2009年11月30日 星期一

[專題] 談網路鑑識與行為分析系統

人生在世,總難免要經歷各種疾病與意外的打擊,這是每個人都會面臨的生活風險,而在資訊網路化的時代,隨著企業的電腦一一連上了開放式的網際網路,也就代表企業已成為惡意人士潛在的攻擊對象,必須面對網路入侵與犯罪事件,所帶來的資安風險。

根據CSI/FBI 2006電腦犯罪與安全調查顯示,企業遭遇惡意攻擊的型態,除了電腦病毒感染以65%排名第一之外,內部不當網路存取與未授權資訊存取也各佔42%和32%。另外,調查中也指出,未來兩年最受重視的前十大資安議題,以資料保護與應用軟體弱點達到73%的比例最高。

由此可知,電腦病毒的感染與不當的資料存取,皆是透過網路這個管道而來,而資料透過網路洩漏的問題,更是企業相當重視的問題。為了降低各種惡意威脅與網路弱點所形成的資安風險,許多企業紛紛投資建置了防火牆、入侵偵測系統等安全設備,不過當企業發生了網路入侵事件,身為管理者的您,如何能在最短的時間內找出問題發生的原因?當企業發生資料洩密事件,老闆詢問您到底是誰、用了什麼方法、外洩了那些機密檔案時,如何能夠馬上找出答案?

入侵偵測系統的盲點

所謂「前事不忘,後事之師」,為了降低可能的風險與損失,企業必須懂得從過往的歷史教訓中,學習正確的防範方法,因此對於企業而言,從網路流量記錄來分析駭客的入侵攻擊手法,或是在網路攻擊或洩密事件發生之後,找出入侵和洩密的管道,並且保全數位證據來進行訴訟,是企業管理階層應該思考的方向。

目前企業所建置的入侵偵測系統,雖然可以依照特徵比對的方式,來警示網路攻擊事件的發生,但是一旦出現了新的病毒或是攻擊手法,在特徵資料庫尚未更新之前,網路仍存在著相當高的安全風險,而且也無法評估究竟有哪些系統已遭受到攻擊,更無法得知可能造成的損害範圍。

舉例而言,當年發生的Nimda病毒攻擊事件,在入侵偵側系統能夠辨識之前,就已經感染了為數眾多的企業網路,並且造成了企業營運中斷,估計損失高達上百萬美元。雖然當時的入侵偵測系統已發出可能危害安全的警報,但是在資訊不足的情況下,卻無法提供管理人員進行調查或即時處理的方法,也無法提供管理人員可用的分析工具,來確認遭受病毒攻擊的網路區段。

換句話說,即使入侵偵測系統在企業中扮演了重要的守門人角色,卻仍然無法提供更進一步的事件調查與事件還原工具,來找出資安事件發生的真正原因,尤其是面對愈來愈多駭客使用了混合式的攻擊手法,此時,唯有運用網路鑑識與行為分析系統(Network Intrusion Forensic System,NIFS),才可以藉由完整的網路使用過程記錄,運用科學化的分析方式將迷團一一地解開。

網路上的監視攝影機

談到安全問題,在傳統安控的設備方面,監視器一直是具有良好嚇阻性與記錄犯罪過程的利器,它能夠事先提醒歹徒不要輕舉妄動,更可以記錄所有監視範圍內的人事物。而網路鑑識與行為分析系統,就像是網路上的一台監視器,能夠針對所有的網路應用程式進行效能與流量進行分析,並且透過資料採擷的技術,快速精準地搜尋並重組關鍵的重要資訊。

不過,網路鑑識與行為分析的目的並不是為了要監視員工在網路上的一舉一動,或是想要侵犯員工的隱私權,而是希望藉由保留各項網路使用記錄,提醒員工以預防不當行為的發生。

由於網路鑑識與行為分析系統可以提供非入侵式(non-intrusive)、持續性流量記錄和即時的流量分析功能,藉由複製所有流經網路的資料來加以分析,並且加入精確的時間戳記(timestamp),因此可以偵測出各種入侵或異常行為,並且完整保存相關記錄以作為法律訴訟的證據。

所以,企業可以事先依據可能面臨的資安問題,像是針對異常流量等事件,或是針對電子郵件內容設定關鍵字過濾,利用主動警告的機制使管理人員可以即時處理,協助企業在資安事件發生之前,即產生嚇阻作用並先行掌握各項徵兆,同時也能在事件發生過程中,即時監控惡意攻擊與不正常的流量,最後再透過網路鑑識方式,來找出駭客入侵與商業機密外洩的管道,作為法律或內部處置的依據。

