大多數的企業對於資訊安全的規劃建置都是先遇到了資安事件,然後急著從市面上尋找相關產品或廠商來做測試以求能夠立即降低或防範威脅,減少企業的信譽衝 擊。然而這樣的模式卻可能一直上演著。如果發生資安事件才緊急的導入相關產品,除了造成既有的損失,更無法預測往後還會有甚麼事件發生,因為威脅來源的多 元化可能會讓企業面臨入侵威脅、持續性滲透攻擊,網頁型態的攻擊等,而疲於測試入侵防禦系統(IPS ; Intrusion Prevention System )、沙箱技術(Sanbox)以及網頁應用防火牆(WAF ; Web Application Firewall)等解決方案。
駭客的攻擊管道主要都是透過漏洞,而市面上的各種即時防禦系統都有他們一定的必要性,只是許多企業可能因人力或預算有限,無法從資產的弱點逐步規劃建置, 因此才會跳過弱點掃描及修補的階段而以比較快速的防禦系統建置為優先考量。比較正確的導入流程應該是先徹底檢視企業內部的既有風險,掌握風險之後則須進一 步的訂出短、中、長期的政策,因為絕大多數的企業內部都有許多隱藏的漏洞,包括作業系統、應用軟體、網路設備、網頁服務、資料庫,甚至各種資安設備本身也 可能存在許多漏洞,而這些漏洞必定無法在短時間之內修補完成,因此企業的短期目標必須規劃如何用最少的時間達到既定的妥善率,針對無法立即修補的漏洞卻又 必須提供服務的系統進而規劃導入相關的防禦設備作為補強的措施,這就可列入中期目標;至於長期目標則都是希望盡可能的達到百分百的妥善率,然而這就不只是 一味的以IT部門建設各種威脅防護機制就可達標,更重要的是要加強使用者的資訊安全概念,並定期實施攻防演練。接下來我們先來談談該如何掌握企業內部的風 險指數、風險驗證以及修補政策的觀念。
最直接而有效的掌握企業內部的安全風險,莫過於使用弱點掃描系統,然而市面上也有許多的弱點掃描系統甚至有許多很好用的免費版軟體,那麼企業該如何評估?在此提供幾個方向:
1. 廠商必須獲得Gartner 的強力推薦:
無論國內外,絕大多數的金融體系、政府機關以及中大型企業在評估各種產品時都會以Gartner Report魔術象限中的第一象限或強力推薦的廠商為主要對象,這可確保他們所購買的產品在現階段及後續的發展可以跟得上甚至領先趨勢潮流,在業界也都處 於技術領先的地位,例如弱點掃描的誤判與漏判就是很重要的技術能力指標。 2. 弱點資料庫必須提供最快速的更新: 各種漏洞不定時的在全世界被揭發,若想要徹底掌握企業內部的風險就必須採用隨時可以提供最新的弱點資料庫,因此廠商必須保證弱點資料庫的即時性,例如必須跟上Microsoft的弱點。而弱點資料庫也必須涵蓋作業系統、應用軟體、網路設備、網頁服務、資料庫等。
3. 報表的精緻性 :
報表的好壞雖然與弱點掃描的好壞沒有直接關係,但精緻的報表系統卻可以提升企業修補的效率,縮短風險暴露的期間。舉例來說,如果修補報表中建議去下載最新 的修補程式,卻要你自己去官方網站自己找些修補程式,將會耗掉很多的時間,而且未必找到正確的修補檔案,精緻的報表系統可以直接提供修補檔案的連結,並告 知每個漏洞修補所需要的修補時間,讓修補人員可以事先了解並能掌握通告斷線停機的時間長短。
另一個比較鮮為人知的修補過程則是重複性的修補所浪費的人力時間,舉例來說,某台主機的其中一個漏洞只需要用一個小包的修補程式即可完成,另一個漏洞則需 要另一個較大包的修補程式來完成,如果大包的修補程式已經涵蓋小包的修補程式,那麼實際上就根本不需要進行小包的修補程式,然而大部分的弱點掃描系統報表 並未做全面性的修補建議核對,針對中大型企業的修補時程將可能浪費許多修補時間。
此外,精緻的風險矯正報表可以讓企業掌握該如何做最少的修補來達到最高的妥善率,例如當你面對上千個漏洞時,通常無法在短時間內修補所有的漏洞,因此透過 矯正報表可讓你瞭解只需要針對10台主機更新25個修補程式就可修補270個漏洞,而修補這270個漏洞就可讓企業的妥善率達到81%,其餘比較不具高風 險的漏洞則可另外安排時間修補,或透過各種防禦系統做即時的攻擊阻斷。 趨勢報表對於企業也是另一個很重要的報表分析,尤其對於高層主管或老闆想知道花了錢做弱點掃描到底有沒有成效。通常當你做完漏洞修補都必須再重新執行一次 弱點掃描的工作以稽核相關人員是否真的已完成修補的工作,如果公司的政策必須每季或每半年就執行一次弱點掃描,那麼長期下來就必須有個趨勢報表來分析風險 指數是否有逐漸下降的趨勢,又或者有新的漏洞產生。 4. 風險驗正機制:
許多資訊安全部門基於法規要求與稽核單位的執行,必須定期針對所有系統實施弱點掃描並提供矯正報表給予系統人員修補漏洞,當漏洞修補完畢後,資訊安全部門 則必須再做一次弱點掃描以確保系統部門已完成必要的修補,然而卻可能發生某主機明明已經完成修補,卻仍被列為必須修補的對象,到底是弱掃系統的誤判還是修 補過程出了問題?
大多數的弱點掃描系統固然可以找出許多漏洞,然而市面上有許多漏洞根本不存在任何攻擊程式可被利用,基於風險管理的評估,必須在有限的資源與時間內做出最 大的風險矯正,也就是用最少的時間修補最容易被入侵的漏洞,因此在有限的時間下並不需要針對所有的漏洞進行修補,除了剛剛談的矯正報表所提供的妥善率可作 為參考依據,風險驗證也是非常重要的一環,透過滲透測試的工具可以驗證某些弱點是否真的可以被滲透成功。以本情境所舉的實際案例來說,如果該主機已修補某 些漏洞,但經由滲透測試後卻仍可以成功滲透那些已經修補的漏洞,那就表示修補過程有遺漏,又或者修補程式其實根本沒有完全修補該漏洞,這種情況也不是新鮮事。
從弱點管理到滲透測試的風險驗證必須可以相互整合,也就是說滲透測試工具可以直接使用弱點掃瞄的結果,並針對弱點啟動滲透攻擊,再將滲透攻擊的結果回傳並 整合到弱點掃瞄的報表當中,作為優先修補的項目。因此企業除了實施弱點掃描之外,對於許多產業更應導入風險驗證的觀念,甚至定期實施使用者的資訊安全概念 與攻防演練才能將可能的風險降至最低。
文章來源:懇懋科技 技術協理 柯呈和
| 
本電子報著作權為「懇懋科技股份有限公司」所有,未經授權請勿任意轉貼節錄。本文中所提及之內容如其他品牌之商標、企業識別標誌、服務標誌、名稱等圖像與文字,乃屬其各自所有者的財產。
沒有留言:
張貼留言