https://newera17031.activehosted.com/index.php?action=social&chash=a60937eba57758ed45b6d3e91e8659f3.2219&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=a60937eba57758ed45b6d3e91e8659f3.2219&nosocial=1

觀點

【2013採購指南】資安現況:政府AP漏洞多學校管控少 缺乏專業人才是共通問題

2013 / 09 / 09
編輯部
【2013採購指南】資安現況:政府AP漏洞多學校管控少 缺乏專業人才是共通問題

隨著組織對IT的依賴程度越來越深,所面對資訊安全的挑戰也就益發艱難,尤其近2年來智慧型行動裝置加入企業IT的應用範圍內,更加深資訊安全風險,使得IT或資安人員必須投注更多心力在資安防護與控管,以下分別就政府與學校來探討其所面對的資安問題,及造成資安問題背後的原因。

政府資安問題:AP委外開發漏洞多
走遍世界各國,政府幾乎都是駭客的頭號目標,只不過政府組織分工細,各單位依據業務性質不同所面臨的資安威脅也就不一樣,舉例來說,掌管油/電/水等民生基礎設施的單位,可能會面臨營運中斷造成的影響,如:2010年針對嵌入式系統而發動的Stuxnet病毒威脅,至於擁有民眾個人資料/軍事機密資料的單位,就得小心資料外洩的風險。

問題一、AP漏洞多
就目前的資安攻擊比重來看,針對嵌入式系統發動的威脅相對較少,資料外洩還是政府頭號資安風險,而應用程式(AP)就是駭客最常入侵的管道,其原因在於以下兩點:
1、 歷史包袱的壓力:
IBM軟體事業處業務專案經理金天威表示,10~20年前的資安防禦觀念以網路安全為主,普遍不重視AP安全,委外廠商所開發出來的AP自然也是漏洞百出,且這些AP有很多至今仍在使用且現在無人維運,其風險之高可想而知。

2、 採購法原罪:
政府資訊系統多半委外開發,委外廠商的程式開發過程是否夠嚴謹,關乎到日後系統上線時的風險高低,然而,礙於政府採購的標案制度,若原開發廠商第二年度未能得標,換人接手時,資安威脅就大幅上升。一旦過了系統保固期,承接的廠商沒有系統原始碼,這時若有新的漏洞產生,在沒有修補能力下只能靠資安設備被動防禦,此類問題經常發上在大型專案中所附的小型系統,舉例來說,業務核心系統附贈的前台便民服務查詢介面。

近年來,部份政府單位已經意識到AP安全的重要性,開始將AP安全列入合約中並據此要求委外廠商負責,例如:附贈的系統必須提供原始碼、全權負責上線中系統的安全…等,但仍無法完全改善政府AP漏洞的問題,尤其是對外公開的網站問題更嚴重。

資安專家Ken指出,網站最常遇到的攻擊模式就是SQL-Injection,其防禦方式有2種:修改程式碼、採購資安設備,而政府通常會選擇比較省事的後者,卻忽略了一旦設備被打掛就沒辦法發揮效用的風險,即便近年來開始意識到要做Web系統安全檢測,但是通常也只做1年而不是定期執行,這1年通過了不代表之後就沒有問題,加上政府網站本身就是駭客鎖定的目標,在防禦不嚴謹又容易遭到攻擊的情況下,自然狀況百出。

問題二、缺乏專業人才
人員的位階、人力與能力不足,是政府資安的第二個問題,當然不可否認的,除了這三點之外,某些情況可能是承辦人心態問題,畢竟資安是件吃力不討好的事情,投注那麼多心力與時間,上級長官卻未必看得出來,但在此先不討論。

資訊部門在政府機關屬於幕僚單位,位階不高,倘若業務單位不配合,又沒有高階主管支持的話,很容易發生問題。其次則是人力不足,Ken表示,有些A級單位IT人員轄下所管理的單位太多,遇到滲透測試/社交工程演練時,只能書面審核報告再要求轄下單位改進,根本無暇仔細思考問題所在及改善方式,至於B,C級或以下的單位,多半是兼職人員在管理資安設備,就別說人力是否足夠,因其連專業能力可能都有待加強。

Ken進一步指出,政府資訊人員多半是透過公務員考試進來的,實務經驗少,遇到問題只會打電話給廠商要求協助解決,缺乏第一線解決問題的能力,像之前便曾經遇過某單位發現異常Log,要求廠商協助分析找出問題所在,廠商在進行分析前詢問是否有任何想法,該單位卻說「我就是沒有想法,才希望你來告訴我呀!」由此可見政府IT人員素質有待加強。

