2009年10月30日 星期五

[觀點] 從資安威脅挑戰談端點安全防護

所謂的端點設備是泛指所有具備運算功能,並且會連接企業網路的桌上型電腦、筆記型電腦、PDA等手持裝置,以及具備無線網路、儲存媒體、可程式化控制的相關系統裝置等。在企業之中,一般使用者的電腦系統是比較容易受到惡意入侵的管道,因為駭客不需要去和企業的資安防護系統硬碰硬,就可以透過Web或是email直接滲透到使用者端,取得其所想要的資訊,而且每當有端點設備,在離開了企業的資安防護範圍之後,所面臨的資安風險更會大幅增加。

只是,面對為數眾多的端點設備,對IT人員而言,在管理方面將是一個頭痛的問題。舉例來說,雖然企業針對使用者的資訊安全防護,制定了安全存取政策(Policy)和控制措施,若是要透過人工的方式,一一部署到使用者端並且強制實施,似乎不太可能,所以必須要尋求一個自動化的方案。不過,在端點上所需的安全防護甚多,如果防毒有一項政策、防火牆有一項政策、遠端連線也有一項政策,需要分開部署或是安裝多重的使用者端代理程式(Agent),對於使用者日常作業的穩定性和方便性,勢必會造成一些影響。因此,尋求一個可以全面整合並管控的端點安全方案,在單一Agent上支援所有的端點安全防護功能,會是比較好的實施辦法。

端點設備面臨的資安威脅

根據日前資安廠商Websense的2008年資料外洩意見調查指出,有高達99%的IT人員非常關心資料外洩的問題,其中有44%的受訪者更認為,企業最重要的資安問題就是「智慧財產權遺失」,其次則為「客戶個人資料遺失」、「財務資料遺失」和「員工個人資料遺失」。另外,也有63%的受訪者認為,由於外接式儲存裝置便於攜帶的特性,是最容易發生資料外洩的首要管道。

企業的端點設備,皆存放著大量的企業資料,一但遭到入侵成功,損失可能難以估計,特別是一些行動裝置如筆記型電腦,一旦離開了企業實體環境,就會有容易遺失或被竊的風險,如果硬碟裡所儲存的敏感資訊,沒有適當的加密防護,就等於是將企業機密雙手奉上給別人。目前,端點設備所面臨的資安威脅與管理挑戰,基本上有以下幾種:
  1. 惡意程式入侵 - 惡意程式像是病毒、蠕蟲、間諜程式的攻擊已愈來愈頻繁,尤其是駭客可跳過企業對外的資安防護,直接透過網頁瀏覽方式,讓使用者不小心下載惡意程式,直接入侵端點設備。
  2. 遠端連線竊聽與儲存媒體遺失 - 隨著行動使用者的增加,其所使用的行動設備與儲存媒體,在離開企業之後,會面臨遠端存取時的安全問題,企業必須要有可靠的身分驗證與資料安全傳輸機制,並針對行動裝置上的硬碟和USB儲存媒體,做好適當的管控與防護。
  3. 端點難以集中管理 - 企業內眾多的端點裝置,要如何進行統一的資安政策部署,並且增加資安管理的可見度,對於IT人員來說難度甚高,除了會增加管理成本支出外,更有可能影響使用者系統的穩定與效能。
端點安全的部署建議

為了因應以上的威脅與挑戰,企業可考慮部署端點安全解決方案,藉由全面性的安全防護來因應資安問題,不過在選擇評估時,建議需考慮以下幾點:
  • 能偵測並阻擋惡意程式 - 端點必須具備防毒、防間諜軟體、防火牆等功能,並可透過中央控管方式,提高端點的可見度,也就是說管理人員有能力針對所有端點進行定期掃瞄,並且可掌握有哪些設備已經中了毒,還能夠針對端點設備的現況,提出詳細的安全報告。
  • 可加密保護敏感性資料 - 行動裝置已經愈來愈輕薄短小,若是一不小心遺失了設備,而且資料本身並沒有保護措施,那麼重要的資訊就會立即面臨遭到揭露或存取的風險。保護端點資料安全的控制措施,應包括了磁碟加密、外接式儲存媒體加密和周邊連接埠控管等。目前針對資料的加密方式,可以對儲存媒體進行單一檔案加密、資料夾加密,或是整顆硬碟加密。另外,控管周邊連接埠的好處是,可防止資料被複製到外接式的儲存媒體中,也可同時防止像是USB病毒感染,避免惡意程式透過這些管道直接滲透至企業內部之中。
  • 統一部署安全政策 - 在端點部署了安全政策,即可針對連線設備做好網路存取行為的管理,例如在連線之前可要求必須更新病毒碼和安裝最新的系統修補檔,並且限制其執行不被允許的應用程式,像是P2P軟體等。另外,針對遠端連線的使用者,透過安全政策的要求,可以檢查系統狀態是否安全,並且在安全的傳輸通道下,才允許他們連回企業的內部網路。
  • 確保遠端連線安全 - 端點安全方案必須確保遠端設備能使用加密的安全通道,才可進行資料的傳輸,例如使用者在咖啡廳、機場等地使用公開的無線網路時,應透過VPN的運用,來避免連線過程可能被竊聽而導致資料外洩。
  • 供中央控管機制 - 具有中央控管機制,將可大幅降低IT人員在管理時的負擔,除了能協助派送必要的軟體或政策更新之外,還能夠即時監控、掌握目前的端點安全情況。對管理者而言,提供清晰的報表也是很重要的,因此良好的端點安全方案,應該要能協助管理人員簡化對於安全事件的管理。
  • 減少對使用者的影響 - 一項新的安全控管措施在佈署時,最重要的就是要避免影響使用者現有的工作,降低對於使用者作業系統的衝擊。因此,好的端點防護方案應避免佈署多重的Agent,以防止系統資源過度消耗,造成系統的不穩定,雖然安全控制措施多少都會有一些效能的影響,但是應控制在正常運作的範圍之內。
循序漸進來解決問題

在端點安全方案出現之前,有許多企業已經部署了單一的資安防護措施,但是彼此之間卻缺少整合管理的能力,因此,目前的端點安全方案,最大的優勢就是可以進行安全防護的一致性整合,提供企業更快速簡便的管理方法。

如果企業已開始評估導入端點安全方案,對於產品的功能、建置時程、人員訓練,一定要記得詢問協助建置的廠商是否有完整規劃,尤其要考慮到可擴充的問題。因為事實上,如果有些產品功能目前並沒有迫切的需求,就不需要一次全部都導入,而是可採取適當的配套方法,先針對目前的需求來循序進行。

舉例來說,端點安全方案提供了全面性的防護功能,但是若現在最需要的是針對防毒、遠端連線安全、集中式管理所有端點設備,那麼防止惡意程式、個人防火牆、遠端連線VPN、中央政策控管就是該先行規劃的項目,至於硬碟加密、周邊控管、應用程式控管等功能,只要確認廠商有提供可擴充的方案,即可留待有需求時再行導入。(本文刊載於2008年10月號網管人雜誌)

[觀點] 從混合攻擊手法談整合威脅管理

近年來的資安事件,無論是網站入侵或是資料外洩問題,惡意人士採用的已不再只是單一的攻擊手法,而是會透過各種管道,先探測系統存在的弱點,再伺機植入惡意程式,這種混合式的攻擊手法,對企業運作已是一項重大的威脅。

舉例來說,像是七夕情人節剛過,有許多人的電子郵件信箱都會收到愛情告白信,若只是因為一時的好奇,按下了郵件中所附上的網址連結,很容易就會被植入蠕蟲,而成為散佈垃圾郵件的主機之一。此外,如果你還是個喜歡關心世界大小事的網路使用者,那麼最近自動發送給你的「CNN十大新聞影片(CNN.com Daily Top 10)」郵件,裡面附上了熱門新聞影片的網址,當你點選之後,它就會告訴你需要去更新電腦中的Flash Player程式,才能順利觀看影片,一旦你依照指示下載並更新了程式,它同時也偷偷安裝好了一隻叫做「TROJ_TIBS.CSZ」的木馬。