保存證據重建現場

我國刑事訴訟法第154條規定:「犯罪事實應依證據認定之,無證據不得推定其犯罪事實。」當犯罪事件發生的時候,企業勢必要面臨相關的民(刑)事訟訴問題,也需要協助相關的司法調查。因此,要如何在過程之中舉證,能夠提出強而有力的犯罪證據,是企業管理階層與法務部門應該要留意的事項,而所謂的資料收集與鑑識分析,並非只是司法單位的工作,若事件發生時的相關人員,能夠協助保持事件紀錄與資料的完整性,將有助於後續的司法調查工作。

一般而言,當企業發生網路攻擊或犯罪事件,應該要記錄的重點有:
  • 發生的日期、時間與地點
  • 事件發生的來源與牽涉的資訊系統
  • 事件發生過程
  • 犯罪所使用的工具、設備
  • 事件所造成的損害
當然,企業內的各項安全設備,也都會存有系統的記錄檔(log),但是現今高手級的駭客都很了解「偷吃要懂得擦嘴」這個掩飾罪行的道理,因此在入侵成功之後,都會試著修改各項log記錄檔,以躲避安全人員的查核。不過,駭客並不能修改網路鑑識系統針對入侵過程的資料記錄,所以仍舊難逃鑑識人員的法眼。

藉由網路鑑識與行為分析系統的協助,在資安事件發生時,可以針對來自內部和外部的入侵來進行調查,透過了特徵比對、異常行為與分析工具,若經過確認這是一種網路犯罪行為,就可以藉由系統所收集保存各項事件記錄,做為事後追捕與檢討工作之用。

而除了偵測攻擊行為與異常流量來發出警示之外,系統還提供了安全事件重現的功能,可藉由長時間完整地儲存原始的封包與連線記錄,回溯至事件發生當時的狀況,一旦企業遭受到網路攻擊,或是懷疑機密資料經由網路傳送出去時,就可以檢視當時所留存的完整記錄,透過現場重建方式來進行完整的鑑識調查,更讓執法機關能夠藉此來進行犯罪事實的認定,並進行下一步的法律行動。

網路鑑識系統的部署建議

今日的企業面對來自內外眾多的威脅,為了防止未經授權的存取、非法入侵與網路攻擊,更應該考慮以多重防禦的方式,來加強網路安全,以便盡快能夠從資安事件中快速復原,因此建議企業採取以下的三層式架構,來保護網路與資訊安全:
  1. 事前避免(Avoidance):建置安全防禦裝置,例如防火牆、VPN、加密裝置和身份認證系統,以預防未經授權的存取或入侵攻擊行為的發生。
  2. 事中偵測(Detection):透過事件記錄檔(log)的稽核與入侵偵測系統,來偵側入侵事件的發生。
  3. 事後調查(Investigation):當資安事件發生之後,利用鑑識分析工具在可能受害的範圍內進行調查,並且收集和記錄與事件相關的各項資訊,以預防事件的再度發生,並提供司法機關必要的協助。
企業想要確保網路安全的第一步,就是必須建置適當的安全設備來避免資安事件的發生,因為只要系統連結上了網際網路,就可能成為惡意攻擊的對象。一般而言,在部署了入侵偵測系統之後,即可透過特徵比對(signature-based)或異常流量(anomaly detection)的偵測方式,來發現警示網路入侵事件,而網路鑑識與行為分析系統除了具備了入侵偵測的功能之外,還能更進一步藉由記錄與分析網路流量,具備了「事件重建還原」的功能,就像一台錄影機一樣,隨時可以回溯時間來呈現事件發生時的原貌。

另外,網路鑑識與行為分析系統更可作為新的安控措施的檢驗工具,藉由重播曾經發生過的入侵手法,來確認新的防禦設備能夠發揮應有的作用,而在事件發生之後,透過鑑識工具的運用,可以找出問題的真正發生原因,並且將網路回復到可信任的安全狀態,能夠大幅縮短弱點修補的時間,也讓系統管理人員能瞭解駭客所運用的入侵手法,以提供網路補強或程式撰寫上的安全建議。(本文刊載於2007年資安人雜誌)

2009年11月28日 星期六

[閒聊] 做資安,讓我們一起Nike Nike!!

