資安威脅越來越難以捉摸,資安解決方案的種類也越來越多,當最基礎的網路安全設備如:防火牆、入侵偵測(IPS)…等都已經具備了,下一步該怎麼做?該採購哪些資安解決方案,是IT/資安人員最關注的課題,以下將分別就政府與學校來探討其應注意的資安防禦重點。
政府資安防禦重點:避免資料外洩
政府部門擁有國家機密與民眾資料,一直是駭客/網軍攻擊的頭號目標,如何避免這些機密資料因為外部攻擊或內部公務員疏失而外洩,自然成為政府資安維運的主要目的。從前述文章中可以看出,政府資料外洩有很大一部份的原因在於,AP程式不安全,像今(2013)年5月底發生的電子公文事件,便是因為駭客取得了程式碼,再利用一句話木馬技術,將偽裝成更新程式的惡意程式,直接push到使用者電腦中。
落實AP安全與端點管理
其實,許多政府部門的資訊系統都存在歷史包袱,少數有預算的重點單位可以打掉重做,重新做好原始碼保存管理,但大多數的單位只能繼續使用這些早期開發且找不到維運廠商的AP。因此,做好AP程式安全防護,應該是政府機關重要的資安課題之一,其方式包括定期弱點掃描、源碼檢測並修改程式碼、以及透過網頁應用程式防火牆(WAF, Web Application Firewall)來把關,當然後者是比較普遍的選擇,政府機關除了自己維運WAF之外,對於某些委外維運資安監控中心(SOC)的A、B級機關來說,也可透過此方式將網頁應用防火牆涵括進去。
至於預算有限的C、D級機關來說,如果擁有的資料不是非常機密,或許先做好基礎的資安防禦即可,如:防火牆、防毒軟體、垃圾郵件過濾…等,但若C、D級機關擁有大量民眾個資,例如戶政/地政事務所、警察局…等,則建議在上述基礎防禦措施外,還要做到以下幾點:將資料檔案集中管理、強化主機防護、做好日誌管理(LM)、帳號管控、導入資訊安全管理系統(ISMS)…等。
此外,政府資料外洩還有一部份原因是承辦人員缺乏資安警覺所造成的,某資安廠商舉了自己親身經驗為例,至某單位IT部門做簡報時,因為該簡報使用某隻應用程式來製作,所以能作出一些特殊效果,引起該IT部門主管(以下簡稱某甲)的興趣,便順口說一句:「你可以把這隻AP燒給我嗎?」某甲只是無心說出這句話,卻忽略了自己已經侵害著作權法。
同樣的情況套用至公務人員日常作業中,很多時候公務員並不是惡意外洩資料,卻總是因為一些無心的過失而造成資安威脅,這狀況在個資法上路後尤為明顯,很多公務員沒有意識到公佈在網站上的檔案內含民眾個資,就按照往常作業習慣公佈在網站上,因而引起社會的質疑與批評聲浪。舉例來說,近日某地方法院將家事裁定文公告在網路上,PO文者是依據家事事件法規定做公告,卻忘了裁定文內含一些與當事人相關的個人資料應該予以刪除,直到該名當事人上網搜尋自己的名字,才意外發現這起烏龍事件。
面對這樣的狀況,逸盈科技產品經理楊進盛建議政府單位,除了要加強資安教育訓練,另一方面則是落實端點管理,如:禁止連上某些網站、禁止隨意儲存資料檔案、禁止使用免費雲端儲存空間或電子郵件來處理公務...等,尤其政府IT環境多半整合了微軟AD功能,更應該善加利用,透過人名去做端點使用行為的管控而非以IP為管理基準。
因應個資法 加強資料保護與舉證能力
個資法在去(2012)年上路後,許多政府單位開始導入日誌管理解決方案,或是與資料保護有關的解決方案,如:資料外洩防護(DLP, Data Loss Prevention)、資料庫行為監控管理(DAM, Database Activity Monitoring)。LM用於事後追查與處理、DLP則能做到事前阻擋、DAM可以管理資料庫的存取行為。