以上這些事件,已不再只是單純的散播病毒,而是混合了包括垃圾郵件、間諜軟體、蠕蟲和惡意連結等方式,把惡意程式裝扮成美味可口的模樣,散佈到企業的各個角落,意圖來引誘好奇心重的人們上當。如果使用者不小心受到感染,很容易就會成為殭屍網路(Botnet)中的一員,變成一個被利用的攻擊跳板。

全面資安防護大不易

當然,以上的惡意攻擊手法,對聰明的IT人員來說是不會輕易上當的,但是對企業為數眾多的一般使用者而言,即使管理人員已常常提醒大家不要開啟來路不明的郵件,他們還是很容易就會受騙,而且還會用無辜的語調說,「這封信看起來就是由CNN發的,而且連結的網頁也和CNN網站長得一模一樣,所以才會打開呀」。因此,除了加強使用者的資安意識之外,面對各式各樣的攻擊手法,我們還是得設法從技術面來加以預防。

目前,企業內部的基礎資安防護措施,通常包括了防火牆、入侵偵測防禦與防毒系統等,如果組織還包括了分支單位,或是有行動工作者需要遠端存取企業內部資源,那麼建置一個安全的連線管道如VPN,也是必要的安全措施。但是,這些防護措施說來容易,真正要管理起來卻不是那麼簡單,因為每項單一功能的設備,都會有自己的管理介面,也需要個別去設定各種安全規則與政策,每當IT人員面對眾多的資安軟硬體設備時,在管理上很容易就會發生掛一漏萬的情況,也就演變成為資安事件發生的潛在原因。

因此,對企業而言,資訊安全是一項全面性的工作,任何一個地方都不能夠有疏漏,只要有惡意人士發現了其中一個弱點,很可能就會利用它來危及整個企業的重要資訊與系統運作。不過,目前國內的中小企業,在缺少專職資安人員的情況下,資安工作通常都是交由IT人員來負責,可是IT人員平常的任務繁多,往往已經是身兼數職,一邊要確保主機正常運作,一邊又要維護網路,若再加上資訊安全這一項,就成為雪上加霜的沉重負擔。

認識整合式威脅管理

探討驅動這些混合式攻擊的背後目的,除了是為獲得有價值的商業資訊之外,竊取個人身份資料也是重要的原因之一。針對日漸增加的安全威脅,資安廠商也推出了整合防毒、防駭的整合式威脅管理(Unified Threat Management;UTM) 設備,來協助企業抵禦外敵,這些產品的出現,主要就是為了簡化過多單一功能產品的管理問題,以及考量到許多企業需要能夠集中管理的資安防護方案。

根據資策會資訊市場情報中心的調查指出,有近三成的企業沒聽過UTM這項產品,而UTM的效能不彰則是無法大量普及的最大原因。但是,隨著CPU與網路元件處理速度的加快,硬體效能已經得到大幅的提升,目前各家廠商正在努力思考的方向,其實是在「功能」、「效能」和「成本」之間,去創造一個擁有最合適平衡點的UTM產品。

對企業來說,導入資安產品的目的,最終還是要回歸到本身的需求,並且能夠解決所面臨的問題,雖然說UTM集合了各種功夫於一身,但是要寄望它同時將各種功夫都發揮到極致,基本上是不太可能的,就算有這種產品推出,成本花費也會是一般企業難以負擔的,所以在建置的過程中,廠商會努力和使用者溝通,才能找出符合使用者需求與適當的解決之道。更何況,有些企業並不想只依賴一個十八般武藝都很強的產品,他們真正需要的是一個容易部署且符合功能需求、能提供一定程度的安全防禦、在問題發生時能很快通報給管理人員的安全方案。所以,只要效能和成本比可以接受,採用UTM產品也會是一個不錯的選擇。

UTM產品的評估重點

如今,市面上的UTM產品種類繁多,到底要如何才能選擇一個適合企業應用的方案?基本上,個人認為UTM主要會適合以下情況的企業來應用:
  1. 希望簡化安全部署與管理的大型企業
  2. 人力和資源有限的分公司或中小型企業
  3. 需要針對遠端使用者,提供遠端存取與安全連線的企業。
  4. 尚未部署其他安全方案,希望在單一方案中整合防火牆、入侵防禦、防毒、VPN等技術。
因此,企業在評估採用UTM方案時,除了最令人關心的價格問題之外,還需要考量的因素有:
  • 安全性 - 在UTM中所採用的安全技術,像是防火牆、防毒、VPN、入侵偵測等,是否在業界具有一定的知名度,企業除了要考慮個別模組的表現之外,也需要考量技術整合的整體安全性,是否有能力為企業有效阻擋各種安全威脅。
  • 管理性 - 對於UTM設備來說,採用集中式管理是必要的功能,無論是組態設定、設備監控、產生報表,都必須要能透過統一的政策來進行。在管理方面,採用可彈性化與視覺化的物件設計,對於管理人員來說,將能大大減輕管理時的負擔與時間成本。
  • 擴充性 - UTM所包含的安全與管理功能,必須是模組化且可更新的設計,因為對現今企業多樣化的網路環境而言,為了加強安全性,UTM設備不能只是一個固定的裝置,而要能夠隨著企業的成長需求,以彈性化方式進行調配管理。
  • 高效能 - 適合企業採用的UTM,在系統平台上需要有特別的硬體設計,才能符合企業在效能上的要求,而透過支援高可用性,將使企業的關鍵業務不會停擺,同時降低效能上運作的瓶頸。
簡化管理是解決問題的關鍵

今日安全威脅的產生速度已愈來愈快,而且攻擊的層面也更加廣泛,企業在擬定資安防禦策略時,除了加強原有的系統防護之外,如何去簡化安全的管理機制,制定快速的事件處理流程,將是解決資安問題的重要關鍵。

現今的整合威脅管理產品,在先天上具有管理與佈署簡便的優勢,唯一要克服的,是效能與功能面的展現要求。不過,隨著硬體元件的改良,加上可擴充運作的方式,針對資安人力有限的企業,不失為一項良好的資安防護措施,在事事要求投資報酬率(ROI)的今天,如何去兼顧安全與成本,將是管理人員需要及早去學會的重要功課。(本文刊載於2008年9月號網管人雜誌)

2009年10月29日 星期四

[觀點] 從設備失竊事件談實體安全管理

2007年1月,美國國稅局存放納稅人資料的26個電腦磁帶,在堪薩斯市政府大樓裡遺失,雖然相關人員試圖找出磁帶的下落,但就如同許多失竊事件一樣,物品從此消失不見,唯一能做的就是祈禱裡面的重要資訊,不會遭到濫用而造成更大的損失。

對於IT人員來說,實體安全是一個很大的議題,牽涉的範圍也相當的廣泛,因此,往往是容易被疏忽的一環。從外圍建築物週邊的安全邊界開始,一直到企業內部機房和相關的資訊設備,都屬於實體安全中要保護的一部份,所以IT人員勢必要花費一番心力,才能瞭解實體安全的相關措施。事實上,企業要確保實體安全的目的,就是為了降低自然或人為因素來影響資訊資產的安全,以避免重要設施與敏感資訊不會遭到無意或有意的洩漏、竊取與破壞,而這即是實體安全的核心概念。

識別實體安全的風險

根據個人過去訪談的經驗發現,許多人對於實體安全仍然有一些錯誤的觀念,像是「我們的Server機器沒人要偷啦,又大又重的」、「我們公司門口有警衛,小偷搬不走任何設備的啦」、「我們Server的Console 都有登入鎖定,就算有人溜進去也不能操作」等。事實上,一旦有惡意人士進入了機房或敏感的安全區域,除了有機會能竊取資訊設備之外,其他可以進行的破壞事項還很多,像是破壞電力供應、網路線路或儲存媒體等,這些行為往往會造成更大的損失。

所以,實體安全的第一步,就是要先去識別可能的威脅來源。一般而言,實體安全所面臨的威脅可分為以下三種:
  1. 外部: 指來自於外部的自然威脅,例如颱風、水災、火災、雷擊、地震等。
  2. 內部: 指內部的實體基礎設施失效,像是空調、水力、電力系統等。
  3. 人員: 指人為的因素所造成的損害,又可區分為有意與無意,有意的像是偷竊、惡意破壞、入侵系統等;無意的則是像不小心踢掉電源、在機房打翻飲料和堆放易燃的雜物等。
以天災來說,最簡單的方式就是評估企業所在區域,發生各項天災的機率有多高,然後再去思考是否有對應的風險控制措施。舉例來說,針對水患的部份,企業就要思考是否需備有抽水機具或阻擋水患的防水閘門;或者,是否應將重要設備如發電機組和儲存媒體,移至較高的樓層存放,這些都是可以考慮採用的應對方法。

