在檯面上的SIM 用SIM來考量各種折衷方案
安全資訊管理(SIM, Security information management)系統對組織有相當大的幫助,但它們也有它們的不利之處。
雖然SIM可以協助符合稽核需求,並強化意外事件的回應速度,但它們也較難以佈署與難以管理,因為也許將會有代理程式需要進行調整、真假資訊都得將其挑選過濾出來,且必須要執行輸出報表,上述這些工作都需要資源,某一些組織需要有一位或更多的工程師來專職地管理SIM系統。
在Navy Cyber Defense Operations Command(海軍網路防禦運作司令部)擔任技術總監的Jim Granger表示,SIM就像任何其他的科技一樣,在初期都必須投入時間與資源,並不是任何一個人都可以來實行這些系統,仍需要專精的技術人員來進行操作。
他表示:「SIM迫使你必須要去了解你的商業流程是如何運作,以及你的網路到底長的像什麼樣子,不過這對公司與系統本身來說都是件好事。」
PPD是一家為醫藥與其他公司服務的全球性合作研發公司,在該公司擔任網路安全工程師的Dave Daniels表示,當第一次安裝完畢後,SIM會產生許多你並不需要去留意的安全事件,但只要針對特定的環境狀況來調整系統,便可協助你解決這個問題。該公司安裝了一套來自Q1 Labs的SIM系統,這是一套結合了不規則偵測技術的SIM系統。
他表示:「對你的網路狀況了解越多越好。」
依據Daniels的說法,這樣一來其所獲得的代價便是可流暢化安全監控過程,讓追蹤與分析病毒的爆發更為容易。
安全管理者建議其他的用戶在採購SIM之前,必須先花時間去了解自己的需求。
位於加拿大安大略市獨立電力系統營運商的安全主管Dave Lewis表示:「他們必須真正地了解他們自己的需求是什麼,之後再來對應產品的功能,不必要去擔心你將會去面對哪家供應商,而是要去擔心你自己的實際需求。如果你不了解你自己的實際需求是什麼,你將會搞的一團糟。」
同樣地,在Idaho Tax Commission(美國愛德荷州稅法委員會)擔任IT資源經理的Glenn Haar,建議組織在評判特定的SIM產品之前,應該先去弄清楚他們所想要達到的目標是什麼。他的公司在選擇採用High Tower Software的設備之前,特別研究了該公司的規範與安全需求。
他表示:「我們並不先去看產品本身的功能,我們會先去討論我們的商業目標是什麼,如果你是從供應商處獲得觀念上的教育,一般來說它們所教你的方向,正是它們所想要讓你瞭解的世界,你所需要知道的下一件事,便是它們的產品將完美地符合你的需求。」
無線網路實戰
很少有環境會像蔓延的校園一樣對空中活動爭論不休。在Durham市的University of New Hampshire的校園中,WiFi網路每天尖峰時段有700個學生、教職人員,在為安全與便利性找尋一個平衡點。
UNH的網路經理Doug Green說,即使網路提供了VPN讓使用者進行驗證與資料加密,但一些基本服務還是不能透過VPN。
「由於我們並未普遍佈署WiFi,因此使用者會私架基地台,也因此降低了我們所建立的安全標準,」Green說。「這些使用者暴露了所有的安全問題,包括掛線、密碼抓取、中間人攻擊,以及駭客等。」
未授權的AP對Green與網路團隊來說是再常見不過的事。他們堅持要將其移除,但與其給違規者壞臉色看,網路團隊還是強調以教育的手段,並想辦法滿足使用者的需求。
「我們與客戶合作,了解他們的需求,並發展出合理、合法的服務方案,」Green說。「通常使用者會以為他們私架設備可以省錢。但長期下來,許多人都了解我們所提供的服務會更為穩定。」
實務的策略法,以實務的方法結合穩固的政策來幫助WiFi使用者滿足其目標,是務實主義者的達成手段之一。網路安全顧問公司Core Competence的副總Lisa Phifer說,所有網路的安全策略目標通常是保全有線網路及其資料,而WiFi則會引出數種滲透的方法。
Phifer說建立並維護WiFi安全政策非常重要,但要滿足員工的需求,別讓他們尋求政策外的自助方案也很重要。
「使用者也不希望使用他們自己不安全的無線替代方案,」Phifer說,「但你可以採取一些步驟來提供並強化以安全的無線網路來進行所有的商業活動。」
一家大型新英格蘭的雜貨連鎖店的資深資訊安全分析師David Fournier,負責保全數千項設備皆會使用的無線網路的安全性。這些用戶可能使用無線網路PC或是手持式掃描設備,無論是極為重要的庫存資料,還是日常的Web流量,全都透過無線進行傳輸,要讓無線網路安全政策能夠符合企業需求是不容易的一件事。
「便利性與安全性永遠無法妥協,」Fournier說。「我們要提供無線網路的便利性,但卻要兼顧安全。」
Fournier說除了Cisco System專利的LEAP協定所建置的驗證系統外,他的公司還利用虛擬LAN與SSID來斷開顧客的無線使用者。
Fournier說網路團隊與WiFi使用者的合作,讓兩邊都能滿足其安全性與方便性的目標。「我們對結果感到滿意,」他說。
快!跟上反惡意程式的腳步
我想,再也沒有人比大學資安官更了解潛藏在惡意程式之中的狡詐行為了!一所大學校園當中的資訊長-Jack Seuss就常常必須面臨到數千台電腦在安全層面上的挑戰。「真的沒有什麼完美的單一解決方案?」Maryland大學的IT副總這麼地說,惡意程式就是需要找尋多重的防護方式對付它。
而Seuss則已經使用單機型入侵偵測防護系統來保護校園多數的桌上型電腦,不但如此,他同樣把多數Windows系統的修補程序自動化,並啟用校園版的防毒和反間諜軟體,最末,使用者的認知也成了多層防禦策略當中的一部份!