在今年年初的時候,和雜誌社的編輯朋友談起,受到全球金融風暴的影響,大多數企業都會節省支出,藉此渡過不景氣的寒冬。

「那麼原本預算就不多的資安工作,這時候究竟該怎麼辦呢?」他問。因此,也就醞釀了這一篇「談企業如何省錢做資安」的文章。

其實我相信所談的內容,大多數的管理人員都知道,只是平時缺少了動力去執行而已,這也點出了資安管理工作常犯的一項疏失,那就是「知而不行」。

例如:IT人員知道系統存有一些安全漏洞,但就是遲遲不去作更新;員工知道公司的上網安全規範,但就是不願意去遵守。

等到發生了資安事件之後,大家再來互推責任,然後隨著時間一久,一切又恢復照舊。這樣下去,想要做好資安,往往只是白費功夫。

到了年底,如果你負責的資安工作,還在原地踏步的話,那麼也該加緊腳步了。套用一句以前老師常用來勉勵學生的話,那就是做事學習都要記得「Nike Nike」,做資安,當然也要讓我們一起「Just do it~!!」。

2009年11月25日 星期三

[專題] 談企業面臨的十大網路存取問題

在國際共同遵循的資訊安全管理系統標準ISO 27001中提到,「資訊是企業的重要資產,因此無論資訊以何種型式存在,都必須要加以適當的保護。」當網路成為企業營運重要核心的今天,維護網路運作與資訊存取的安全,已是企業IT部門的重要任務,也是無法卸下的職責。

根據資策會MIC的調查指出,在2007年企業所發生的資安事件類型,以「電腦病毒感染」的比例最高,佔了五成左右,也因為病毒感染容易持續發生,加上電子郵件與即時通訊普遍使用的推波助瀾,使得病毒的擴散速度與感染規模更快更廣,讓企業不得不去重視資訊內容的安全。

過去,企業多半著重在防禦外部的攻擊,而忽略了來自於內部的攻擊,將造成更大的破壞與影響,無論是內部登入的使用者,或是遠端採用VPN連結內部網路的裝置,若系統本身帶有惡意程式像是病毒、蠕蟲、木馬等,很容易就會對整個網路系統造成危害。

另外,目前無線網路幾乎已成為筆記型電腦的標準配備,加上無線網路基地台(AP)的產品愈來愈輕薄小巧,架設容易且隨插即用,使無線網路的不當使用比率也持續攀升,所以該如何防堵非法的網路存取,防止商業機密的外洩,已成為了資訊管理人員另一個頭痛問題。

從資料外洩看網路存取問題

回顧近年來國內外發生的重大資料外洩事件,可以讓我們了解資訊存取控管的重要性,最著名的例子是從2005年7月開始,美國零售業者TJX公司,因為內部的無線網路遭到入侵,至少有長達一年半的時間,歹徒可自由地進出TJX的資料庫,任意竊取客戶的個人資料,造成至少4500萬筆以上的客戶信用卡資料外洩,連帶使得銀行信用卡部門也蒙受巨大的損失。

在日本,根據JNSA的調查資料顯示,2006年日本共有2223萬筆個人資料外洩,其中外洩件數以金融保險業最多,洩漏人數最多的則為製造業、資訊通信業和服務業,其資料外洩的原因除了人為遺失之外,其次是遭竊以及透過P2P檔案交換軟體而洩漏。同年,國內某半導體廠商,也曾因資料存取控管疏失,遭到合作夥伴竊取IC設計資料。

賽門鐵克的「全球網路安全威脅研究報告」則指出,資料外洩導致個人資料遭竊取的原因,其中「不安全的政策」佔了34%,從這些過去發生的事件,我們可以發現,資料外洩多半與非法裝置入侵和不安全的政策有關,尤其是隨著企業組織的成長,面對成千上百個可能連結內部網路的裝置,究竟我們該如何去監控與管理?

依據個人的觀察分析,目前企業組織普遍面臨的網路存取問題,有以下十點:
  1. 使用者身份不明 - 難以識別到底是誰(Who)、使用什麼樣的裝置(What)、從何處連上內部網路(Where)。
  2. 連線設備的安全性 - 難以確保連上內部網路的裝置,不帶有惡意攻擊程式,如病毒、蠕蟲、木馬等。
  3. 缺少嚴謹的授權程序 - 難以規範使用者依照其身份執行應用程式,並且僅能存取符合其權限的資料。
  4. 合法使用者的攻擊 - 難以防範已通過身份驗證的使用者,不會成為駭客的跳板,伺機攻擊企業內部網路。
  5. 病毒爆發 - 一旦病毒疫情爆發時,缺少有效的控制措施,預先加以防範並隔離。
  6. 資料外洩 - 無法完全封鎖可能的資料外洩管道,尤其是針對無線網路設備和USB裝置的使用,缺少有效的管理。
  7. 網路環境複雜 - 隨著時間愈久,在疊床架屋的情況下,導致網路架構太過複雜,而且相關網路設備過於老舊,無法支援新的管理模式。
  8. 資安政策不明 - 企業普遍有IT人力不足的現象,缺少專業資安人才的協助,不知如何去制定一個適用的資訊安全政策。
  9. 預算有限 - 在每年有限的IT預算之下,難以規劃並導入適當的網路存取控制方案。
  10. 控管困難 - 隨著分點、使用者人數與裝置作業系統種類繁多,難以有效進行部署控管。
網路存取控制的管理原則

