,St. Bernard因為有了SecurityEXPERT,已經取得比其他廠商更多的優勢,而且建議書中也不止一次「順帶一提」的談到SecurityEXPERT的優秀功能。 如果沒有採用代理人機制,則用戶端與伺服器之間通訊就必須仰賴RPC協定,看到這邊專家們也頗感興趣,因為St. Bernard利用Blowfish演算法加密所有RPC通訊內容。 我們將持續追蹤這份建議書中的議題,包括St. Bernard提供兩種不同的技術與SecurityEXPERT功能,了解其最新的發展狀況。
Shavlik Technologies
Shavlik Technologies送來建議書顯得與眾不同。Shavlik在描述其HFNetchkPro產品上,下了很大的功夫,對於HFNetchkPro的功能面與特色均交代的很清楚,已經遠遠地超乎我們所需。Shavlik同時也提出兩種不同的更新修補管理方案:中央集中管理式與分散式管理。 此外,Shavlik卻沒有試圖從我們RFP角度,針對每項需求去討論其產品架構是否能夠符合我們的需求,包括RFP中對於環境的描述、重要的關鍵點等。因此,我們就必須針對其建議書,逐項挑出符合RFP中的各項需求項目。 Shavlik與St. Bernard一樣,提供可採用或不採用代理人程式的彈性空間。其代理人機制,其實就是hfnetchk.exe的本地端程式,在登入網路時會與伺服器聯繫,取得最新的與該電腦缺少的更新套件。HFNetchkPro是這幾套系統中,唯一在代理人程式中具備自動頻寬管理功能的,對分散式環境而言,具有加分的效果。 不過Shavlik所提出的兩種架構似乎無法整合的很好。兩者都具備本地儲存更新套件的快取功能,可減輕網路流量,但是每個區域中的用戶端,都需要與分區伺服器進行通訊與獨立的管理介面,而未採用代理人程式的用戶,必須透過人工分組,而採用代理人程式的用戶,則會被動態地自動分組。 令我們憂心的是Shavlik不對更新套件進行各種平台上的檢驗,測試是否會產生衝突。它們認為,只要是微軟公佈的就有足夠的可信賴度。 專家普遍對於未採用代理人程式的技術抱有安全上的疑慮。本地端的派送伺服器可以使用UNC來指定電腦名稱,但是卻使得系統更容易因此遭到蠕蟲、病毒以透過檔案分享的弱點進行攻擊。再者,這樣的模式下,使用Windows管理帳號登入到各用戶端,表示身份鑑別的資訊可能會以明文的方式傳遞或雜湊值容易遭到暴力破解。
發人省思的實驗
整體來說,我們對於多數廠商無法真實切題地反應RFP中的需求感到失望。多數的建議書可能是從以往專案的範本所改編的,像是我們在網路上填了一些表格後,所拿到的產品型錄與說明文件。 然而,要求廠商在建議書中說明與展現其方案、技術的優缺點,與真實世界中的狀態相比,著實還有一段距離,跟測試實驗室環境的結果也大大地不同。在多數的建議書中,對於技術架構的說明、文件的品質都還要再琢磨一番。最後,我們從超過20件的建議書中,評選出7家作為代表。其中,BigFix與PatchLink被評選為最符合RFP需求的兩家公司,也是專家們認為經費充足的顧客最有可能採納的方案。 最後,我們不打算推薦任何一種建議方案,因為這些方案是因環境而有不同的成效。但是建議讀者,可以考慮不同的技術與方案,包括委外管理、使用不同公司的掃瞄軟體、代理人機制與結合以上科技的配套措施。總之,以上所提到的方案,都具有一定的優勢,對於潛在的客戶而言更增添了幾種選擇,從中選出能夠減輕更新修補管理重擔的好幫手。