2009年10月30日 星期五

[觀點] 從混合攻擊手法談整合威脅管理

近年來的資安事件,無論是網站入侵或是資料外洩問題,惡意人士採用的已不再只是單一的攻擊手法,而是會透過各種管道,先探測系統存在的弱點,再伺機植入惡意程式,這種混合式的攻擊手法,對企業運作已是一項重大的威脅。

舉例來說,像是七夕情人節剛過,有許多人的電子郵件信箱都會收到愛情告白信,若只是因為一時的好奇,按下了郵件中所附上的網址連結,很容易就會被植入蠕蟲,而成為散佈垃圾郵件的主機之一。此外,如果你還是個喜歡關心世界大小事的網路使用者,那麼最近自動發送給你的「CNN十大新聞影片(CNN.com Daily Top 10)」郵件,裡面附上了熱門新聞影片的網址,當你點選之後,它就會告訴你需要去更新電腦中的Flash Player程式,才能順利觀看影片,一旦你依照指示下載並更新了程式,它同時也偷偷安裝好了一隻叫做「TROJ_TIBS.CSZ」的木馬。

以上這些事件,已不再只是單純的散播病毒,而是混合了包括垃圾郵件、間諜軟體、蠕蟲和惡意連結等方式,把惡意程式裝扮成美味可口的模樣,散佈到企業的各個角落,意圖來引誘好奇心重的人們上當。如果使用者不小心受到感染,很容易就會成為殭屍網路(Botnet)中的一員,變成一個被利用的攻擊跳板。

全面資安防護大不易

當然,以上的惡意攻擊手法,對聰明的IT人員來說是不會輕易上當的,但是對企業為數眾多的一般使用者而言,即使管理人員已常常提醒大家不要開啟來路不明的郵件,他們還是很容易就會受騙,而且還會用無辜的語調說,「這封信看起來就是由CNN發的,而且連結的網頁也和CNN網站長得一模一樣,所以才會打開呀」。因此,除了加強使用者的資安意識之外,面對各式各樣的攻擊手法,我們還是得設法從技術面來加以預防。

目前,企業內部的基礎資安防護措施,通常包括了防火牆、入侵偵測防禦與防毒系統等,如果組織還包括了分支單位,或是有行動工作者需要遠端存取企業內部資源,那麼建置一個安全的連線管道如VPN,也是必要的安全措施。但是,這些防護措施說來容易,真正要管理起來卻不是那麼簡單,因為每項單一功能的設備,都會有自己的管理介面,也需要個別去設定各種安全規則與政策,每當IT人員面對眾多的資安軟硬體設備時,在管理上很容易就會發生掛一漏萬的情況,也就演變成為資安事件發生的潛在原因。

因此,對企業而言,資訊安全是一項全面性的工作,任何一個地方都不能夠有疏漏,只要有惡意人士發現了其中一個弱點,很可能就會利用它來危及整個企業的重要資訊與系統運作。不過,目前國內的中小企業,在缺少專職資安人員的情況下,資安工作通常都是交由IT人員來負責,可是IT人員平常的任務繁多,往往已經是身兼數職,一邊要確保主機正常運作,一邊又要維護網路,若再加上資訊安全這一項,就成為雪上加霜的沉重負擔。

認識整合式威脅管理

探討驅動這些混合式攻擊的背後目的,除了是為獲得有價值的商業資訊之外,竊取個人身份資料也是重要的原因之一。針對日漸增加的安全威脅,資安廠商也推出了整合防毒、防駭的整合式威脅管理(Unified Threat Management;UTM) 設備,來協助企業抵禦外敵,這些產品的出現,主要就是為了簡化過多單一功能產品的管理問題,以及考量到許多企業需要能夠集中管理的資安防護方案。

根據資策會資訊市場情報中心的調查指出,有近三成的企業沒聽過UTM這項產品,而UTM的效能不彰則是無法大量普及的最大原因。但是,隨著CPU與網路元件處理速度的加快,硬體效能已經得到大幅的提升,目前各家廠商正在努力思考的方向,其實是在「功能」、「效能」和「成本」之間,去創造一個擁有最合適平衡點的UTM產品。

對企業來說,導入資安產品的目的,最終還是要回歸到本身的需求,並且能夠解決所面臨的問題,雖然說UTM集合了各種功夫於一身,但是要寄望它同時將各種功夫都發揮到極致,基本上是不太可能的,就算有這種產品推出,成本花費也會是一般企業難以負擔的,所以在建置的過程中,廠商會努力和使用者溝通,才能找出符合使用者需求與適當的解決之道。更何況,有些企業並不想只依賴一個十八般武藝都很強的產品,他們真正需要的是一個容易部署且符合功能需求、能提供一定程度的安全防禦、在問題發生時能很快通報給管理人員的安全方案。所以,只要效能和成本比可以接受,採用UTM產品也會是一個不錯的選擇。

UTM產品的評估重點

如今,市面上的UTM產品種類繁多,到底要如何才能選擇一個適合企業應用的方案?基本上,個人認為UTM主要會適合以下情況的企業來應用:
  1. 希望簡化安全部署與管理的大型企業
  2. 人力和資源有限的分公司或中小型企業
  3. 需要針對遠端使用者,提供遠端存取與安全連線的企業。
  4. 尚未部署其他安全方案,希望在單一方案中整合防火牆、入侵防禦、防毒、VPN等技術。
因此,企業在評估採用UTM方案時,除了最令人關心的價格問題之外,還需要考量的因素有:
  • 安全性 - 在UTM中所採用的安全技術,像是防火牆、防毒、VPN、入侵偵測等,是否在業界具有一定的知名度,企業除了要考慮個別模組的表現之外,也需要考量技術整合的整體安全性,是否有能力為企業有效阻擋各種安全威脅。
  • 管理性 - 對於UTM設備來說,採用集中式管理是必要的功能,無論是組態設定、設備監控、產生報表,都必須要能透過統一的政策來進行。在管理方面,採用可彈性化與視覺化的物件設計,對於管理人員來說,將能大大減輕管理時的負擔與時間成本。
  • 擴充性 - UTM所包含的安全與管理功能,必須是模組化且可更新的設計,因為對現今企業多樣化的網路環境而言,為了加強安全性,UTM設備不能只是一個固定的裝置,而要能夠隨著企業的成長需求,以彈性化方式進行調配管理。
  • 高效能 - 適合企業採用的UTM,在系統平台上需要有特別的硬體設計,才能符合企業在效能上的要求,而透過支援高可用性,將使企業的關鍵業務不會停擺,同時降低效能上運作的瓶頸。
簡化管理是解決問題的關鍵

今日安全威脅的產生速度已愈來愈快,而且攻擊的層面也更加廣泛,企業在擬定資安防禦策略時,除了加強原有的系統防護之外,如何去簡化安全的管理機制,制定快速的事件處理流程,將是解決資安問題的重要關鍵。

現今的整合威脅管理產品,在先天上具有管理與佈署簡便的優勢,唯一要克服的,是效能與功能面的展現要求。不過,隨著硬體元件的改良,加上可擴充運作的方式,針對資安人力有限的企業,不失為一項良好的資安防護措施,在事事要求投資報酬率(ROI)的今天,如何去兼顧安全與成本,將是管理人員需要及早去學會的重要功課。(本文刊載於2008年9月號網管人雜誌)

沒有留言: