觀點

下年度的資安預算何處去?

2007 / 08 / 06
Alan Paller
下年度的資安預算何處去?

採購大調查
為了決定哪些產品會放在此篇專訪中,約66,000餘位SANS訓練機構的畢業校友參與調查,深入了解他們未來12月中,會將資金投入哪些安全領域中,以及在他們目前已採購的產品設備中,未來12月會再繼續擴增哪些部份。
在經過這些校友彼此間的資訊交流與經驗分享後,我們發現有很多使用、佈署經驗並不像廠商原本所說的那樣。藉由本篇的介紹,將來採購單位不會再對高層過度渲染這些資安產品,採購人員也能更了解一些隱藏在這些產品背後的問題,最後,就是能讓採購單位知道哪些才是真正work的產品。
以下便是2006年,資訊安全人員們花費最多的項目資安重點產品,他們分別是:稽核記錄分析管理系統(Log Management)與安全資訊管理平台(SIM, Security InformationManagement)、筆記型電腦與行動裝置加密產品、應用程式安全檢查產品與安全程式碼訓練課程。藉由這些重點項目,資安人員在這一年獲得的經驗談,可以讓你對將來採購資安產品更能得心應手。



LOG MANAGEMENT與SIMs
第一代的SIM安全資訊管理平台很少達到當初推動者的預期,從各種設備吐出來的資料產生大量的資訊,但是僅有少數資訊有用,也只有藉由專家的判讀才能顯示這些資訊的價值。在2006年,由於管理面的需求,讓人們對採購稽核記錄分析管理設備的意願大增,SIM廠商和稽核記錄分析管理系統廠商便合作打算吃下這塊市場。
去年七月,在SANS的Log Management Summit中,27個具有採用稽核記錄分析管理系統或SIM經驗的企業向其他180個公司分享他們佈署稽核記錄分析管理系統方案的經驗。以下是一些重點:
●那些使用SIM每天產生制式化報表的企業,基本上對安全根本毫無助益,也無法有效地和其他安全人員、維運人員建立良好的合作關係。
●稽核記錄分析管理系統產品最大的價值在於每日異常事件的告警。尤其是惡意軟體或是間諜軟體的偵測,進而可以針對此異常警告,著手檢查是否監控範圍內是否真的存有問題。
●當使用者的網路異常或是無法使用某應用程式時,管理人員或是安全人員通常得找出究竟是設備問題或是安全問題。一個聰明的稽核記錄分析管理系統可以很快地鑑別出問題所在,如此一來可以避免管理人員與安全人員之間的摩擦。
●稽核記錄分析管理系統可以避免內部人員舞弊或管理人員的毀屍滅跡行為,當開啟稽核記錄分析管理系統且權限有效地控管時,這些內賊們將很難掩蓋某些惡意行為。
●目前最大的問題是在於如何在企業中廣佈這些監控sensor並有效地將資訊統一送到稽核記錄分析管理設備上分析。最好的解決方式是讓每個企業在稽核記錄分析管理系統上管理自己所送出的資訊。
●另外一個問題是稽核記錄分析管理系統和SIM的容量,多數中小型產品很容易空間不足。而僅有大型或昂貴的產品提供令人無後顧之憂的大容量。
●稽核記錄分析管理系統通常也能協助辨識是否有感染病毒或是惡意軟體。
●當有問題的系統嘗試感染其他機器時,防火牆會產生記錄,初步可以獲知是否有可疑流量,而進階的檢查可以辨識出究竟是哪些系統感染了病毒或是惡意軟體。
●稽核記錄分析管理系統可以協助執法機關。美國加州的Fresno市藉由稽核記錄分析管理系統的記錄中逮捕了兩名盜用公款罪犯、一名毒品犯、一名偽造票券的犯人。另外也藉此解雇了15名未遵守電腦使用政策的員工。
其他有趣的應用像是:找出不適當的網頁瀏覽行為、不適當的電腦使用行為、找出某銀行被當作是釣魚網站目標的證據等。



筆記型電腦與行動裝置資料加密產品
有超過6,000個企業的CIO與其所屬員工目前會將其筆記型電腦加密,就算目前沒有這樣的規劃,也正在擬定相關計畫,因為他們的主管告知要嚴格保障重要資料或是營運資料的安全性,不可因筆記型電腦遺失或是失竊而外洩重大資訊。他們並不僅僅擔心資料外洩,而是CEO擔心公司的名聲會因此受到損害。
去年九月SANS的Laptop Encryption Summit,18個企業分享自身在企業內實行筆記型電腦內容加密的經驗,給220個即將打算仿傚與正在評估相關筆電內容加密產品的企業做為參考,以下便是重點:
●欲採行筆記型電腦加密方案的企業,發現廠商其實給了兩個不太正確的方向,其一是所謂的「花小錢是不未來12個月中計畫採購的項目會有好東西。」
●企業人員發現在Windows中,採用各種不同版本的工具,會造成加密的資料無法讀出或是無法復原。像是Symantec Ghost、Windows的Safe Boot。
●因為使用者常常貪圖方便,資料遺失也是採行資料加密方案時會常碰到的問題。有些使用者加密前並未先備份資料、而有些使用者則是未先做清除磁碟的動作。多數的廠商會建議使用者在加密前先做清除磁碟的動作。
●大多數的企業採用整顆磁碟加密的方式,而不是使用檔案加密方式。若是使用者未將整顆磁碟加密,企業是無法保證遺失的筆電內的資料安全。這種因為使用者未依政策有效執行的問題,讓企業仍無法避免資料遺失的風險。
●目前硬碟廠商都已開發出硬碟上的硬體加密晶片,也將在年中提供給各大筆電廠商來配置。使用者都覺得利用內建硬碟硬體加密方式方便了許多,但相對的價錢也比軟體加密來的昂貴。
●新推出的Windows Vista內建的加密機制比第三方產品更有優勢。但是目前Vista尚未擁有企業整體加密控管機制,因此這類的產品仍是可採購的項目之一。
在這些筆記型電腦加密產品中,最重要的特色便是使用者能否自行操作這些安全復原功能,以及加密金鑰的復原需求。


