[專訪] 打開潘朵拉的盒子讓弱點掃描不再是噩夢

2017 / 06 / 19

編輯部

IT人員都知道弱點掃描的重要，但為何駭客透過漏洞進行攻擊滲透的事件仍然層出不窮？原因無他，就是IT人員對安全漏洞更新不確實，甚至連弱點掃描都難以執行。因為大家發現，弱點掃描後才是問題的開始，像如何統計與整理弱點數量？哪些該馬上更新？如果無法更新時該怎麼辦？這些問題都讓IT人員不願打開這「潘朵拉的盒子」。

掃描出現誤報報表製作費時
但有些特定產業卻可能因為法令規範的關係，被要求需定期執行弱點更新、系統設定等相關安全稽核。以金融業為例，在中華民國銀行公會所製訂的「金融機構資訊系統安全基準」中，就列示了許多與設備、營運、技術相關的安全基準。Tenable 亞太區架構顧問鄭學輝提到，國內有一金控公司的資安團隊就是在執行安全掃描時遇到問題，因此開始採用Tenable的解決方案。

該金控公司員工人數約在1,000以下，這次主要進行弱點掃描的是內部近千台的伺服器，其中Windows Server 2008/2012作業系統約佔800台，其餘則為Linux、AIX。鄭學輝表示金控公司以往使用的弱點掃描產品會發生結果誤判的情形，掃出實際上並未存在的安全漏洞，造成IT人員在修補更新上的困擾。在法規遵循的要求上，以往產品在分析報告的內容格式上不易修改，難以製作出符合法規的稽核報告，需要資安人員自Excel的表格中手動修改、跟進、複製、貼上，增加人員的工作負擔。

Dashboards清楚掌握企業IT現況
後來該金控公司選擇了Tenable SecurityCenter安全管理平台的解決方案，SecurityCenter 是一個自帶 Nessus作弱點掃工具的管理平台。該客戶依照其內部網路的架構，將Nessus分別部署在9個網段的VM上，而SecurityCenter則安裝在另一台VM，以負責彙集整理所有Nessus執行弱掃後的結果。導入Tenable解決方案後，不但掃描的準確性提高，減少誤報的情況，更重要的是讓後續的管理追蹤工作變得更有效率。SecurityCenter能自動產生稽核報表，也能依弱點影響的嚴重性過濾篩選出有問題的裝置，以協助IT人員優先處理更新。另外透過SecurityCenter的Dashboards儀表版，能夠彙整出掃描結果，與利用SecurityCenter提供的模版，以視覺化的方式呈現在頁面中，讓管理者能迅速掌握整體資訊。即便有一些法規上的特殊要求，也能以客製化方式調整Dashboards，以滿足客戶的需求。

提高修補更新效率

而當掃描發現問題後，當然最好的狀況是立即進行更新修補，但有時會因為系統平台過於老舊，軟體廠商已不支援更新；或因為相容性的關係，怕更新後反造成應用程式無法正常運作。遇到這種情況時，鄭學輝建議最好還是直接將系統升級，以免日後遇到類似問題；如果不能升級，了解存在的弱點也可以是在入侵防禦設備上去設定相對的防禦規則（rule），以抵擋漏洞攻擊。但如果管理人員經過評估後，認為該弱點缺失並不會造成嚴重的資安問題，或是該裝置並不對外開放服務而無遭受攻擊疑慮的話，也能在管理平台中點選「Accept Risk」的選項，使該弱點自掃描報告中移到已接受風險類別，以更符合實際運作的現狀，稽核人員亦可列出已被接受的風險，避免功能被濫用。

鄭學輝提到，這家金控公司在採用Tenable解決方案後，原本半年才執行一次的弱點掃描工作，透過自動化排程的設定，能大幅縮短掃描頻率到每月一次。利用SecurityCenter管理平台也能加快IT人員執行弱點修補的工作，讓嚴重的漏洞能在一個月，中等的漏洞在3個月內完成修補，加強網路安全，落實系統安全稽核，符合主管機關法規遵循的需求。