以上所談到的十大問題,其實業界提供了可用的解決方法,可以藉由導入適合的網路存取控制方案(Network Access Control;NAC),來解決以往面臨的種種難題。

根據國外NWC Analytics的調查指出,驅使企業想要部署網路存取控制方案的前三大原因為:
  1. 為了符合網路安全法規的要求。
  2. 需針對特定網路資源強制執行存取控制措施。
  3. 針對合作夥伴、合約商等難以管理的使用者,加以適當的存取控制。
基本上,網路存取控制的原則就是要確保「只有合法且安全的裝置才能連上內部網路」,因此在制定管理政策方面,有以下幾個重點必須要把握:
  • 連線前,先要證明你是誰 - 使用者和其所使用的裝置,在能夠存取企業網路和相關資源之前,必須要通過身份的驗證,並且確保使用者作業系統的安全性,例如是否安裝了防火牆及防毒軟體、是否更新了系統修補程式(Patch)。
  • 連線中,賦予適當的權限 - 在通過身份驗證之後,依據預先設定的角色(Role)或群組,給予適當的存取權限,限制使用者只能存取符合其角色所需要的資源。
  • 連線後,監控、記錄與稽核 - 管理人員能夠持續監控使用者是否有不當的攻擊行為,在發現攻擊行為時能即時加以阻斷,並且定期稽核歷史記錄,並提供事件回應報告。
網路存取控制的導入建議

一個良好的網路存取控制方案,必須具備三個特質,分別是「簡單、完整、彈性」,它必須能夠將所有不符合安全管理政策的裝置加以隔離,並且拒絕或限制其連結內部網路,直到使用者的裝置更新之後,重新檢測其符合了安全政策的要求,才會允許它連結並使用內部網路。

此外,網路存取控制還必須能夠整合現有的網路環境,減少必須的網路架構變更,以避免不必要的風險與成本,並且能夠在事件發生時,盡快地通報管理人員。換句話說,它對於管理人員最大的幫助,就是能夠簡單掌握用戶端裝置使用網路的現況。

因此,企業在選擇導入網路存取控制方案時,首先需要思考的重點有:
  • 網路存取控制的Agent要如何佈署?是否支援不同作業平台?所支援的防毒軟體與防火牆有哪些?
  • 與企業原有網路架構的相容性?是否支援802.1x?是否支援Windows AD和Radius身份認證?是否需要重新分割VLAN?與IDS/IPS的整合度?能否控管使用者的應用程式(Layer 7)?
  • 隔離之後的處置方式為何?如何引導使用者更新系統?如何重新進行驗證?
現今的網路存取控制方案,可以應用在針對使用者端點安全的要求、訪客裝置的安全管理、VPN使用者連線管理,以及無線網路使用管理等範疇,而且有能力和企業既有的管理政策相結合,以符合未來的成長與法規的要求。所以導入之後所產生的效益,在於能夠保護資訊資產、降低可能的風險、符合法規與稽核要求、改善與維護網路的可用性,以及降低人為的操作疏失。

法規對網路存取控制的要求

近年來,資訊安全已成為世界先進國家重視的焦點,國內政府也大力推動重要的部會單位,需要依據ISO 27001的實施步驟,建立符合標準要求的資訊安全管理系統(ISMS)。

事實上,網路存取控制方案,可協助企業達成ISO 27001中,「A.10通訊與作業管理」和「A.11存取控制」二大控制目標,只要妥善部署了解決方案與安全作業規範,即可達到ISMS驗証與稽核的要求。

另外,如何去評估因網路存取控制不當,造成機密資訊外洩之後,對於企業可能產生的風險與衝擊,也是不可忽視的重要工作,企業應該針對重要關鍵的營運流程,進行營運衝擊分析(Business Impact Assessment),來評估是否可承受資安事件發生後所造成的營運損失。這一部份可參考最新的營運持續管理標準BS 25999,將資安事件拉高到經營層面來看,對於IT人員在尋求高層人員的支持,以及爭取相關預算,會有實質上的幫助。

總結 - 化被動為主動

在孫子兵法中提到,「困敵之勢,不以戰,損剛益柔。」意思是指堅守住自己的陣地,來讓敵人陷入困境之中,使得原本被動的防守變為主動,網路存取控制的精神,倒是相當符合兵法所隱藏的含意。

面對今日來自四面八方的混合式攻擊與威脅,IT管理人員也必須不斷提升自己,從政策面著手規劃,再搭配適當的技術來加以控管,將非法的或是發動惡意攻擊行為的裝置,即時加以隔離,堅守好內部網路的防護堡壘,以避免可能的資安事件發生。(本文刊載於2008年iThome資安專刊)

[Q&A] 網頁上的威脅不斷增加,在使用者的瀏覽器上我們可以找到哪些免費外掛工具,協助他們判斷連上的網站是否安全?