LM將日誌集中管理,是作為日後提交舉證資料不可或缺的解決方案,同時也是追查資安事件源頭的工具。在追查資料外洩的始作俑者時,可透過LM將DHCP伺服器的日誌一起收納比對,找出系統帳號登入者與時間,但如果是固定IP,則可透過IP管理軟體搭配與AD整合的交換器來做網路使用者身份識別控管。不過,若是為了提交舉證資料的話,就不能只有系統帳號登入的日誌,也要有核心系統資料庫存取的日誌,預算有限的單位可以自己寫程式解決,預算充裕的單位則可考慮DAM。
DAM適合擁有大量民眾個資,且常成為駭客目標的A級機構,它除了留存資料庫存取記錄外,還能產出一些符合法規需求的報表,或是監控高權限者(如:資料庫管理員DBA)的使用行為,倘若希望進一步強化資料庫保護的話,資料庫防火牆、資料庫加密、資料遮罩...等也是不錯的選擇,另外預算有限又希望做到資料庫保護的單位,也可以考慮這3個選擇。
至於DLP由於所費不貲且導入有一定門檻,在導入前最好先完成資料的分級分類,採分階段導入方式,從擁有最多敏感個資的單位開始佈建,才能達到最佳投資效益,又或者可以先導入閘道型(Gateway)DLP,之後再視狀況決定是否導入端點DLP,也是對使用者衝擊最小的一種導入方式。另外,如果單位內已有資產管理軟體或郵件閘道過濾系統等解決方案,此類產品通常具有部分防制資料外洩的功能,故建議IT人員可先從IT管理流程著手,將這些設備的政策設定與調整做制度化,接下來再評估是否還有不足之處需要透過DLP來解決。
除了導入資安解決方案,建立一套個資管理制度也是因應個資法的選擇之一,過去許多A、B級機關雖然已經建置ISMS但導入範圍太小(如:只以機房為單位),而個資法適用範圍是全組織,因此建議趁此機會將ISMS範圍擴大到全機關,並納入與個資法相關的管理規範,如:將個人資料納入資產管理範圍內、稽核項目增加個資法規範(如:在利用個資前有無進行告知)…等。
雲端安全首重跨VM隔離
雲端是近年來政府IT的發展方向,許多一、二級政府機關都已經完成伺服器虛擬化作業,只不過在雲端安全部份卻沒有太多著墨,楊進盛指出,目前政府在雲端安全上仍以南北向為主,比較缺乏東西向的防護機制,箇中原因一部份是對雲端安全的認知還不夠充分,另一部份是目前市場上選擇不多。
所謂南北向就是外部流量進到主機這一端的防護,其實與傳統實體主機的作法差異不大,但在伺服器虛擬化之後,一台實體主機裡面有很多虛擬化機器(VM),這些VM水平存在、資料可以直接傳遞,倘若沒有做好安全隔離,一旦其中一台VM感染病毒,其餘幾台一定無法倖免於難,這就是東西向的安全防護,為了避免VM間交叉傳染,最好能安裝虛擬化版本的防火牆、防毒、IPS…等解決方案。另外還可以畫分出一個Server Farm,只開放特定AP的流量可以進出(也就是AP白名單機制),避免垃圾流量或暴力攻擊。
IBM軟體事業處業務專案經理金天威認為,政府IT走向雲端化,意味著所有人都能透過雲端來存取資料,在資安上就必須涵蓋3個面向:(1)主機保護;(2) VM與VM間的溝通;(3)存取控制與認證授權,尤其最後一點非常重要。
在過往實體主機年代,存取行為只限於內部員工,相關管控機制在內部進行即可,如今是各個不同單位的人都有可能來存取資料(為了跨部會資料使用需求),雲端服務要如何認證不同單位的使用者身份?比較理想的做法是結合憑證(PKI/Token)機制,亦即聯邦認證的保護機制,而不是只有自己單位內的認證。
簡單來說,聯邦認證就是一個聯合的認證中心,負責定義每個使用者可以存取的資料種類並保留存取記錄,只是,使用者存取資料的方式,會牽扯到資料要怎麼擺(擺到裡面或外面),例如:提供給外部查閱的資料是不是放在展現層即可?專供內部使用的資料要不要留在DB?這些必須一開始發展雲端時就要做好規劃。
防禦APT應培養Log分析人才