當然,在實體安全方面還有一些事項,比較不屬於IT人員的管理範疇,像是如何裝設監視器和部署警衛人員等,所以有關這一部份,就需要尋求相關的專業人士協助。建議IT人員可以先列出有哪些安全需求,像是需要什麼樣的門禁管理,還有哪些地方希望要有監視記錄,再請保全人員來協助評估建置。

實體安全的控制措施

實體安全除了外部安全之外,就屬內部的資訊設施與員工是需要進行管理的項目,其中對於IT部門而言,機房是一個非常重要的地方。因此,當機房面對可能的威脅如高溫、停水、停電和水災、火災等情況,就需要事先擬好各種可以應對的劇本,在災難發生之前佈署預防與監測的措施,在災難後也要能迅速的處理回應。在實體安全的控制措施方面,需要注意的地方,簡單分類說明如下:
  • 火災防治 - 建議在適當的地方裝置火災偵測裝置,而且滅火器最好放置在出口和機房,並且要有固定的擺放位置和明顯的標示,同時要記得定期檢測滅火器,並小心使用期限的問題。在人員方面,也要定期訓練並補充相關的消防知識。如果機房備有自動灑水系統的話,也必須事先了解灑水管線屬於哪一類,因為資訊設備一般都不會防水,若必須啟用自動灑水的話,建議以預動式灑水系統為佳。此外,IT人員務必牢記,當火災發生時,最重要的就是人員撤退問題,所以在火災評估與處理時,請以人身安全為第一考量。
  • 空調系統 - 在空調系統方面,在機房內需要有恆溫、恆濕的溫濕度控制與空氣濾清裝置,對於大樓出入風口也要有妥善保護。一般而言,溫度需維持在20 – 25度,溼度則為40% - 55%。若溫度過高,電腦系統易發生當機現象,溼度過高,則設備易有短路問題,這些都是IT人員必備的安全常識。
  • 電力 - 在機房供電方面,建議最好具備主要電力與備援電力獨立配電系統,另外像是針對突波與瞬間斷電的預防,也是要考慮的事項。一般而言,機房大多備有UPS裝置,在添購時即可將這些列為主要的功能要求。一旦斷電時,則需考慮哪些是優先供電設備,對大樓而言,照明裝置會是優先的,主要目的是為了逃生,若在機房中,則需列出重要系統的優先次序。最後,企業對於電源總開關與主配電盤防護、發電機安置地點及供油儲存,也要有良好的防護規劃,可千萬別輕忽了。
  • 門禁管理 - 許多企業對於所謂進出人員的管制,往往只是流於形式而已,這也是發生不當的內部資料存取與設備被竊的主要原因。一般對於敏感區域的進出管控,像是資料中心、機房、高階主管辦公室等,只要有人進出的話,就必須要有適當的管理程序,記錄何人、何時、如何進出等。對於大樓的進出口必須要進行管制,例如設置警衛、檢查哨,尤其是有地下停車場的建築物,人員及車輛進出管制更是不可少的,在人員識別方面,需注意辨識準確度、速度及設置成本,一般可視安全敏感的程度,採取識別證、磁卡和生物辨識(指紋、掌紋、虹膜、聲紋)等裝置,也可搭配錄音錄影之監視系統。
  • 總體環境安全 - 在總體環境安全的規劃方面,機房設置地點需要考量天災的發生頻率,並避免鄰近火源、水源和交通頻繁地點。機房之位置,則應盡量避免過於明顯的標示,以免成為侵入和攻擊的目標。在機房內部環境方面,建議使用耐火建材,並採行高架地板和密閉式天花板,管線規劃部份則採暗線進行,並且嚴禁在機房內堆放易燃物。
多一分思考就多一分安全

以往談到實體安全,經常會被誤以為就是一般保全或是機房安全,但事實上,在國外連區域的犯罪率,也是實體安全要考量的因素之一,所以我們必須適時採用全面性的觀點來看資訊安全問題,並且要做更多的思考。

對於實體安全,深層防禦(Layered Defense)是一個理論與實務兼具的最佳策略,個人則把它簡化為三個步驟:第一步是識別有哪些是屬於安全的區域、有哪些可能的威脅。第二步則依照不同安全等級的區域,選擇實施適當的安全控管措施。第三步,是必須追縱確認各項措施是否落實,並且定期予以測試和稽核。

只要透過以上步驟來檢視現行的安全做法,再予以適時改善修正,相信即可達到一定的安全要求。當然,實體安全不只是這麼簡單,除了上述談到的地點選擇、設備管理和人員控管之外,關於實體安全政策的制定和災難緊急應變程序,則是另外的管理重點,留待日後再和大家分享。(本文刊載於2008年8月號網管人雜誌)

2009年10月27日 星期二

[新聞] 制訂社交媒體資安政策的小提醒

因為近來熱門的「偷菜」活動,使得Facebook成為當紅的網站,也成為眾多企業老闆們頭痛的問題。

Facebook在國外原以社交功能著稱,但在台灣卻因「開心農場」這個熱門的小遊戲,而讓許多上班族無心於工作,每天只擔心自己的農地收成不佳,或是會不會經常遭到小偷光顧。

除了造成員工生產力下降的問題之外,從資安的角度而言,Facebook的確也存在著一些安全上的風險,像是個人或商業資訊外洩、社交工程詐騙、電腦感染惡意程式等,這其實也是同類型社交網站,包括Twitter、Linked In等都會共同面臨的風險。

根據市場調查公司IAN最近的一項調查指出,在2008年只有10%以下的公司,對於社交媒體制訂了使用政策,到了2009年,則有34%已制訂並實施了社交媒體使用政策。

對此,IAN的CEO Jack Phillips認為,這時候正是資安人員應該要重視此項問題的契機,同時他也提供了以下建議:

1. 不必再從頭開始 - 資訊科技變化太快,若只針對現今的技術來制訂政策,那麼改天若又出現其他的媒體,則又要從頭開始,所以應該要利用它來檢視現有的政策是否適當。

2. 運用社交媒體使用政策來提高資安意識 - 資安人員可藉此來重新聚焦資安與風險管理,使員工了解這項問題的嚴重性。

3. 運用社交媒體來增加企業資安的正面形象 - 大多數的組織對於新媒體的反應就是阻擋,但其實社交媒體對於業務、行銷、人事等皆具有不同的意義,企業一開始可藉由監控與觀察來取代全面性的封鎖。

4. 為下一階段做好準備 - 社交媒體平台來來去去,若為了它就全盤翻新現有的政策,似乎有點不太實際,因此需要更仔細的考量。例如許多時候員工在網路上會搞不清楚公私之間的分際,因此教育員工不要把公司相關資訊放在Facebook上,會是較具彈性的作法。

[新聞連結] 4 Tips for Writing a Great Social Media Security Policy

[觀點] 從資料竄改事件談網路存取控制

在2007年12月,國稅局有位低階的三職等公務員,竟擁有修改納稅人資料的權限,並且利用查核系統管制上的疏失,涉嫌竄改「稅務電子管理系統」中,包括納稅人的性別、婚姻狀況、親屬等資料,製造出可退稅的資格來詐領退稅款項,不法獲利高達三百多萬元。

若從資安管理的角度來思考,從這個事件中,反映出了以下幾個問題:
  • 納稅人已完成報稅的資料,為何還能夠進行修改?
  • 低職等的人員為何會擁有更高等的權限?
  • 對於重要敏感系統的連線存取,為何沒有適當的管控措施?
一般而言,若是沒有作好網路使用的管制,一旦有人順利進入企業內部,並且發現無人使用的網路插孔,這時候只要將網路線接上可連網的裝置,即可輕鬆連線存取區域網路。如果一些應用系統上面也沒有作好權限控管,或是有員工在網路芳鄰上分享資料,那麼有心人士要取得一些有用的敏感資訊,並不是一件困難的事。