其實,政府資訊專案雖然都委外建置,卻不代表資訊人員本身不需具備IT管理能力與知識,只要具備一些基本的資安管理技術至少可解決一大部分問題,例如最基本的帳號密碼管理,對於使用者設定的密碼至少應做到比對字典檔,或者對於駭客第一線碰到的防火牆或IPS等設備的管理密碼也至少應做不同設定。

除了基本資安管理技術外,政府IT人員最好也能具備Log解讀分析的能力。從Log中其實可以看出駭客攻擊的徵兆,但是目前政府單位幾乎沒有人在檢視Log,HP資訊安全事業部業務協理李正為認為,檢視Log有二個關鍵:(1)產品專業性,一個好的平台可以適時地預先告警,節省資安管理人員時間;(2)人員專業度,以前可能具備網路知識就已足夠,如今則是網路、系統、AP、甚至法律的專業知識都要了解,才能順利解讀Log所隱藏的祕密。

問題三、現行採購法盲點
受限於採購法,政府機關能否找到好的資安廠商來提供服務,存在太多變化因素,尤其這與業務承辦人的做事心態,決定採取何種招標方式有很大關係。以上述AP委外開發的專案為例,第二年得標者若與第一年不是同一家廠商的話,部份有道德良知的廠商,會在承接先前留下來的系統後建置WAF等設備加強防禦,但有些卻只是做做弱點掃描等表面工夫交差了事,而這就有賴承辦人員做專業上的監督判斷。

資安專家Steven認為,政府採購法最大盲點就是,只有100元的預算卻想買500元的設備,有些廠商為了業績願意出售設備,卻不肯提供後續服務,導致採購來的資安設備買只能擺著無法發揮效果。因此,政府在IT採購時有2點很重要,第一、承辦人的心態不能只想著殺價,而是選擇一個適合自身的廠商;第二、不一定要將所有預算通通用在設備上,假設預算只有100元,寧可採購80元的設備,另外20元用來買服務,也比花100元買到500元的設備來得有效果,因為資安需要的是服務,不單單只是一台設備。

對此,逸盈科技產品經理楊進盛也有相同看法,他認為政府採購人員不瞭解資安設備的維護合約(MA)費用價值所在,總是一味嫌高。一般網路設備的MA費用多為成交價的5~8%,而資安設備的MA費用約為成交價的15%,這是因為資安設備(如:IPS或防毒軟體)必須定期更新特徵碼…等,這些工作需要專門團隊來進行,而不單單只是硬體維護,自然在成本上也會比較高。

校園資安問題:缺乏管控最嚴重
校園一直是駭客們公認最容易攻擊的單位,主要是因為網路速度快、主機數量多、防禦程度相對低落,加上計中人力不足,雖然是專職IT人員,但是要管理的設備與系統很多,相對投注在資安上的時間與心力也就比較少。

學校環境講求自由開放,很難像企業設下一條又一條的管理規範,就算設了也可能因為引起學生與老師的反彈而作罷,導致學校資安人員普遍採取「最少管理」原則,加上這些使用者並沒有太強烈的資安意識,很容易因為一些無意的行為而下載病毒或惡意程式。

舉例來說,許多大學教授都會架設個人網站,但多半使用現成套件及預設密碼,沒有特別的防護,自然容易被攻破。李正為則指出,校園中也常看到學生因為好奇而下載網路上的免費軟體,或是瀏覽網友介紹的網站,導致電腦內被駭客植入病毒或惡意程式,由於學生多半是透過宿舍網路連線,使得駭客能夠藉此入侵校園系統。

除了學生與老師外,在校職員的資安意識也有待加強,他們為了方便存取資料,直接開網路芳鄰共享,但卻沒有限制共享的權限,造成每個人都可以存取,或是沒有注意到資料的重要性,把資料複製到隨身碟再帶到影印店去,因而造成資料外洩。

另外還有網站被入侵的問題,經常聽到的狀況是,攻擊者攻陷學校網站後,一路長驅直入進到最內部的學籍資料系統,像前不久就爆發某名景文科大學生,入侵學校電腦系統變更成績與偽造老師與系主任的簽名,更嚴重的還有之前某所大學被入侵後,駭客可以自己製造學籍、列印畢業證書。