隨著電子商務服務愈來愈多,網路拍賣交易的風潮亦盛行不已,各項網路詐騙犯罪事件也層出不窮,其中尤以釣魚網站與含有惡意程式的不安全網站,危害一般的使用者的情況最為嚴重,根據資安業者的統計,目前台灣已成為亞洲區最多網路釣魚網站的城市之一。

日前,刑事警察局科技犯罪防治中心的清查也發現,網路釣魚的詐騙行為已經發展成為集團式的犯罪型態,這些惡意駭客都是有計畫且不斷密集地架設假網站,包括了假冒網路銀行、航空公司、旅行社、人力銀行與理財網站等,目的即是為了竊取使用者的帳號、密碼與個人隱私資料。

面對每天不斷產生的惡意網站,或許你會說我已經有安裝防毒軟體了,為什麼還會感染病毒和惡意程式呢?其實,目前的防毒軟體仍須依賴不斷更新的病毒碼與行為特徵,才能有效攔截惡意程式,但是當你連上那些因為缺少安全管理,而被入侵並植入惡意連結的正牌網站時,在不知不覺之間就會被偷偷安裝了木馬程式,這種不斷翻新的手法往往令人防不勝防,因此,為了避免不小心落入網路上的釣魚陷阱,使用者還是應該有所警覺,並且積極尋找自保之道。

免費網頁安全外掛工具

為了防止使用者掉入網路釣魚的陷阱,微軟已經在Vista的Internet Explorer 7.0瀏覽器裡內建了防網路釣魚的功能,不過,若你是Windows XP或Windows 2000的使用者,在沒有升級最新的瀏覽器版本之前,則可以利用廠商免費提供的瀏覽器外掛工具,來獲得惡意威脅的提示與預警功能。

目前由業者所提供的免費外掛工具,像是McAfee SiteAdvisor和TrendMicro TrendProtect,都已支援了IE和Firefox兩大知名瀏覽器,並且整合了Google、MSN、Yahoo等搜尋引擎的搜尋結果,會以燈號顏色來顯示連結網站的安全性。使用者只要透過此一外掛工具,就可得知該網站的安全評等訊息提示,而且也能在尚未點選連結之前,即可獲知該網頁是否含有惡意程式和間諜軟體,以及在註冊登記之後,會不會濫發各式垃圾郵件給你。所以,藉由外掛工具的幫助,就可以有效降低誤入惡意網站的可能風險,以避免個人資料遭到竊取或非法利用的機會。

McAfee SiteAdvisor介紹

McAfee SiteAdvisor是一個免費的瀏覽器附加工具,可以幫助我們透過Google、Yahoo、MSN等搜尋引擎的搜尋結果,來分辨這些網站是不是含有間諜軟體、垃圾郵件與網路釣魚的惡意威脅,它的分析技術主要是根據網站名譽、使用者網站註冊後被濫發信件的頻率,以及個別使用者回報等指標來評等網站,然後會用最簡單的燈號來告訴我們:綠色代表安全,可以放心瀏覽網站;紅色代表危險,顯示網站已有不良記錄;黃色則是提醒大家,它有潛在的一些問題,瀏覽時一定要小心注意。

SiteAdvisor的安裝方式其實一點也不困難,使用者只要直接連接到McAfee SiteAdvisor首頁,點選「立即下載SiteAdvisor」按鈕,在下載完成之後直接執行安裝檔案,接下來只要依照提示依序點選「下一步」即可。安裝完成之後,瀏覽器就會自動連線到McAfee網站,並且出現「感謝您安裝」的畫面,然後會提醒你在右上角的工具列中已多了一個小按鈕,如果瀏覽的網站是安全的,它會顯示綠色,若是不安全的網站,它就會用紅色來警告你。

當你安裝了SiteAdvisor之後,只要使用瀏覽器連到搜尋引擎像是Google,再輸入關鍵字去搜尋網站,所顯示出的搜尋結果旁邊都會出現代表安全與否的燈號,如果把滑鼠移到燈號上面,並且按下「更多資訊」連結,它還會出現更進一步的詳細說明,讓你在瀏覽之前,即可了解此網站是否有任何安全上的問題。