當然,現在宣佈勝利還稍嫌早了些,許多的資安官覺得,至目前為止,這樣不過是跟上惡意程式腳步的一個基準點而已。
佛州的Taylor縣立學校的網路管理人員John Hornbuckle則表示,目前已有一小段時間沒有發生任何慘事了,但是他並不慶幸這個,反倒說,「今天安全,並不代表明天甚至以後都會一帆風順!」
由於惡意程式本身的特性就是在暗地裡幹一些勾當,可是,實際上我們還發現到一件更不妙的事情:「一小段惡意程式的行為,可能表現出來的是這個或者是那個惡意程式的特性。」任職於Rochester技術策進會的資安官Jim又說,「要是碰巧又遇到個變種的程式,那就麻煩大了!到底是惡意程式A的變種?還是惡意程式B的呢?另外,也有可能是某人取自於某個惡意程式的片段程式碼,再組合另一個惡意程式的其他片段程式碼。」
另一個癥結點則是,反間諜軟體技術是以特徵辨識為基礎。「為了擊潰這些產品的防護線,所有惡意程式撰寫者都會做的事就是,讓其開發出來之惡意程式的流通速度快過特徵辨識碼的流通速度!」Hornbuckle說。
也由於病毒變種的情形成幾何方式倍數增長,所以許多人開始轉向研究誘發式的技術,藉由監控受害系統和遭感染程式的行為來搜尋病毒,而非採取一般比對現存病毒特徵的手段。依據最近的Yankee Group的報告指出,諸如Prevx,Sana Security,Third Brigade和Determina等廠商開始研究此門技術,以期能與像是IBM Internet Security Systems、Symantec、Cisco和McAfee等大廠相抗衡!
「我需要一種能守住系統程序和資料流底線的工具,並且該工具還能偵測到那些離經叛道的事情!」Moore接著說,「有很多的方式都可以達成這個目的-從誘發式技術到不執行位元(no-executebit)防護架構,不過,雖然有不少十分優秀的廠商,但這世上卻很難有完美的防護之道存在。」
端點安全之我見
NAC和其餘端點安全技術在過去的一年都面臨到許多的壓力和關注。追根究底,這些問題的出發點,均是著眼過去這些端點安全產品的能力,只放在確認試圖存取網路之機器的安全狀態。同時,廠商吹噓著自家產品擁有會依據機器相應的健康狀態,達到允准或限制用戶存取資源的能力,再者,他們也認為這是保持網路淨空威脅的作法。
然而,部份的用戶卻認為端點的健檢能力這項作法不是不好,而是,網路存取控制的價值,是落在限制特定用戶對網路存取的能力,非單指存取端點機器而已!另外,NAC系統應佈署在網路當中的策略要點,而不僅止於網路邊際,因為NAC的功能就如同守門員一般,是防止未經授權的用戶存取未認可之網路區段,或者是不被允許的網路資源。
「我所盼望的是能自動依用戶端身分將用戶簽入到所屬VLAN區段的存取控制系統,而非依機器。」北美一家衛星兼造其他航太系統,EADS Astrium公司的商務管理部主任George Owoc接著說,「因為技術限制輸出,還有眾多科技資料分類分級的緣故,我們所簽訂的許多合約都要受到美國國務院的管轄。」Owoc又說,「事實上,我們也雇用不少的實習生和學生,而現階段要作的只是確定他們沒有造成任何不當的存取行為。」
過去,扮演存取控制的兩要角,一是交由內部的防火牆以達到資源層級的掌控,另一則是在重要伺服器僅透過密碼進行存取認證。不過,在某些情況底下,受到分級或限制的資料會放置在不同的網路區段當中,但是這卻會造成合法使用者存取這些檔案的困難。所以NAC系統可開始用以取代部份大型、分散型的企業如EADS Astrium上述部份的功能,只要需求明確便能區分出用戶族群。
「我需要一種可以隔開到訪者和其他用戶存取資源的方式。」Owoc說,「但是,我卻又不希望有些功能綁死在端點機器上,因為這些到訪機器的管理人員會竭盡所能地鎖住這些該有的能力,亦有可能限制這些機器取得應可使用的任何軟體。」
未來Cisco Systems和微軟所提供的NAC-NAP功能,應該會在網路存取控制這塊領域上分飾獨一無二的角色:因為許多企業在網路基礎建構上,靠的都是Cisco產品,而微軟在伺服器方面,則佔有支配的地位,有能力控制誰可存取什麼樣的資源、什麼時間點存取。
身分與存取管理的市場現況
當要大規模佈署身分與存取管理系統的時候,IT主管第一個必須要問的是:你和你的團隊同仁們需要多快達成目標?
