尋找從防禦、側錄到舉證的解決方案
在此我們也探討到目前各種資安防禦、側錄設備,能夠做到的舉證(或與記錄管理類產品整合)程度為何?該不該整合?是否可以達到數位證據同一性?現行又有哪些解決方案可提供?甚至是在採購相關解決方案時,應如何達到未來舉證的擴充性。
過去有不少金融單位採購記錄管理解決方案,其主要原因在於之前詐騙活動猖獗,主管機關針對此提出一些控制措施,要求金融單位需作到存取控制稽核(註),儘管並非強制要求,但有這樣的機制對稽核來說是相當方便且靈活的作法。此外,若為了後來因應個資法的需求,亦有電子商務、網路銀行等產業,將含有大量個人資料檔案的設備或資料庫進行Log的集中管理與監控,但是否要再往下佈署到內部伺服器,在法規尚未有明確標準與成本衡量之間,企業仍多有遲疑。
軌跡資料指的是個人資料在蒐集、處理、利用過程中所產生,非屬於原蒐集的個資本體之衍生資訊,包括(但不限於)資料存取人之代號、存取時間、使用設備代號、網路位址(IP)、經過之網路路徑…等,可用於比對、查證資料存取之適當性。過去的個資法施行細則將個資保護範疇包含了備份及軌跡資料,不過根據消息來源指出,基於企業成本與系統考量等,最新一版的個資法施行細則已不含軌跡資料,也就是說,個資的定義並不包含這些Log資料,已不再要求將軌跡資料當作個資來保護,而主要是將軌跡資料做為將來舉證的材料之一。因此軌跡資料或許不用大規模的全數蒐集,卻必須是被有效的運用。
先從存取控管看舉證
若從舉證的角度來考量,企業必須能夠看到從人、事、時、地、物的內容,來做整理、記錄,甚至是後續的佐證資料,至於如何管控則是遵照企業政策。敦陽科技資深行銷經理汪啟江建議,可以先把人事時地物的存取控管做好,再來做像DLP這種比較詳細的檢查。就如同一棟大樓裡有七、八個出入口,如果要鉅細靡遺的檢查將會耗費過多成本,所以做好存取控制有點像是把出入口限縮且只有員工能出入,這時再來做金屬探測或是檢查出入人員攜帶的內容物,負擔就小了。
存取控制建議大概可分做人、事、時、地、物-
人:例如網路設備都有IP位置可表示,透過微軟AD(Active Directory)與IT設備的整合、認證,就可以知道是誰在使用網路 IP存取記錄,也包括權限的控管,例如哪個帳號可以進入到哪個伺服器。因此在每個人登入後,Log就可以做好集中保存控管,至於是否作事後的關連分析,則又是另外一件事。
事:過去的閘道端設備都是辨識port 80,但現今越來越多商用、娛樂的應用程式、Web mail都必須透過支援第七層應用程式的網路設備辨識出來,不僅是IP位址,而是串連起應用程式與AD,如此便能透過產出記錄去發掘,什麼人正在用什麼樣的應用程式,例如透過E-mail往外傳機敏資料或是到惡意網站去下載惡意程式。
時:注意管制的設備必須與Time Server統一對時,無論是防火牆、IPS等眾多網路設備,產生的Log都會有時間標記,這些設備的傳輸都是以毫秒計,時間誤差即使是幾分鐘,都可能會判定成另外的事件,因此造成關聯分析時的誤差,屆時若需舉證則有公信力問題。
地:有些攻擊流量會從奇怪的地方來,例如一直非業務區塊來的網路流量存取,一樣可從Log來看存取IP、來源IP。
物:傳什麼資料?許多Gateway端設備,如下一世代防火牆大部分都沒有側錄功能,如果傳輸出去的資料有夾檔的話,頂多是記錄到檔名,所以如果有搭配側錄內容的解決方案,則在發生問題時就更可以拿來做為數位鑑識佐證之用。
這些資訊都分散在各個平台上,必須要有個共通平台來看這些資訊,早期會透過網路管理平台或系統管理平台來管理,但這只是設備管理,並沒有辦法看到細節的資訊。若要真正的連動,則必須要看各家SI可以做到什麼程度。並且除了在各式各樣設備之上,日誌管理系統(Log Management, LM)蒐集資料可能需要客製化之外,由於許多IT設備本就是針對系統資訊蒐集資訊,所以LM本身對於個資欄位收集也有缺乏深度的疑慮。