McAfee SiteAdvisor的安全性評等是依靠網站的自動安全測試,包括像是網站快顯視窗數量、安全網站連結、下載檔案評估、網站表單註冊後被濫發郵件的機率,再經由使用者所提供的意見及McAfee自己的人工分析來判斷,SiteAdvisor同時希望藉由偵測傳統安全性產品常常遺漏的威脅,像是間諜軟體攻擊、網路詐騙及垃圾郵件網站,來加強使用者瀏覽網頁時的安全。

TrendMicro TrendProtect介紹

TrendMicro在併購了HijackThis這家公司之後,緊接著推出了TrendProtect網頁評等外掛工具,可分別支援Internet Explorer和Firefox兩款瀏覽器,幫助使用者在瀏覽網頁時,避免瀏覽到不安全的網站。TrendProtect主要是依據四項資料來進行網頁評等,分別是內容分類、網釣詐騙偵測、網站名譽與網頁名譽,同時也會分析每一個獨立的網頁,察看其中是否含有惡意的連結,對於那些被惡意駭客入侵,並且植入惡意程式連結的網頁,可以即時地發出警告。

TrendProtect的安裝方式也非常地簡單,只要連結到TrendProtect下載網頁,依照使用者所使用的瀏覽器來下載,接著依照安裝說明指示,就可一步一步順利完成。在TrendProtect安裝完成之後,會在瀏覽器的工具列上新增一個「TrendProtect」按鈕,這個按鈕會藉由改變它的顏色,來顯示出目前所瀏覽的網頁的狀態是安全、不安全、可信任或未評等,以及是否含有不當的內容。

TrendProtect使用綠(安全)、紅(危險)、黃(不確定)、灰(未知)的燈號顏色來標示網站的安全等級,若是使用Google、MSN和Yahoo搜尋引擎,也會針對搜尋的結果,提供燈號顏色的安全評等功能,只要將滑鼠移動到燈號標示上,就會顯示出關於網頁評等的更多資訊,也可以點選連結到TrendProtect的HouseCall首頁,執行免費電腦掃描服務。

另外,只要點選工具列上的「TrendProtect」按鈕,並且選擇「Option」項目,使用者還可自訂顯示、信任網頁和內容分類的樣式,若是點選了「Check your Computer's Security」,也會馬上啟動免費的線上掃毒服務HouseCall,來掃瞄你的電腦。

外掛工具優缺點與安全建議

SiteAdvisor與TrendProtect兩者同樣都是免費好用的瀏覽器工具,在功能方面當然也有一些不同,例如:
  1. SiteAdvisor是針對整個網站的內容做評比,而TrendProtect則是分析個別的網頁為主。
  2. 當滑鼠移到燈號上面時,SiteAdvisor顯示的資訊比TrendProtect來得詳盡。
  3. SiteAdvisor提供使用者網站安全評比功能,TrendProtect則提供一個「Content Categories內容過濾」的功能,裡面可以自行勾選想要過濾的網頁內容。
  4. SiteAdvisor的操作介面都是中文,而TrendProtect雖然只有英文介面,但卻結合了免費的HouseCall線上的掃毒服務。
基本上,這兩個瀏覽器外掛工具,都是可以幫助你在瀏覽網頁與搜尋過程中,避免進入惡意的網站,但若是想要完全避免網路釣魚的陷阱,最好還是要養成不要點選任何來路不明、看不懂或是覺得可疑的網路連結,尤其是來自垃圾郵件或是由不明人士轉寄來的電子郵件。

如果你還是不小心進入了可疑且內容不明的網站,請立即關閉瀏覽器離開網頁,千萬不要按照該網站上的指示,作出任何的回應動作,以免感染惡意程式,而且也要記得經常更新防毒軟體的病毒碼,並且啟動作業系統的防火牆功能。(本文刊載於2007年iThome資安專刊)

[Q&A] 目前各國政府的資安法規中,網站安全通常與哪些議題相關?

談到網頁安全,讓我們先來回顧一下過去所發生的重大資安事件,在2005年,美國的CardSystems Soultions電子付款資料處理公司,因為遭到駭客入侵植入了惡意程式,導致4000萬筆帳戶資料外洩,引起了一陣軒然大波,成為史上規模最大的個人資料外洩事件;在2007年6月,歐洲更發生了大規模的網站遭受駭客入侵、竄改網頁程式碼的事件,受到影響的網站超過了一萬個,其中絕大多數是屬於旅遊、飯店、汽車製造與影音娛樂類等網站;而根據刑事局科技犯罪防治中心的統計指出,目前惡意網頁也已成為台灣排名第一的網路犯罪手法,主要受害的不再只是提供服務的網站業者,而是可能上網瀏覽網頁的一般民眾。