此外,若缺少了適當的網路監控工具,網管人員其實也很難掌握使用者,到底是從什麼地方?利用什麼樣的裝置來連上企業網路?更無法識別使用者的身份來賦予適當的存取權限,或是進一步限制使用者可存取的應用系統。所以,聰明的人,只要利用合法的連接埠或通訊協定,就可繞過網管的限制,而隨心所欲地存取各項網路資源。

網路存取控制基本架構

過去,企業多半著重在防禦外部的攻擊,以為部署了防火牆或入侵偵測防禦等系統,就等於作好了資安防護工作,而忽略了來自於內部的非法連線或惡意存取,將會造成更大的破壞與影響。如今,隨著各家廠商的努力研發,網路存取控制(Network Access Control;NAC)方案已經有了不同的面貌,透過多層次的安全架構與彈性的佈署方式,可以有效驗證網路使用者的身份,並且透過政策(Policy)的設定,來控管使用者僅具有適當的存取權限,以預防可能的資安事件發生。

目前,NAC還不算是一個業界標準,因此屬於同樣類型的解決方案,還有其他的說法像是:UAC、NAP等,但基本上它們目的都是相同的,如果要用一句話來形容網路存取控制的目標,那就是「必須確保只有合法且安全的裝置,在給予適當的權限之後,才允許它連上內部網路。」此處的合法,指的是必須要「經過身份驗證」,而安全則是要求符合預設的政策,像是「確認連線裝置已安裝系統修補程式、防毒軟體和防火牆等」。

歸結起來,一個網路存取控制方案的架構,基本上有三個主要的元件,各自負責不同的任務,簡要說明如下:
  • Agent - 必須要安裝在每一台電腦上,用來收集使用者端連線裝置的資訊,確保系統安裝了安全防護軟體,並且已修補了系統漏洞。通常網管人員一聽到Agent,直接聯想到的就是佈署上面的問題,目前NAC的Agent主要是透過使用者以瀏覽器啟動Active X方式來安裝,避免需要耗費人工安裝的問題,不過若是Windows以外的系統,有些就必須以人工來安裝。如果在某些情況下無法安裝Agent,也有所謂Agentless的方式,可透過AD的管理者權限,或是以掃瞄的方式來收集使用者端的資訊,但其缺點則為耗時且功能不夠完整。
  • Enforcement - 通常Enforcement可由DHCP、Gateway或Switch來擔任,其他支援802.1x的網路設備也能一起協助把關,它是網路裝置連線後會遇見的第一道關卡,負責檢查使用者的電腦狀態是否合乎安全政策的要求,就如同入境時進海關一樣,會要求旅客必須出示證件來證明其身份,並且檢查有無攜帶違禁品。如果一切合格之後,它會詢問Policy Server要開放何種權限給使用者,可以通行到哪裡?如果不合格,就會把使用者請到小房間裡隔離起來,作更進一步的要求與確認,等到更新之後且合乎了政策的要求,才會允許進入。
  • Policy Server - 主要儲存規範使用者行為與權限的安全政策,並且協助使用者和AD或RADIUS來進行身份驗證,在Policy Server中定義了每個角色(Role)具備什麼權限?可以使用哪些應用程式?可以存取哪個網段的應用系統?
適合導入產業與部署建議

企業想要做好網路存取控制,主要的目的就是為了分辨合法或非法裝置、控管存取權限,以及確定連線裝置是安全的。當然,在不同的產業,對於網路存取控制有不同的需求,依照個人的觀察,適合導入網路存取控制的產業,通常具有以下特徵:
  • 分點過多且有遠端存取需求
  • 要求訪客的電腦安全
  • 高度資料保密
  • 具有研發部門
  • 要求存取權限區隔
至於在部署的考量方面,企業需要事先評估的項目有:
  1. 支援度 - 需考慮不同系統平台的Agent部署方式,評估要採取事先安裝、遠端安裝,或是不安裝agent來進行。另外,要考慮是否支援目前的身份驗證方式,像是支援AD、LDAP和RADIUS,還有是否支援所使用的防毒軟體等。

  2. 相容性 - 部署前需要評估和網路架構的相容性,若是採用802.1x方式,則需要評估設備是否能支援運作。另外,也要考慮應用程式的相容性問題,確保企業內部客製化的應用程式,在NAC的架構上也能夠順暢使用。

  3. 隔離處置方式 - 需要了解使用者若是不符合政策要求,到底是如何被隔離的?是否被隔離在不同的網段,以及要如何引導使用者進行更新?必須有明確的指示可協助使用者在更新完成之後,能夠順利再次登入網路。
以逸待勞是最佳防禦方式

讓我們回到一開始提到的竄改納稅人資料事件,如果事先部署了適當的網路存取控制措施,就可以避免不具權限的人去連線存取敏感資料。不過,網路存取控制並不是萬靈丹,如果使用者透過其他方式取得了合法身份,依然可循正常的管道來從事非法竊取資料的行為。

因此,今日的資安工作,應該藉由管理面和技術面共同著手,在管理方面,先從制訂存取政策與作業流程開始,要求除非獲得授權許可,否則一律禁止存取敏感資料;至於在技術方面,可強制進行身份驗證,設定強而有力的密碼設定規則,這會是一種有效的補強性控制措施。而藉由NAC的協助,還可以同時防止非法的網路連線存取,並阻隔惡意程式從內部爆發的問題。(本文刊載於2008年6月號網管人雜誌)

2009年10月26日 星期一

[新聞] 社交網路安全的7宗罪

CSO資深編輯Bill的這篇文章,一針見血地提到了網友們在使用社交網路媒體(例如Facebook、Myspace、LinkedIn、Twitter等)最容易犯的錯誤,值得大家參考。

1. 過度分享公司訊息 - 一旦你在社交網路上清楚地描述了公司目前的動態,很可能不自覺地就洩露了公司的商業機密,例如某種新藥即將研發成功、新的產品設計款式將上市等,這些訊息很可能會讓市場上的競爭對手,藉此來進一步盜取商業機密或破壞商機。

2. 公私不分 - 如果你的Facebook上有商業上的合作夥伴,也有私底下的豬朋酒友,那麼在上面所分享呈現的資訊,可能就會造成一些問題。例如當合作夥伴或是老闆發現你酒後發瘋或經常惡搞朋友的照片,或許就不太會考慮將重要的案子交給你來執行。

3. 發表憤怒的言詞 - 如果你的商業夥伴、老闆、老婆都能看到你的Facebook,那麼當你生氣時在上面發表文章,要按下「送出」前請務必小心,免得怒火有天會回過頭來燒傷了自己。

4. 以為朋友數量最多的最贏 - 有些社交網路會鼓勵你廣邀更多人來加入你的人際網路,連結的人愈多看似最受歡迎且無傷大雅,不過一旦要是不小心引狼入室,像是詐欺師、恐怖分子、身分竊賊等都變成你的朋友,恐怕就會造成一些不必要的麻煩和困擾。

5. 使用懶人密碼 - 很多人在不同的社交網站和工作時都使用同一組密碼,如果不小心因為網站本身的弱點或個人密碼強度不足遭到破解,那麼其他的網站或工作權限也就會跟著淪陷。

6. 喜愛任意點選連結 - 在社交網路上常常會接到朋友的邀請,只要你點選一下就能接受或連結至不同的網頁。請務必小心有些惡意人士可輕易偽造看似來自朋友的邀請,如果你不加思索就一一點選了,很快地電腦就會感染惡意程式和病毒,成為別人操控的玩具。

7. 損人又害己 - 以上的各項罪刑很可能都會連結至這一項,因為只要一個不小心,就會連帶地讓親朋好友跟著一起受害。例如在社交網站上揭露過多親朋好友的資訊,像是生日、職業、收入、年齡、住址等,很可能就會讓你的親友成為歹徒冒用身分或綁架的對象。

[新聞連結] Seven Deadly Sins of Social Networking Security

[觀點] 從服務中斷事件談營運持續管理

今日企業對於IT的倚賴已愈來愈深,無論是網路連線、資料傳輸或是系統問題,一旦無法正常的運作,連帶會使企業重要的營運服務也隨之中斷,當IT問題演變成為營運問題,也就代表資訊人員的責任更加重大,更需要去思考如何確保IT的持續營運。