「首先必須判斷你們組織的政治生態,還有你是否需要快速(讓你的身分與存取管理產品)獲得成功,」美國紐約市Continuum Health Partners的技術長及安全長Ken Lobenstein表示。
Lobenstein相信,組織需要2到3年才能夠把身分與存取管理實作並運用到最佳狀態。當然了,你們組織裡面的其他部門可能並不想等待24個月才能夠看見IT部門最新的努力成果。身分與存取管理尤其如此,因為對於多數的組織而言,新的遵循和稽核規定需要搭配新的IAM設備才能夠實施。換言之,人力資源和財務長希望有這樣的設備,而且他們想要立刻就看到成果。
當Lobenstein所工作的醫院網路在一年前購入Novell Identity Manager的時候,Lobenstein便體認到他必須要快速達到目標。在6個月之內,他就讓Novell的設備管理了橫跨3部資料庫裡面的400名新進住院醫師的身分資料。但是他的組織有超過21,000名相關人員,所以這聽起來還不算太大的成功。不過他的工作同仁們已經十分心滿意足了,這個一開始的小勝利維持著他們往後繼續實作的熱忱。
「希望快速獲得成功會讓事情變得更難做,也會讓我辦公室裡面最前線的業務人員花費更多的時間,因為他們在頭一年的時候必須不斷地和廠商討論安裝的事宜,」Lobenstein說道。「我們的供應商也想利用最『典型』的方式來推出整套系統,但是討論對於我們而言卻也是非常必要的。」
不過Lobenstein的快速成功並非完全沒有遇到挫敗。「最痛苦的就是我們在實作的時候,沒有開發完整的商業規則,導致我們必須三番兩次重建我們的驅動程式才能夠讓運作正常,」他解釋。為了避免這樣的問題發生,公司在採購身分與存取管理的產品之前,必須先想清楚他們到底要如何佈署整套系統。「先從小規模開始,而且不要想說每種應用都嘗試過一遍,」Brigham Young University的IT軟體工程師Karl Jackson提醒。
Jackson有過5年的CA eTrust Identity and Access Management Suite使用經驗,用來管理大學的行政運算需求。他開始時只是供應服務,加入這項產品成了他之後的挑戰。「當我越來越能夠適應這套產品的時候,它的整合也已經越弄越簡單了,」他表示。「像是存取控制、SiteMinder(Web單點登入)和eTrust Administrator(服務供應、密碼管理)等元件現在又更容易整合了。技巧就是利用我拿到的各種功能來進行整合。」
Geisinger Health System的Web服務計畫主持人Dave Young在向供應商採購產品之前,他花了將近一年的時間來定義他想要的身分與存取管理實作方式。「你不能夠只是把產品從箱子裡拿出來而已,」Young強調,「你還需要訂定一些策略來推動這項產品。」
訊息傳遞的市場現況
因應辦公室裡面數量不斷增加的即時傳訊軟體,安全專家們近來皆忙於尋找方法,以確保重要的公司資料不會因此偷偷從企業的防火牆溜走。
法規要求將訊息內容歸檔的壓力,迫使企業必須增加他們在訊息安全方面的投資(原先的投資主要是在限制外部對內和內部對外的電子郵件方面)。有些公司正著手開發企業級IM用戶端,有些公司則開始執行嚴格的控制和政策來警告員工未經授權的使用行為,更有些公司乾脆完全禁止使用IM軟體。
「我們已經盡我們所能教育人們如何正確使用IM用戶端軟體,只是每個人都到處使用自己所偏好的商業IM產品,」Affinity Internet網路架構主管Chris Ranch表示。這家Web與電子商務的供應商,今年計畫為它的275名員工引進一套能夠加密並且在公司伺服器上面儲存IM對話的企業訊息傳遞系統。
「IM安全絕對是非常重要的,」Ranch說道。「我們希望能夠想辦法控制,而不是拔掉所有人的網路線。」