以上這些採用各種惡意攻擊手法,入侵具有系統漏洞或是根本沒做好安全防護的網站,並在網頁中植入惡意程式,伺機竊取個人資料的手法,已經成為新一代的網路犯罪型態,例如以旅遊產業而言,在網站上大都提供了線上訂購旅遊行程等付款服務,如果業者沒有妥善的安全防護機制,在網頁中被植入了惡意程式連結,當使用者利用瀏覽器進入了網站,查看旅遊行程並且利用線上刷卡付款時,很可能就會被偷偷地安裝了木馬程式,而導致個人資訊像是帳號、密碼和信用卡號等資料外洩。

PCI-DSS資料安全標準簡介

有效維護網頁安全,對於提供線上交易服務的業者而言,絕對是責無旁貸的必要工作,因為一旦發生資料被竊事件,除了嚴重打擊業者商譽之外,如果消費者因此而對網路交易機制失去信心,受害的將是所有提供電子商務服務的業者。

目前,由American Express、Discover Financial Services、JCB、MasterCard Worldwide、Visa International等五家知名的電子付款與信用卡業者所共同組成的PCI Security Standards Council,即制定了「支付卡行業資料安全標準(PCI Data Security Standard;PCI-DSS)」,此一提供給全球產業共同遵守的資料安全標準,要求所有提供信用卡服務的商店,在儲存、處理與傳遞持卡人資料時,必須要有符合要求的安全控制措施。

在PCI-DSS V1.1版中,一共分為6大類12項基本要求,這些要求可用來審視網站的安全機制,用以保障持卡人的帳戶及交易資料安全,條文內容說明如下:

一、建立並維護安全的網路
  • 要求1:安裝並且維護防火牆配置以保護持卡人資料
  • 要求2:不可使用供應商提供的原廠設定值作為系統密碼及其他的安全參數
二、保護持卡人資料
  • 要求3:保護儲存的持卡人資料
  • 要求4:將透過公共網路傳送的持卡人資料及敏感資料加密
三、維護一個弱點管理程式
  • 要求5:使用防毒軟體並應經常更新程式及病毒碼
  • 要求6:發展及維護安全系統和應用程式
四、實施強而有力的安全存取控制措施
  • 要求7:根據業務需要限制對於持卡人資料的存取
  • 要求8:對於進行電腦存取的每一個人只賦予唯一的ID
  • 要求9:限制對持卡人資料進行實體存取
五、定期監控並測試網路
  • 要求10:追蹤並監控對網路資源及持卡人資料所進行的所有存取
  • 要求11:定期測試安全系統及流程
六、維護一個資訊安全政策
  • 要求12:實施並維護一個資訊安全政策
PCI-DSS標準對網頁安全的要求

雖然,PCI-DSS標準所要求的對象是支付卡相關產業,目的是為了要保護電子商務交易的資料安全,但是個人認為目前全球適用的資安標準法規中,以PCI-DSS標準和網頁安全最為相關,因為PCI-DSS除了具備廣泛的資訊安全要求之外,更可作為網站服務業者加強網頁安全的實施參考,其中尤以標準中的第4項與第6項要求,可用來檢驗並加強網頁安全。

在第4項要求中,PCI-DSS要求必須針對透過公共網路傳送的持卡人資料及敏感資料加密,以防止資料在傳輸的過程中被截取竊聽,因此,網站必須提供SSL/TLS或IPSec等安全傳輸協定,並且針對所傳輸的資料進行加密,在這裡所指的公共網路,範圍包括了網際網路Internet、WiFi無線網路、行動電話GSM系統與GPRS無線傳輸服務。

另外,在第6項「發展及維護安全系統和應用程式」要求中,PCI-DSS標準條文對於網頁安全還有以下的細項要求:
  1. 必須確保所有系統與軟體都已安裝了最新的安全更新程式,在軟體供應商發布了安全修補檔(Patch)之後,最遲必須在一個月內完成安裝各項更新。

  2. 業者必須建立一套流程來確認及發現安全弱點,例如接收軟體供應商最新的安全預警訊息,根據其所發布的弱點進行系統相關的更新,而此一流程需要有完整的文件記錄。

  3. 要求業者必須根據安全業界最佳實務,來發展應用系統安全開發流程,例如在開發流程中導入Security Development Life Cycle(SDLC),以確保在應用程式開發過程之中,每個階段都能結合安全性的要求。