2007年5月,日本全日空航空公司,因為國內線電腦系統當機,使得旅客櫃台作業停擺,飛機大排長龍,共有127個航班被取消,超過250個航班誤點一個小時以上,估計約有五萬名旅客受到影響;2008年3月,華航的電腦主機系統,也因為突然大當機,無法辦理旅客報到和行李託運,使得前往東南亞和東北亞的航班,被迫延誤一、二個小時,使得三千七百多人的行程受到影響。

除此之外,中華電信在2008年2月時因為簡訊中心發生軟體故障,導致有數十萬用戶,無法正常收發簡訊,經過數小時搶修之後,才慢慢恢復運作,但是恢復過程中,仍然有流量壅塞的問題,使得簡訊發送也受到延誤;同樣的時間前後,微軟MSN即時通訊也因為伺服器定期維修時間逾時,造成亞太地區的使用者,不能正常登入使用,斷訊時間長達了6個小時,連帶使其提供的電子郵件信箱也無法正常服務。

從國際標準來看營運持續管理

面對IT系統問題所造成的服務中斷,對資訊人員而言,最好的辦法就是在意外事件發生之前,根據各種可能的狀況,擬定好如何應對的策略,一旦災難真的不幸發生,就可以根據這些事先定義的作業程序來緊急應變,以確保關鍵的業務運作不會因災害而中斷,並且在最短的時間內,盡快將所有系統和服務回復到正常運作。

因此,企業的營運持續管理主要是從經營層面來看,或許你會說,我只是個小小的資訊人員,並不像老闆擁有決策權,談經營管理對我來說有點太遙遠,但事實上,正因為我們是資訊人員,是確保組織關鍵運作的小齒輪,所以更要吸收持續管理的概念,在危機來臨的時候發揮實力,減少災難對企業所造成的傷害。

目前,有關營運持續管理(Business Continuity Management)的規範,英國的BS25999是個很好的參考,這項標準分為兩個部份:BS25999-1是作為落實營運持續的參考手冊,對於營運持續管理系統,有完整的描述與實施說明;BS25999-2則是對於營運持續的管理要求,同時也是一個可以作為驗證的標準。

在BS25999標準中,營運持續管理的實施過程主要分為四個階段,分別是「了解您的組織」、「制訂BCM策略」、「發展與實施BCM回應」和「演練測試與改進」,礙於篇幅的關係,無法在此一一解說,建議可以參考BSI的官方網站 ( http://www.bsigroup.tw/zh-tw/ ),或是Business Continuity Institute (http://www.thebci.org/ ) 網站,可取得非常豐富的參考資訊。

落實營運持續管理精神

營運持續管理的精神是要去「預料無法預料」的事,根據各項可能造成損失的事件,預先擬訂相對應的劇本,一旦不幸發生時,就可以按照劇本演出,避免因手忙腳亂而造成企業更大的損害。

換句話說,營運持續的精神也可以落實到生活之中,例如我們要維持一個家庭的運作,首先要了解的就是家庭的關鍵活動是什麼?其中有一項可能就是你的工作,因為你的工作所帶來的收入,可以負擔家庭的生活支出,提供生活的基本保障。

但是,有沒有想過你的工作面臨的風險有哪些?可能的風險包括:因公司倒閉或工作績效不佳,被公司資遣或開除而失業;或是因為不小心受傷或生病,導致無法工作。所以為了要降低失業的風險,我們可以擬訂的策略是什麼?簡單來說,可能的方法有:
  • 避免風險 - 把工作辭掉,乾脆自己當老闆,就不會被開除。
  • 降低風險 - 待在經營穩健的公司,並且努力工作拿出表現。
  • 接受風險 - 公司營運良好,倒閉的機率很低,所以不必怕。
  • 轉移風險 - 購買醫療保險,一旦生病時不必擔心醫療費用。
根據以上這些策略,我們要自己評估適合並且可行的做法,再去收集更多資訊以訂出詳盡的計畫,像是想轉移風險時,到底該買什麼保險(意外、防癌或住院險)?一年能承擔的保費是多少?要找哪一家保險公司投保?適合的保額是多少?把它訂出來之後,再依照計畫一一去實施。

所以,同樣的方法回到企業來看,由於企業的經營型態與員工環境比家庭複雜,管理階層要考量的風險就更加廣泛了,而對於網管人員來說,我們要做的就是去找出網路管理的關鍵活動是什麼?當這些關鍵活動中斷時,可能造成的損失或影響有哪些?服務可容許中斷的時間是多久?我們要如何去降低發生中斷的機率?能夠實施的應對措施有哪些?最後,還要再經由不斷的演練、測試,以確認這些計劃是可行的,再針對有缺點的地方加以改進。

如何擬訂緊急應變計劃

在BS25999標準中,它提供了整個營運持續管理實施的策略與框架,讓我們可以依照不同的產業屬性,擬訂有效的應對策略,目的就是要降低災難發生時的損失。其中最重要的就是必須成立緊急應變小組,在災難發生的第一時間內,依照所擬定的緊急應變計劃來進行,避免人員、系統、組織受到更多的傷害。

因此,擬訂一個緊急應變程序是非常重要的,例如企業在撰寫網路營運應變程序時,建議可從以下角度來思考:
  • 偵測 – 網管人員必須設定一些工具或偵測措施,來偵測網路流量是否異常,或是發現某個網路裝置是否產生負載問題。
  • 通報 – 一旦發現異常事件,我們可能需要通知其他的網管人員或資訊主管來共同防範,也需要選擇快速有效的通報方法,例如透過簡訊或電話。
  • 判斷 – 網管人員必須進行初步判斷,是否要針對事件進行持續監控,或是採取更進一步的處理,因此,必須清楚定義事件的等級與對應的措施。
  • 處理 – 網管人員可視損害情況,取得授權後進行緊急處理,例如是否要阻擋惡意IP來源封包、是否要停用網路介面或設備、是否需要更改設定組態等。
  • 記錄 – 最後,網管人員務必牢記,所有的過程都必須要留下文件或記錄檔,以便進行後續的事件查核,並且作為日後改善的目標。
凡事預先防患於未然

在古書《左傳》裡提到:「居安思危,思則有備,有備無患。」相信這是大家在學校都有唸過的一句成語,但是要如何去縮短知道與落實之間的差距,對我們來說才是一大考驗。幸好,我們可以隨時看看別人、想想自己,從已經發生過的事件,或是參考國際的標準規範,來思考出適合的應對方法,而透過了解營運持續管理的概念,無論是在工作或生活之中,對我們一定都會有實質的幫助。(本文刊載於2008年5月號網管人雜誌)

[觀點] 從照片被竊事件談資料儲存安全

首先,讓我們回顧一下近來一些重大的資料外洩事件,在2007年11月,英國稅務海關總署的員工將存放2500萬筆兒童福利輔助及銀行帳戶資料的光碟片,透過郵寄方式不小心弄丟,造成數百萬民眾必須向銀行查閱帳戶資料以及更改密碼;繼這個事件之後不久,英國皇家海軍一名軍官,也因為將筆記型電腦放置在停車場的車子裡被竊賊偷走,使得裡面儲存的60萬即將入伍的士兵個人資料不翼而飛;在2008農曆年前後,某香港藝人因為將個人電腦送修,即使事前已將硬碟的資料刪除,但仍然被惡意人士利用資料還原工具將隱私照片復原,再複製出來散佈至網路上,引起了軒然大波,也突顯出敏感資訊究竟該如何儲存以及保護的問題。

對於企業來說,現今筆記型電腦的使用者日益增多,企業員工在所使用的筆記型電腦裡,經常會存放個人工作的電子郵件、客戶和交易資料,以及研究技術等敏感資訊,究竟該如何去保護這些資料儲存時的安全,已形成IT管理人員一個相當頭痛的問題。而除了筆記型電腦中的硬碟之外,還有許多隨身的儲存設備,像是外接式硬碟、USB隨身碟、含記憶卡的手機、PDA,或是像易於攜帶的MP3、數位相機等,都可讓使用者在小小的裝置裡,儲存大量的資料,若是這些資料為個人隱私或是商業機密,只要有易於攜帶的特性,就代表被竊的風險隨之升高,一旦遭到有心人士利用,後果將不堪設想。