APT攻擊可說是最近2年政府最常遇到的資安威脅,常見攻擊手法多半從夾帶惡意檔案的社交郵件開始,員工只要一時不察打開惡意檔案,惡意程式就能順利植入內網,開始執行駭客所下的指令,因此在APT防禦上,多半強調要加強社交工程演練、惡意檔案/惡意郵件的偵測,只不過APT攻擊手法並非一成不變,以上述提及的電子公文事件為例,並不是靠這2個方式就能解決的。
資安專家Steven建議政府應培養內部Log分析人才,即早發現APT攻擊的蛛絲馬跡,才是正確的防禦之道。他認為,SOC廠商雖然具有Log分析的專業能力,但不可能像資訊人員一樣了解內部IT架構,例如:每個組織所使用的系統特性不盡相同,代表系統異常的行為也不一樣,資安廠商不可能完全掌握,只要其中1、2種異常行為不知道,就無法寫出相對應的rule,而IT人員一定最能掌握自家系統的狀況,所以培養內部專業Log分析人才是比較理想的作法。
不過,很多人會說Log資料太多不知道要從可看起,Steven認為這是經驗的累積,初期可以先從郵件伺服器與網站伺服器開始,這兩個伺服器的Log其實隱藏著很多資訊,只不過目前沒有人在檢視Log罷了。以網站伺服器為例,IT人員可以根據網站架構及規則來找出異常Log,如:Zip檔下載(但平常沒有開啟此功能)、Post異常(這可能是被嵌入一句話木馬)、XSS/SQL語攻擊、對外傳輸資料量太大(有可能是網站被人打包)。
校園資安防禦重點:如何不成為駭客跳板
校園內常見的資安威脅其實與政府組織類似,只不過相對政府而言,學校所擁有資料的商業價值比較沒有那麼高,APT攻擊威脅也就比較小,反而因為主機/電腦數量多、管控不夠嚴謹、入侵容易,成為駭客攻擊跳板的不二選擇,也因此Botnet問題反而比APT攻擊嚴重。
其實校園要解決Botnet問題並不難,關鍵在於最高管理者有沒有這個決心及意願。一個作法是降低Bot 植入機會,不過由於校園講求自由開放,加上學生人數眾多端點管控並不容易,所以這個部份在執行上應該比較困難,另一個作法則是切斷對外的惡意IP連線行為,如:建立惡意IP黑名單、偵測與阻擋垃圾郵件…等,同時要作好主機安全防護,避免讓Bot進入內部主機。
除了Botnet 問題外,個資法通過後,學校因為擁有大量個人資料(包含學生與教職員),基於法規遵循的要求,也開始採取相對應的措施來保護自身所擁有的個資,如:流程管理、導入個資管理制度、採購資安解決方案(以DLP、DAM、LM/SIEM為主),相關採購建議可參考上文所述。IBM軟體事業處經理胡育銘指出,學校大多清楚自己需要哪一類解決方案,只是受到預算限制及對重要性的認知不同,在導入先後順序上也就有所差異,一般來說私立學校的腳步又比公立學校快一點。
歸納校園內常見的資安威脅有病毒惡意程式、網頁應用程式遭到入侵竄改、未經授權存取、內部員工不慎洩漏等問題,建議的控制項目可為-安全監控、監控特權系統帳號存取行為、強制存取路徑,透過實際執行這些手段,進行最低限度的防護。
當然上述所提方式只能治標,真正治本的方法乃是針對全體師生,透過教育訓練與演練以提升資安意識,使其明白哪些使用行為可能造成資安風險,另外對於資料防範的要求,不能只是不被竄改、破壞就好,更要保證資料不會流出且做好儲存加密的機制。
不過,即使是教育訓練,能夠改善的幅度也有限,因為職員在教育訓練時雖然可以了解資安重要性,但是在平常操作時可能又會疏忽,因此有必要定期重覆進行,讓資安觀念深植心中,或透過管理制度找出日常作業流程的疏失,建議可參考教育部所規範的教育版ISMS,不僅能整頓整體資安程序,且有標準可遵循,不失為一個打好資安基礎的方法。
然而,管理系統建立與發揮攻效需要一段時間,在此之前建議加強權限控管與資料加密,做最低限度的防護,至少在事件發生之後,受害者的個資也不會被輕易的外洩。