應用程式安全性檢查產品與安全程式碼訓練課程
SANS根據一些資料顯示,自從2005年以來,駭客開始針對應用程式弱點,而不再局限在攻擊系統弱點了,這項資訊給了CIO與安全主管一個警訊,他們原本都針對Windows、Unix系統問題,還有相關Service在進行防護,但現在起,也必須嚴加注意應用程式上的漏洞了。
有經驗的管理者會採行以下四種方式來保護他們的應用程式:
●針對程式開發人員進行教育訓練,規劃如何撰寫安全程式的課程,確定他們瞭解這些常見的程式漏洞,並知道如何避免寫出這樣的程式碼。
●利用一些原始碼檢查的工具來檢驗原始碼。
●利用滲透測試或是Web應用程式掃描工具來測試網站應用程式是否存有漏洞。
●佈署應用層防火牆或是AP層的IPS來偵測這些惡意攻擊行為。
目前這些防禦技術都已經成熟許多,尤其是在過去六個月內。因此你可以好好的策劃新的應用程式安全防禦機制了。

教育訓練與檢測並行
在本年度之前,撰寫安全程式碼的教育訓練並非有效的防禦手段,原因是很難去衡量它的效果。多數講師都僅是列出一般常見的撰寫錯誤,而不是讓學員實際去操作這些開發問題,也極少讓學員實際去操作如何修補錯誤的程式碼。這些學員聽完課之後沒有實際操作,他們以為他們懂了,回到辦公室還是撰寫出同樣錯誤的程式碼。
在過去六個月中,120個以上的企業建立了一套安全程式碼開發原則(四種程式語言:C/C++、Perl/PHP、Java/J2EE、.NET/ASP),並規劃了一套安全程式碼評估測驗(Secure Programming Assessment),得以讓程式開發人員還有僱主能夠得知在安全程式開發上的一些關鍵點。這份資料可以在www.sans.org/spa查詢到。
這套測驗將慢慢地對安全程式碼開發教育訓練產生作用。教師也開始加入操作練習,另外學員也知道上課時要更加注意,因為現在開始有測驗準則了。更重要的是,這套測驗也被大學的老師們納入程式語言課程中,他們可不想他們的學生出了社會之後被僱主質疑不會撰寫安全的程式碼。
同時,企業也會向應用程式廠商要求是否瞭解這份測驗,以便得知這些廠商或是顧問是否真的懂得程式開發問題並且知道怎麼修補這些問題。

程式原始碼分析工具
早期的原始碼分析工具由於誤判率太高,而讓市場對它失去信心。但最近幾個月以來,這樣的工具有大幅的進步,變的聰明了許多。雖然誤判率還是偏高,但是已不再像之前一樣令人卻步,這些原始碼分析工具(Source Code Analyzer)像是Fortify、Ounce,已經成為程式開發人員的好幫手,整合進他們開發流程裡了。
程式開發人員利用原始碼掃描工具,在程式上線之前先對這些程式原始碼進行檢查。目前聰明的的軟體採購人員,都會在驗收流程中加入這項,在購買程式碼之前要先經過數個程式碼分析工具檢驗過後才能通過採購,通常程式開發廠商很怕驗收不通過,因此都會先行修復這些應用程式漏洞。

Web應用程式弱點掃描工具
We b 應用程式最常發生的問題-Cross-SiteScripting和SQL Injection,這兩種程式問題不容易使用程式碼分析工具檢查出來,而Web應用程式掃描工具,像是SPI Dynamics 或AppScan (Watchfi re),則是能遠端掃描網頁應用程式漏洞。這些工具內建龐大的檢測資料庫,可遠端模擬駭客實際的行為。雖然結果仍稱不上完美,但是仍可讓人評估一個上線系統是否安全無虞。
就像程式碼分析工具一樣,都是拿來檢驗程式開發廠商上線前的程式,確定讓廠商在上線前進行這些安全測試,並且交付相關的報表,這樣採購單位才能安心地採用。

Web應用程式防火牆
另外一種保護Web應用程式的方式,是檢查封包內是否含有像是SQL Injection或是Cross-Site-Scripting等可疑的攻擊字串。Web應用程式防火牆必須能夠經常更新其特徵資料庫,好的Web 應用程式防火牆甚至囊括了各式程式語言的特徵資料庫。這類產品亦是網路防禦環節裡重要的一部份,但卻不能將其視為唯一的依賴。