凡走過必留下痕跡

根據資安廠商Check Point在2007年12月針對424位台灣企業受訪者,詢問有關企業建置資料安全解決方案的調查指出,有57%的企業已經意識到行動裝置可能帶來的資料外洩風險,也已制定了保護行動裝置內容的政策,但其中會使用資料加密方案的企業卻只佔51%,顯示出企業雖然具有行動資料安全風險意識,但是在落實資料保護與儲存安全方面,仍有相當大的改善空間。

因此,如果您是企業的行動工作者,請思考以下問題:
  • 請問您是否會在Notebook/隨身碟存放重要商業資訊,例如產品報價成本、客戶機密資料、研發技術資料,以及個人隱私如帳號密碼、信用資料等?
  • 如果您的Notebook/隨身碟遺失或被偷了,裡面所含的資料有良好的保護嗎?
  • 當個人電腦需要送修或報廢時,您硬碟裡面的資料該如何處理?
  • 將舊手機送給朋友或上網拍賣時,您確認個人資料已經刪除乾淨了嗎?
  • 您是否以為曾經儲存的資料或照片,只要把它刪除就安全了?
以上這些問題,若在您心中沒有很肯定的答案,那麼您應該小心謹慎手邊所儲存的重要資訊,並且尋求企業內部IT或安全人員的協助,因為事實上,一般電腦作業系統像是Windows在刪除資料之後,即使一併把資源回收桶也清空了,資料並不會就此消失,作業系統只是在硬碟的檔案表中做了註記,讓您以為這塊空間已經清除,可以再存入新的資料了,但卻必須要等到下一次有其他資料要儲存時,覆寫了這一塊硬碟儲存空間,您的原始資料才會被覆蓋過去,而難以被還原回來。

所以,就算一些敏感資訊您已經事先就將它刪除了,但是在資料尚未被重複覆寫、也沒有被完全銷毀之前,如果有惡意人士以任何方式獲取了您的硬碟、隨身碟或是記憶卡,只要利用一些檔案還原工具,就可以輕易地把您已經刪除的資料再次復原回來,個人隱私或商業資訊仍很可能就會被竊取盜用。

將小口袋裡的大倉庫上鎖

對於企業IT管理人員而言,究竟該如何讓使用者具有資訊安全的認知,並且進一步去預防資料的外洩? 到底有什麼好方法,可以保護企業或個人的敏感資料不會外洩呢?以下幾點建議可作為管理人員的參考:
  • 資安教育訓練 - 企業內部可透過員工教育訓練來宣導,讓使用者了解應該盡量避免在會攜出的筆記型電腦,或是隨身儲存設備中存放企業機密資訊,如果必須要存放的話,務必自行採取一些防範措施,例如針對office等檔案,最簡單的方法是設定密碼才能開啟,但最好的方式則是透過加密工具將檔案加密。
  • 加強存取控制 - 管理人員應依據「Need to know」原則,為使用者設定適當的資料存取權限,以避免非業務及非財務相關人員接觸到機密資訊,進而有機會將它攜出外洩。
  • 部署安全方案 - 企業可導入完善的資料保護方案,透過完整的「全硬碟加密技術」,針對筆記型電腦的硬碟和隨身儲存媒體進行加密,即使電腦遺失之後,惡意人士欲將資料轉存到其他地方,仍然無法通過身份認證機制,也無法打開瀏覽您的檔案。
另外,若員工的電腦需要送修時,記得一定要先將硬碟取出,以避免憾事發生,而企業內部曾存放過機密資訊的儲存媒體,若需要進行報廢處理時,則建議最好將硬碟進行實體破壞,或採取低階格式化,將硬碟資料重覆複寫七次以上,以避免曾經存在的機密資料再度復活。

參考資安法規的要求

國際上有許多法規,對於資料儲存都有一定的保護要求,以資訊安全管理系統標準ISO 27001為例,針對設備安全,在控制措施的條款A9.2.4裡即提到,若資訊設備需要進行定期排程維護時,必須實施適當的控制措施,並且考量由現場人員或是委外廠商來處理,在必要時,設備上的敏感資訊要把它清除,並且充份清查維護人員的身份,以防假冒事件發生;在條款A9.2.5則要求,內含重要、敏感和重要營運資訊的設備,必須要有專人看管,並且採取上鎖等保護措施。

至於有關設備的安全報廢與再使用,在條款A9.2.6裡提到,針對含有儲存媒體的設備,在進行汰換或報廢時,必須將含有敏感資訊的設備加以實體銷毀,或以無法被重新復原的技術將設備予以刪除覆寫,確保資訊已徹底清除。

最後,提醒IT人員務必謹記在心,只要是曾經存放過的敏感資訊的儲存媒體,在處理時都必須要確認、再確認才行。(本文刊載於2008年4月號網管人雜誌)

[觀點] 從購物詐騙事件談網站安全防護

最近,知名的電視購物與網路書店業者因資料外洩,遭到詐騙集團利用這些客戶資料與購物記錄來矇騙消費者,謊稱因不小心設定為每月扣款,要求消費者必須至ATM 提款機操作更改,在過程中伺機引導消費者轉帳至詐騙帳戶,造成許多消費者的金錢損失。

而另一家購物網站,則是遭到歹徒不斷地利用測試帳號和密碼的方式,企圖冒充購物網站會員的身份登入,這種手法有別於以往常用一些駭客工具來破解帳號密碼,而是先去入侵其他網站,在取得網站會員的個人資料之後,再採用人工的方式,到其他網站來逐次逐筆的輸入,如果該會員使用相同的密碼,很容易就會被入侵成功。

狡詐多端的資料拼圖手法

根據刑事局的研判,購物業者的資料會外洩,很可能是因為網站資料庫遭到駭客入侵,或是內部人員擅自將客戶購物資料外洩所造成。一般而言資料庫會遭到入侵,通常是資料庫本身存在著安全漏洞,例如主機未安裝系統修補檔、存取權限設定不當,或是存取資料庫的應用程式,有撰寫語法上的問題,使得駭客可以輸入惡意指令來獲得資料表中的內容。

若資料是經由企業內部人員攜出外洩,也顯示業者沒有針對客戶資料進行妥善保護,對於會接觸到客戶資料的相關人員,並未管制儲存設備如隨身碟的使用,更沒有進一步監控其透過網路傳輸的內容。當然其中最重要的一點,就是企業缺少了一個資訊安全政策,無法透過它來宣導並告知相關人員,維護資訊安全的重要性,以及違反資安規定的後果。

行政院研考會的調查則指出,目前已有近五成的網路族會使用電腦上網購物,如果因為網站業者沒有做好資訊安全防護工作,使得會員的資料外洩,導致它被用來進行電話詐騙,或是作為猜測其他購物網站的登入密碼,將會造成一連串犯罪的連鎖效應。

就像此次利用購物資料的詐騙行為,讓我們見識到利用虛擬世界(網路)登錄的資料,再結合實體世界(電話)的詐騙手法,已成為一種新興的犯罪手段,這種新的入侵手法,也被稱之為「資料拼圖」,它利用別處獲得的身份證字號(帳號)來搭配密碼組合,使得破解成功率大為提高,更可避免因為猜測次數過多,而遭到系統鎖定停用帳號,所以一旦順利猜中並登入系統之後,就可獲得此一網站已註冊的會員資料,最後再利用它來進行電話詐騙。

資料安全最佳實務─PCI-DSS

對網站業者而言,資料外洩除了造成客戶財物損失之外,更會對網站的聲譽造成重大的打擊,一旦消費者對於購物網站失去信心,拒絕在購物網站消費,那麼業者未來的損失更是難以估計。到底業者該如何防護網站的安全,除了諮詢資安專家的建議之外,由American Express、Discover Financial Services、JCB、Master Card Worldwide、Visa International等五家知名的信用卡業者共同組織的PCI Security Standards Council,所制定的「支付卡行業資料安全標準(PCI Data Security Standard;PCI-DSS)」,也可以作為電子商務業者加強資料安全的實務參考。

雖然,PCI-DSS標準主要是用來保護信用卡持卡人的資料,但其目的就是為了要保護個人敏感資訊,以確保電子商務的交易安全。因此,對於提供線上交易的業者而言,主動落實PCI-DSS中所明訂的各項要求,將可有效保護網站交易的各項資料。目前在PCI-DSS標準中,主要分為6大類及12項基本要求,簡要說明如下:

(一) 建立並維護一個安全的網路
   要求1:安裝並維護良好的防火牆配置,以保護持卡人的資料
   要求2:不使用設備出廠的預設值,例如管理密碼和其他安全參數

(二) 保護持卡人資料
   要求3:必須妥善保護持卡人的資料
   要求4:透過公共網路所傳送的持卡人敏感資料,必須加密

(三) 維護一個弱點管理系統
   要求5:安裝防毒軟體,並經常更新程式和病毒碼
   要求6:發展及維護安全的系統和應用程式

(四) 實施強而有力的安全存取控制措施
   要求7:依據業務需求,限制對於持卡人資料的存取
   要求8:對於進行資訊存取的個人,只賦予一個唯一識別碼
   要求9:限制持卡人資料的實體存取

(五) 定期監控並測試網路
   要求10:追蹤並監控存取各項網路資源和持卡人資料的過程
   要求11:定期測試系統安全與流程

(六) 維持一個資訊安全政策
   要求12:實施並維護一個資訊安全政策

網站與資料安全管理建議

企業除了參考PCI-DSS標準的要求,來加強各項網站與資料安全措施之外,在資訊安全管理方面,個人建議可以先從以下三方面來著手:
  • 系統(System) - 基本的網路系統防護,像是建置防火牆、入侵偵測系統等是一定要的,並且要定期針對系統進行測試掃瞄,以確認已知的系統弱點都已修補完成;而針對重要的應用程式,可考慮採取原始碼檢視(Code review)的方式,來檢查程式碼是否存在撰寫漏洞。另外,流量大且交易多的網站,還可以建置一道網路應用層防火牆,透過第七層的深入檢查,來確保惡意人士無法使用組合指令或參數攻擊手法,利用系統可能的漏洞來竊取資料。
  • 資料(Data) - 電子商務網站務必使用SSL的安全傳輸協定,可以確保資料在傳輸的過程中不會被竊聽,而針對敏感的個人與交易資料,無論儲存或傳輸,也必須採取適當的加密方式,以防止資料外洩。
  • 人員(People) - 企業必須確保只有通過合法身份驗證的人才可使用網路,一旦發現非法者就加以隔離處置,以避免其伺機存取內部網路資源。最好的做法就是根據業務的需要(Need to know),來限制人員對於客戶敏感資料的存取,換句話說,其他不相干的人,根本就不該讓他有機會接觸到客戶的敏感資料。
定期稽核找出安全漏洞

對於網站業者來說,一旦發現資料可能外洩時,就應該在第一時間內通知消費者,並且進行緊急處置工作,例如要求使用者盡快變更網站登入密碼,並且小心提防可疑的詐騙電話,以避免事件如滾雪球般愈滾愈大,進而造成更大的損失。另外,業者平時也要記得在網站上宣導,提醒消費者避免在許多網站使用同樣的帳號密碼,同時不要使用懶人密碼,這也會是一種最簡單有效的自保方式。

當然,除了導入適當的技術來協助之外,企業務必要定期進行安全稽核工作,從管理面來著手,以確保可能的系統漏洞都已經修補,並且合乎企業的資訊安全政策要求。另外,對於資料本身還要設定完整的追蹤監控機制,以了解到底是誰(Who)曾經存取過哪些(What)資料,作為日後可追查的證據之一。

最後,管理人員還需要去審查整個資料處理的流程,是否存在著商業上的邏輯漏洞,因為這種不牽涉到技術手法的入侵方式,往往更令人難以防範。(本文刊載於2008年3月號網管人雜誌)

[觀點] 從訊號盜用事件談無線網路管理

無線網路近年來掀起了一陣風潮,無論是在機場、旅館、咖啡店或是捷運站,只要使用具備無線上網功能的行動裝置,到處都可以連結無線基地台而輕鬆上網。無線網路的特色,就是利用空中的無線電波來傳遞電子訊號,只要透過無線網路卡來接收及傳送訊號,就可以進行資訊交換的工作,但也因為它看不見摸不著,所以潛藏了一些資訊安全問題,值得我們去注意。

根據無線網路安全廠商AirDefense最近針對美國各大都會區超過3,000家商店的調查指出,有超過2,500 個行動裝置像是筆記型電腦、PDA和條碼掃瞄器被這些店家用來連結無線網路,但其中有85%都存在著資料外洩或是被竊取的風險;此外,在調查中所發現的4,748個無線基地台中,有550個所設定的SSID連線識別名稱都太過簡單,很容易就會被猜中,而且有25%的基地台根本沒有採用加密措施,因此,透過這些漏洞,有心人士就能藉由收集無線基地台所溢出的訊號,伺機來進行非法的行為。

不可不知的無線安全問題

美國零售業者TJX公司,從2005年7月開始,至少有一年半的時間,由於無線網路遭到駭客入侵,惡意人士可自由地進入TJX的資料庫,偷偷盜取客戶的資料,造成至少4,500萬筆以上的客戶信用卡資料外洩,使銀行也蒙受了巨大的損失。同樣在國內,也曾發生歹徒使用自製的無線網路訊號捕捉天線,截取週圍未經加密的無線訊號,利用無線基地台的「無線溢波」來連上網路銀行,再以「懶人密碼」的方式猜測別人的帳號與密碼,在順利登入帳戶之後,就將別人的存款轉走,或是竊取其個人資料來盜刷信用卡。

為了因應容易忽略的無線網路安全問題,網管人員必須熟悉各項威脅才能加以反制,目前常見的無線網路攻擊手法,說明如下:
  • 封包竊聽在無線網路的訊號範圍內,只要利用一些監聽工具,就可以從空中截取無線網路的封包,如果這個無線基地台未啟用加密機制的話,包括SSID、使用者IP位址和傳送的內容,都會曝露在惡意駭客的手中。
  • 偽冒攻擊只要駭客得知所在位置的SSID連線識別名稱,就可以冒用這個SSID來架設偽冒的基地台,引誘不知情的使用者連線,再竊取使用者所輸入的連線帳號與密碼。另外,駭客也可以假冒無線網路卡的MAC位址,藉由修改網卡的MAC位址,騙過系統認證而成為合法使用者。
  • 阻斷攻擊駭客可以對無線基地台發出大量的封包,造成系統無法回應其他使用者的連線要求,使得服務停擺;另外,駭客也可以攻擊特定的使用者,發送反認證封包,使無線網路連線中斷。
  • 攔截攻擊駭客會結合偽冒攻擊與阻斷攻擊手法,同時與無線基地台和使用者連線,成為無線網路的中間人,在基地台和使用者都未察覺的情況下,所有傳輸的資料都會經由中間人來轉送,也就表示所傳輸的資料都會被這個惡意的中間人完全掌握。
如何保護無線網路安全

企業要保護無線網路安全的目的,就是為了確保透過無線網路所傳輸資料的機密性、完整性與可用性,不會輕易遭到惡意人士竊取利用,而導致企業的重大損失,因此,建議企業可以同時從技術面與管理面來著手,思考該如何加強無線網路的資訊安全。

從技術面來看,網管人員必須要記得修改無線基地台出廠預設的帳號和密碼,也要記得關閉SSID的廣播功能,並且定期更改SSID名稱,以避免被人輕易得知。如果是提供企業內部使用的無線網路,務必要啟用加密功能,以確保傳輸資料的安全,由於早期WEP的加密方式很容易就會被駭客破解,因此建議採用最新的WPA2來加密,可大幅增加安全性。

另外,在認證方式方面,採取帳號密碼或是802.1x的驗證方式是絕對必要的,如果在使用人數不多的情況下,還可以鎖定只有合法無線網路卡的MAC位址才能使用無線網路,多重防護就多一層保障。如果企業需要開放給訪客使用無線網路,可採取切割VLAN的方式將公用和內部網段做區隔,以避免不必要的網路攻擊或病毒感染事件發生,至於無線基地台位置的擺放,也需要經過事先妥善的站台調查規劃,以避免無線溢波的範圍擴大。

