新版個資法於2010年4月底三讀過後,接著法務部開始擬訂相關的施行細則內容,並於2012年10月起正式上路。而其中企業最在意的,為第二十七條所規定企業需採取「適當安全維護措施」來防止個人資料遭竊、竄改或毀損等行為;且於施行細則中更進一步提出了11項的安全維護措施,其中第9項為需具備資料安全的稽核機制,與第10項企業有使用記錄、軌跡資料及證據之保存的責任。但為免企業對持有資料的保護責任被無限上綱而影響正常營運,在個資法第二十九條也規定在事件發生時企業如能舉證其無故意或過失則能免除賠償責任。
因此,企業IT在日常作業中該如何善盡管理人義務?且保留相關資訊以為日後法庭舉證之用便成為企業在因應個資法挑戰時的重點所在。除了新版個資法外,其他像PCI DSS、SOX與Basel II等也都有相關的法令規範,所以具備日誌管理、即時關連分析與報表產出功能的SIEM(Security Information Event Management)資安事件管理平台產品便成為企業因應法規遵循要求的解決之道。
現有監控機制的盲點
即便滿足了法規遵循的要求,但僅靠SIEM也無法解決現今企業所面臨到的其他資安問題,台灣網威NetIQ總經理黃成弘舉了以下三個例子來說明SIEM還需要搭配IAM(Identity and Access Management)的身份認證與存取管理的機制才能發揮彼此的最大效益。
案例1是某企業透過SIEM平台發現公司內部有電腦感染病毒,但每次清除病毒一段時間又會發生中毒的現象。透過IAM所提供的使用者資訊做關連身分追蹤後,才發現原來是IT人員使用遭感染的USB裝置連接電腦以執行日常維護作業,導致電腦中毒的情況不斷出現。
案例2是另一家公司的IAM顯示員工半夜在台北登入系統後,5分鐘後又於高雄再次登入系統;雖然此現象極不合理,但管理人員卻難以判斷該帳號是在不知情的情況下遭人所盜用?還是該員工擅自將自己的帳號分享給他人使用?
案例3是某銀行的系統管理者,透過密碼函的流程申請特權帳號和密碼,在指定時間內執行昇級維護或程式過版任務,但為一時之便,未經主管同意,偷開了一個帳號以利日後不時之需。能做到即時通報和阻止嗎?
由案例1我們發現SIEM平台能讓管理者看到不同設備所發生的資安事件,但卻無法進一步提供相關的使用者身份資料。而案例2雖然有使用者的系統存取資訊,卻缺少其他設備記錄的整合來做到進一步的關連式分析,讓管理者能更清楚了解事件發生的過程與背景。案例3也是典型的帳號安全管理要求,特別是針對企業重要主機的特權帳號。
由此可知,擅長事件關連式分析的SIEM平台與身份識別的IAM系統,在面對當前法規遵循的要求與像APT這類更精密的攻擊威脅時都會有各自的盲點。因此,國際研究暨顧問機構Gartner與IDC的研究報告不約而同的提出將SIEM與IAM予以整合的應用趨勢。
SIEM與IAM整合應用的趨勢
這份報告中提到IAM方案雖然能提供使用者身份管理稽核與存取權限改變的功能,但範圍僅限於IAM所整合的系統與應用程式層級,無法涵蓋到其他未經整合的網路、系統、資料庫與各種應用程式等整個企業IT的環境。而SIEM平台主要是整理收集來自不同設備的資料,藉由關連式的分析來追蹤發掘資源存取的活動,但卻不能像IAM一樣提供高品質身分安全管理政策與稽核記錄。
「IAM能做到使用者身份的單一識別化,例如員工Leo在公司的郵件、資料庫、作業系統不同平台內各自擁有leo、lliu、leo12345等帳號,透過IAM的身份整合就能夠辨識出這些帳號其實都是Leo,從資安的角度來看這是很重要的」,台灣網威顧問劉冠麟舉例說明。
有鑑於此,Gartner建議將IAM對使用者身份的稽核與報告功能整合到SIEM的架構中,以提供更多不同系統的使用者稽核存取資訊,方便SIEM做到跨平台的事件關連分析與身分追蹤,來呈現更完整的使用者活動軌跡。
協助企業實現智能資安的目標
資安廠商們當然也看到IAM與SIEM整合的應用趨勢。例如2010年底Attachmate在收購Novell後,緊接著在2011年將Novell與NetIQ的IAM與SIEM產品進行整合,希望能幫助企業做到帳號與權限管理自動化,並提供日誌的事件管理與稽核,以符合法規遵循的要求,且透過使用者與活動事件的相互勾稽追蹤,達到所謂企業智能資安的目標。
黃成弘表示因為從底層的SUSE平台到其上運作的SIEM與IAM都是自家的產品,所以企業不用再經過客製化的程序就能將兩者的資訊進行整合,讓SIEM能直接收集IAM的使用者資訊。甚至在遇到攻擊威脅時,還能利用政策與行動規則來自訂所需採取的阻擋動作,例如在發現有人針對某特定帳號進行密碼的暴力破解時,就能告訴IAM將此帳號相關的系統予以封鎖來做到安全防禦的工作。
.png)
NetIQ提出整合IAM身份管理與SIEM的事件關連分析平台後,以協助企業建立所謂智能資安的IT架構。(圖片來源:NetIQ 提供,2013/03)
掌握三大重點 描繪出事件時間軸
從安全管理的角度來看,當企業發生資安事件時有三個重點是必需掌握住的:
1. 知道是「誰」?
2. 做了什麼「事」?
3. 如何「做」的?
企業不管是發生資料外洩還是系統遭受攻擊,這些事件一定是由「人」來發動的,機器本身不會「策劃」一個精密的攻擊事件或主動的去竊取資訊,所以在資安的先前防護或事後調查中,「人」絕對是一個相當重要的關鍵,通常也是事件發生的一個開端。
接著企業要了解的就是發生了什麼「事」,像是哪些系統遭到入侵?哪些資料遭竊?受影響的範圍有多大?執行受害損失的清查盤點,才能進一步做好災害控管的動作,我們也可把它視為是事件的結束點。有了開始與結束後,當然還要了解中間的過程是「如何」發生的,也就是事件發生的步驟緣由,像系統是如何遭到入侵?是透過社交工程還是弱點漏洞等?以上三個重點分別代表事件的開始、過程與結束,進而能讓管理者描繪出一個完整資安事件發生的時間軸。
對IAM來說,SIEM平台能夠將IAM以「人」為主的使用者行為監控範圍,拓展到企業IT環境中其他網路設備或應用系統等以「物」為主的事件分析。相對的,IAM能將SIEM原本以事件為主體的關連式分析,再加入使用者存取權限的定義,以更有效的掌握人的活動行為與時間序列的軌跡。
而IAM與SIEM兩者的互補能做到將「人」與「事件」的結合,以真正還原資安事件的原貌,唯有了解事件發生的過程後才能談到後續的補救措施並防止事件的再度發生,否則一切都是空談。而結合兩者的產品特點,讓企業對環境裡安全事件的掌控能達到既深(IAM)且廣(SIEM)的全面監控,並將資訊安全的管理稽核深化到日常IT的維運作業中,提高對個人資料的安全防護,這才是法規遵循的真正目的。
瞭解更多 ~
讓連續多年榮獲Gartner領導象限的NetIQ(Novell)告訴你。
專題報導系列:
系列一:透過資訊整合 打造全方位的安全監控平台
系列二:善用SIEM做好法規遵循