楊進盛則指出,電腦教室中的電腦也是校園資安問題所在,由於沒有固定使用者,因此各種狀況都有,舉例來說:2007年曾經流行過的病毒Mariposa,防毒軟體都已經有特徵碼,但是在現今校園內電腦還是見得到此病毒的身影。

不過,校園雖然充斥著病毒或惡意程式,但是資料外洩的影響比較沒有那麼嚴重,李正為指出,校園資料的商業價值比較沒有政府那麼高,駭客入侵後通常不會偷資料或癱瘓系統,多半只是拿來做為攻擊跳板,也因此,現今學校經常會接到來自刑事局的發文,要求協助追查惡意IP,楊進盛表示,部份已經導入次世代防火牆的學校單位,IT人員會透過此設備去追查惡意IP在那段期間的使用行為,如:用了哪個AP…等。

結論與建議
IBM軟體事業處業務專案經理金天威表示,資安可以分成4個面向:基礎架構(如:IPS、防火牆)、人(如:存取控制、授權、身份識別)、應用程式AP(即程式碼安全)、與資料保護(即防止機密資料外洩),政府過去一直把重心放在Infrastructure,近年來才開始關注AP安全,只不過AP牽扯範圍廣,所以做得還不是很完善,另外受到個資法通過的影響,資料保護成為這2年來做最多的案子。

至於學校同樣也是Infrastructure做得最好,AP安全的需求則不是很明確,學校IT人員會關注是否有人在對網站做弱點掃描或攻擊,但是關於AP程式碼的弱點掃描或源碼檢測則需求不高,而在資料保護上,與政府單位一樣受到個資法通過的影響,開始有一些積極作為。
 

政府/學校個資法因應現況

新版個資法在去(2012)年10月正式上路,其中第28條明定公務機關應該擔負的損害賠償責任,即「公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但損害因天災、事變或其他不可抗力所致者,不在此限。」換句話說,公務機關若發生違反個資法事件,乃是無過失責任,除非有不可抗力的因素,否則應該負全責,而公務員惟一能做的就是舉證免責,證明自己有落實個資保護的作為。

因此IBM軟體事業處業務專案經理金天威指出,過去2年來,有很多政府單位導入與資料保護相關的資安解決方案,如:資料外洩防護(DLP)、資料庫稽核(DAM)…等,以及可以留存證據的日誌稽管理(LM)。

至於校園因應個資法的狀況,就資安解決方案的採購上,項目與政府差異不大,IBM軟體事業處經理胡育銘指出,學校大多清楚自己需要哪一類解決方案,只是受到預算限制及對重要性的認知不同,在導入先後順序上也就有所差異,一般來說私立學校的腳步又比公立學校快一點。

不過,公立學校採購資安解決方案的速度雖然不快,但是因為被定位在公務機關,所以之前便已經配合法務部行文要求,執行成立組織、個資盤點、建立事件預防/通報應變機制…等事宜。

由此來看,無論政府或學校在人的管理上都還有努力空間,也是未來努力的方向,所謂人的管理包括:(1)針對特權帳號的存取行為加強控管、稽核、與側錄;(2)針對一般員工則是帳號與存取權限的雙重管控,不過這難免牽扯到跨部門運作的問題,在導入上可能要花費較多的溝通與時間。

李正為則認為,政府在資安採購上的態度應該更積極,IT人員應該儘早開始資安防禦規劃,而不是等到電視或平面媒體爆出相關新聞時,再來思考該如何防範此類的資安威脅。至於學校單位則要做好內容安全管控,包括可以瀏覽的網站、郵件有無夾帶病毒…等。

Steven建議政府建置N-SOC,將目前各機關獨立的SOC所收納的Log集中管理,他強調,透過SOC把資料集中管理,可以有效抵擋APT/駭客/網軍的攻擊,一般來說,SOC可以擋掉80~90%的攻擊,剩餘10%則靠使用單位自身的設備來發揮防禦效果,如:Web Gateway來過慮惡意網頁…等。

未來,政府與學校在資安採購上,政府組改之後,未來的需求也會跟著改變,由於政府IT人員為兼職,校園IT人員雖然是科班出身,但因為要管理的使用者數量非常多,所以兩者在採購資安解決方案時,都會重視管理便利性。另外政府未來的資安需求還可能受到組織改造的影響,尤其是A,B級機關走向共構機房,資源集中化管理,惟有流量夠大、分析能力夠強的引擎才能滿足政府未來的資安需求。