企業如果想要有效防禦各種針對無線網路的攻擊,還可進一步部署無線網路入侵防禦系統(WIPS),藉由無線感測器即時的訊號偵測,來阻斷非法無線設備的架設與連線,並且也能保有各項監控記錄,可有效防範惡意駭客的入侵。至於從管理面而言,企業在開放使用無線網路之前,必須制訂無線網路使用政策,也要評估可能面臨的風險有哪些,建議從以下幾個角度來思考:

  • 人員無線網路使用者一定要經過身份驗證,對於內部員工需採取嚴格認證管控,而外來訪客也必須要登記之後,才允許使用無線網路。
  • 設備應明文禁止員工架設私用的無線基地台,尤其是敏感地區更要禁止攜入具無線上網功能的裝置,管理人員也絕不使用預設或固定的管理帳號密碼。
  • 時間限制可使用無線網路的時間,例如下班後即將無線基地台關閉。
  • 位置妥善規劃可供無線上網的地點,盡量避免辦公室死角及暗處可接收到無線網路訊號。
  • 記錄定期針對所有無線設備進行清查,稽核是否符合安全政策,並且監控與記錄是否有惡意攻擊行為發生。
不使用無線網路也要小心

或許有人會說,既然無線網路聽起來不太安全,那乾脆不要使用就好了。其實我們大可不必這樣因噎廢食,因為不管使用有線或無線網路,都不可能有百分之百的安全,其重點在於我們是否有事先做好降低風險的工作,即可防範危害資安的事件發生。

最後,還有一個觀念要分享給大家,那就是並非只有開放使用無線網路的公司需要管理,事實上,沒有使用無線網路的公司更要小心注意,因為現在的無線基地台愈做愈小,甚至具有無線網路卡的筆記型電腦也可透過軟體模擬成為無線基地台,只要有心人士偷偷將這些裝置和企業內網連結,這些平常人不會注意的小地方,往往就是企業資料外洩的大漏洞。(本文已刊載於2008年2月號網管人雜誌)

2009年10月13日 星期二

[觀點] 從離職竊密事件談員工資安管理

對企業來說,重要的資產通常可以分為兩種,一種是我們熟知的有形資產,例如廠房、機房、辦公家具、IT設備等,另一種則是無形的資產,包括了智慧財產、客戶資料庫和研發經驗等。不過,隨著企業逐漸的e化,有一種足以影響企業生存的「資訊資產」更需要去重視,因為資訊資產橫跨了有形與無形,只要任何對企業具有價值,並且和資訊有關的事物,就必須要和可見的資產一樣,能夠確保它的安全。

因此,為了要維護資訊資產的安全,企業可以建立實施資訊安全管理系統(ISMS)來協助,而在保護資訊資產過程之中,又以「人」最為重要,因為企業的經營發展,可能都維繫在每一位員工身上,所以,無論是管理階層或作業人員,都要具備資訊安全的意識與認知,才能讓企業長治久安,達到永續經營的目標。

為何要重視員工資安管理

企業若忽略了員工資安管理,究竟會造成什麼樣的後果,我們來看看以下這些真實案例:
  • 某影像圖庫公司的員工離職之後,因原任公司並未凍結或刪除其email帳號,使其仍可進入前公司的信箱讀取商務往來之郵件,導致前公司的業務遭受損失。
  • 某手機週邊研發公司兩名離職的創業員工,共謀偷偷侵入該公司高階主管的電子郵件,竊取仍在研發中的相關機密檔案,並且唆使仍在職之妻子,利用職務之便協助盜取公務資料,所得的機密資料價值估計達一億兩千萬元。
  • 某電信業者員工將客戶資料盜賣給不法集團,竟被拿來作為電話詐騙之用,造成無辜民眾受騙上當。
  • 某教育單位員工將所承辦之業務機密資料帶回家處理,因個人電腦中含惡意程式,造成200名軍訓教官個人資料外洩。
  • 某國防單位採購中心,因廠商招待相關負責人員喝花酒,竟私自將招標工程文件外流販售,使重要軍事設施資料外洩。
  • 某電視購物業者疑內部員工將客戶資料外洩,導致詐騙集團利用此一資料對會員進行詐騙。
根據IDC的資安調查指出,內部員工控管已經逐漸受到企業高層的重視,因為許多企業在網路安全上花費了巨資,對外建立起一道堅固的安全防線,以防止惡意駭客入侵來竊取商業資料,但卻萬萬沒有想到,竟會有內部的不肖員工,利用職務之便來取得機密資訊,進而兜售謀利,正好也應驗了「內賊難防」這一句話。

目前經由員工洩密的管道很多,像是電子郵件、即時通訊、隨身碟、網路P2P分享軟體等,在技術面方面,可透過權限控管、稽核側錄、內容管制、文件加密、上網行為管理等方式來處理。但是,許多時候員工其實是具有合法權限的,所以其不當行為往往具有更高的風險,此時就必須從管理面來著手,透過相關資安政策的制定以及教育訓練,讓員工了解資訊安全的重要性,也避免員工誤觸法網。

員工資安管理的注意事項

在財務方面,「管錢的不管帳」是避免個人舞弊的重要原則,對於資安方面也是很好的參考,要使責任分散以避免各項權限都集中在一人身上。另外,系統或網路管理人員在設定對於資訊的存取權限時,請務必遵循最小權限原則(Least Privilege),讓員工不會接觸到不符合其職等權限的資訊,以避免資訊外洩的可能。

至於人員招募與離職的問題,這部份或許跟IT人員比較無關,但是有許多的作業流程像是員工任用與離職都已Web化,因此也需要IT主管和HR人事單位來相互配合,關於這方面的注意事項,說明如下:

  • 人員招募時的注意事項 - 若是職務涉及資訊安全或是敏感性的工作,應盡可能地去了解該人員的背景,例如詢問曾任職公司的HR部門或單位主管,也要確認該人員所提供的資料,像是離職證明與學歷資料是否屬實。
  • 成為員工後的安全教育 - 員工被正式錄用後,依員工的職務等級,要進行相關的資安教育訓練,使員工明瞭公司的資安政策,並進行相關資安法令的宣導。正式員工須簽署同意遵守公司相關政策的規定,如網路、郵件、電話使用規範等,必要時還須簽署保密協定(NDA),同意即使在離職之後,不可對外洩露職務上所獲悉的商業機密。另外,員工若從較低職等升遷至較高職等時,需要HR部門進行人員的背景審核,並且告知該職等所需遵守的資安規範。
  • 離職人員處理的安全步驟 - 從離職生效日開始,IT管理人員須將員工的帳號與資訊資產(如筆記型電腦)暫時凍結停用,待確認所有檔案權限都順利移轉之後,即將該員工帳號和權限刪除。在員工離職當天,要收回各項實體設施的存取權限,像是職別證、門禁卡、Token、文件櫃鑰匙等,也要公告離職員工名單,尤其務必告知櫃檯接待人員該員工已經離職,如果是善意離職的員工,應由主管陪同離開原辦公處所,若是不太友善或是遭到革職的員工,則建議由警衛人員護送離開。
還有,適時的進行職務輪調或讓員工休假也是一項好辦法,一方面可以檢視相關的工作是否有職務代理人可接手進行,一方面也可以了解工作是否隱含了個人作業疏失,所以在員工休假時,可暫時將其帳號停用,觀察是否有除了職務代理人之外,其他不正常的存取情況發生。

讓資安意識成為企業文化的一環

人是企業最重要的資產,企業的基本態度應是相信每一位所招募的員工,但是從資安的角度而言,凡事預防勝於治療,為了維護資訊安全,持續的員工教育訓練與資安政策的要求,是確保員工不會誤觸法網或導致資料外洩的好辦法。

除了教育員工務必遵守公司的相關政策規定之外,在資安教育訓練過程中,要讓員工了解目前常見的作業疏失、環境威脅和惡意的資安事件有哪些,另外也要使員工明白事故回報的重要性與管道,以及懂得小心防範利用「社交工程」的偽裝詐騙手法。

所以,管理人員千萬切記,要確保資訊資產的安全,最重要的關鍵還是在於人的身上,因為無論採用多麼安全的設備與技術,只要忽視了人員的管理,員工缺少了資安意識,一切都是白費功夫,也會讓資安防護變得不堪一擊。(本文刊載於2008年1月號網管人雜誌)