安全專家們想要尋找的產品,最好能夠偵測和防堵透過IM傳播的SPAM垃圾郵件(亦即SPIM垃圾訊息),以及過濾訊息流量當中的詐騙企圖、病毒和間諜軟體。此外也需要可以將訊息對話歸檔,以及產生各種訊息資料的報表等功能。專家表示,許多公司都轉而採用能夠完全整合安全功能的企業級IM用戶端軟體。
Jeff Carnahan(美國中西部銀行的訊息解決方案架構規劃人員)就說,他們公司自從1999年佈署IBM Lotus Sametime軟體以來,就一直針對公司裡面的即時訊息安全進行管控。他描述道,剛開始的時候,使用IM的員工只有4,000人,而現在整個銀行的50,000名員工已經都完全利用IM軟體來進行內部溝通了。此外他們也佈署了FaceTime Communications的歸檔和儲存軟體。
「IM的行為當然會受到一些關切,但是內部即時通訊的好處絕對是利大於弊的,」Carnahan解釋道。
另一方面,Stampin'Up!(位於美國猶他州的Riverton,這是家木製圖章零售商)的IT主管Chad Richards則選擇強制破壞員工的生產力,完全禁止在公司裡面使用IM。在檢視過公司內部的IM交談訊息記錄之後,Richards說10則對話裡面只有1則是在談論與公司有關的事情。
「儘管我看到了不少潛在的優點,但是容易導致員工分心以及難以管控IM等問題也是不容忽視的,」Richards表示。「必須不斷地運用政策來處置使用IM與親朋好友聊天的員工,這對於整個公司而言將會有不良的影響。」
漏洞管理實戰
漏洞管理(VM, Vulnerability Management)策略不但能為你的企業建立出安全政策,更能夠將其貫徹。
VM大傘下的產品千奇百怪,有掃描器、修正程式管理工具、滲透測試服務,也有資產管理軟體等—「它提供了建立及維護安全計畫與政策所需的工具,」Siemens Business Services的CISO,Dave Bixler說。接下來,政策必須指出這類的產品將如何以及何時被使用。
雖然VM的產品功能越來越多,但卻沒有任何產品能夠解決組織中所有的VM需求,部份原因是因為安全主管不希望讓修正能夠自動化。「CISO過去因為自動化的解決方案阻擋了合法的網路通訊而嚐到苦頭,」Forrester Research的資深分析師,Khalid Kark說。
Bixler數年前在其公司對安全政策進行了徹底的翻修,他說在那時不只是想要修正,他還想要容易使用的報表來幫助他規劃修正問題。「用什麼工具並不重要,只要我們可以了解報表內容的話就沒問題了,」他說。附帶一提Siemens後來佈署了Internet Security Systems的掃描器(現在為IBM Internet Scanner)。
雖然Bixler將之前的ISS產品定位為「用來解決OS相關問題的奇妙工具,」但組織最後還是採用了Qualys的產品,並以PatchLink來處理一些修正。「就現在看來,駭客攻擊的對象已不再只是作業系統而已,」他說。「他們會侵入Oracle、SQL,以及我們所有的應用程式。」另外,Qualys的階層式權限模型讓Bixler可以將責任依VM的角度來分配給他的組員,讓安全政策可以根據產品的使用來深入實施。
總部在聖地牙哥的Nuclear Fuels,其IT主任Joe Adams也是一位以VM策略來建立出完善政策的支持者。NFC自有的政策展現了StillSecure的VAM,也能夠與Shavlik的更新程式管理整合。
精明的科技應用是最重要的。「我們不會對所有的設備一視同仁,」他說。「我們對伺服器會有一套程序,對於網路主幹技術又有另一套程序。」掃描是根據何時進行、要找尋什麼漏洞,以及要如何修正等情境來行事,Adams說。不是所有的威脅都是一樣的,他補充:「如果只是發現一個漏洞,也不代表我們會即刻修正它」。
近來VM已出現太多的產品,安全主管必須留意是否會買到重覆的功能。
例如,「如果我可以利用資產管理工具來修正一些事情的話,我就沒興趣再花錢購買修正工具了,」Bixler說。希望隨著VM的發展,有更多的產品能夠物超所值。