敦陽科技資深行銷經理汪啟江指出,LM若要與相關閘道側錄設備整合可能需要客製化,看各家SI可做到甚麼程度。
DLP不只可防禦也可提供舉證
若要符合現階段個資舉證的要求,主要是看軌跡記錄的機制,精誠資訊資安顧問林文腕說,在很多人的觀念裡DLP被認為是拿來作防止外洩的工具,而軌跡記錄就是LM,他說,其實不然,有許多我們稱之為外洩的軌跡記錄,其實都在DLP裡面可找到。因此若從資料外洩的佐證來看,DLP或許就可以提供這方面的需求,或許透過與LM的整合,資安人員可以更方便查詢,但光是從組織層面上來看,要做到這方面整合也並非易事。
精誠資訊資安顧問林文腕表示,DLP就可提供資料外洩的佐證,透過與LM的整合,可讓資安人員更方便查詢。
舉例來說,無論是製造業或金融業,許多掌管DLP或LM解決方案的都是不同承辦人,LM可以分權限登入,所以應用程式開發、系統、網路、資安各部門都可登入進去一個集中式的面板,檢視各自的監控記錄。而DLP本身對外洩事件的蒐集也做得相當完整,甚至連原始存檔記錄都有,由於太過機敏,最大的外洩風險甚至可能就在IT人員身上,所以應該由風險控管或稽核單位的人來管理,IT僅負責建置、維護即可。
前面提到,過去可能已經有些企業買了LM用做稽核或控管之用,此時我們思考,是否需要將DLP與LM做整合?DLP收集了主要外洩事件,但LM可能也收集了其他主機事件的外洩。DLP的資料產出可分Syslog與原始檔案,後者如Word、Excel、PDF類的檔案,無法被收集Syslog欄位的LM產品所囊括。林文腕說,其實Syslog吐出的欄位有限,並不完整,多是一行一行的文字檔儲存,若最原始的DLP欄位有20個,則部分夾檔內容,不管是截取到畫面或是防禦了什麼,是無法以Syslog形式產出的。
Websense 台灣區技術總監莊添發也表示,LM目前收集的內容多為連線記錄,沒有針對資料內容分析的資訊,DLP 能夠補強這一塊的不足。過去許多資料外洩事件, 透過日誌分析找出了原因, 但卻缺乏資料傳送的記錄。因此企業可先建置DLP,並一併考量集中收集日誌的管理。
另外像是對DLP本身的操作記錄也並非獨立,所以是否有哪個稽核或管理員對系統安全等級變動過? 或是開了檔案?可能都是一個死角。林文腕建議,為求便利性,可以在Syslog裡面加上連結欄位,當收到LM的警示信後,發現有問題便可Link到DLP的監控台,直接看到該起資安事件的完整畫面。
此外,也看LM是否支援DLP,若不支援則可能需要客製化,但又不可能全部客製化,莊添發認為這可能會事倍功半,LM的客製化必須設定欄位定義,要自己產生報表、交叉關連分析也需客製化,而負責客製化的人員也不一定對Log了解,除了要一個欄位一個欄位定義, 還得先訂義多少種類別,再定義到LM的邏輯、欄位的屬性等,可能會花許多工夫但仍不完整。
結論
回到最先我們探討的問題,各種資安防禦、側錄設備,能夠做到的舉證程度為何?該不該整合?是否可以達到數位證據同一性?簡單說,僅是DLP或許也可提供明確的資料外洩舉證資料,但仍需注意其他未盡資料,因此亦可再透過LM資料的集中控管,蒐集其他佐證資料。
註:100年度金融機構主要檢查缺失(http://www.feb.gov.tw/ch/home.jsp?id=91&parentpath=0,5,29&mcustomize=onemessages_view.jsp&dataserno=201203010001&aplistdn=ou=data,ou=disclosures,ou=one,ou=chinese,ou=ap_root,o=fsc,c=tw&toolsflag=Y)