  4. 一旦系統或軟體的配置需要更改,所有變更必須要遵循變更管理流程,像是已獲得高層的授權、經過回復測試,並且有完整的過程記錄。

  5. 依據OWASP發展安全的網頁應用程式(Web Application)指引,必須確保應用程式碼沒有常見的安全弱點問題,像是無效輸入問題、跨網站腳本攻擊(XSS)、緩衝區溢位、SQL Injection資料隱碼攻擊、不當的錯誤訊息處理、DOS阻絕攻擊和不安全的系統配置等。

  6. 必須確保網頁應用服務足以防護已知的入侵或攻擊手法,例如通過滲透測試(黑箱測試)與原始碼審查(白箱測試)的驗證,以及在網路伺服器前安裝應用層防火牆(Application firewall)等。
企業必須建立資訊安全政策

除了以上針對網頁應用安全的要求之外,隨著新的弱點與攻擊手法不斷出現,PCI-DSS標準中也要求系統必須接受定期的安全測試,以確保安全性不會因為時間或是軟體變更的關係而受到影響,換句話說,針對網頁安全,至少每年都必須要執行一次滲透測試,以確保系統的安全無虞,而且也要部署常駐的關鍵檔案監控軟體,一旦發現網頁檔案遭到竄改更動,就能立即主動發出警訊通知,使相關管理人員可以在第一時間內進行處置,以避免重大資安事件的發生。

最後,無論是在PCI-DSS標準或是資訊安全管理系統的最佳實務ISO 27001標準中,都強調企業組織必須要建立一個資訊安全政策,只有透過管理高層的發布重視,讓所有員工了解資訊安全的重要性,以及必須承擔的保護責任,才能真正地落實資訊安全;也唯有妥善運作的安全團隊和明確的資訊安全責任定義,才能將企業組織可能面臨的營運風險降至最低,並且保障所有使用者的權益。(本文刊載於2007年iThome資安專刊)

[Q&A] 若想定期了解網站安全,甚至是整個網站安全的趨勢,有哪些網站發布的統計資料或白皮書是值得參考的?

隨著各種網站攻擊事件不斷的發生,網頁安全的攻擊與防禦已經到了白熱化的地步,對於企業內的IT人員而言,面對傳統的網路攻擊與病毒防範,想必已經不會陌生,可是對於近幾年來新興的網站攻擊與入侵手法,卻經常感到難以招架。追究其原因,多半是來自於相關資訊安全知識的不足,尤其是對於網頁應用攻擊的手法更感到陌生,所以也就不太了解究竟該如何去防範入侵,並且加強維護網頁安全。

幸好,目前網路上已有許多開放的團體與非營利的機構,針對網頁應用安全議題,提供了很多豐富專業的資訊,可供我們來學習與效法,以下則為各位介紹,個人經常去補充資安知識,值得推薦的網頁應用安全資訊網站。

推薦一:WhiteHat Security

WhiteHat Security是由前Yahoo的資安長Jeremiah Grossman所創辦的公司,主要提供了各種有關網站安全的解決方案與服務。在WhiteHat Security網站的新聞專區中,收集匯整了來自世界各個媒體有關網頁應用安全的文章,讓你不必再花費力氣去一一瀏覽各個媒體所刊登的訊息。

WhiteHat的部落格是由Jeremiah親自執筆,主要分享他個人的網站安全防護經驗,其中一系列的「How to」文章,像是「如何加強網站防護避免被駭」、「如何檢查你的WebMail帳號是否被入侵」、「如何評估你的網站價值」、「如何找到你的網站弱點」等,是非常實用的經驗分享。

個人最喜歡WhiteHat Security網站的一點,是在於它的安全資源中心,提供了為數眾多的Whitepaper還有簡報檔,讓使用者可以免費下載閱讀。雖然WhiteHat Security的Whitepaper有些頁數並不多,但是字字珠璣且淺顯易讀,以下幾篇推薦給有心想了解網站安全的朋友們,可以到網站下載瀏覽的文章:
  • Ten Things You Should Know about Website Security
  • WhiteHat Security Web Application Security Risk Report
  • The Top Five Myths of Website Security
  • Website Security 101
推薦二:Web Application Security Consortium

Web Application Security Consortium (WASC)是由許多專家、業者和開放資源的代表所共同組成的國際性社群,WASC透過這些會員們的意見交換,不斷地產生各項網頁安全技術資訊、文章和安全指引等,可提供給來自世界各地的商業組織、學術團體、政府機構與資安專家們,協助他們面對不斷變化的網頁應用安全的挑戰。

雖然WASC的創辦者之一是WhiteHat Security的Jeremiah,但是WASC秉持著中立自主,並不偏向任何營利組織,它主要的目標是創造一個開放性的論壇,讓所有對於網頁應用安全有興趣的人,都能共同參與討論,促使各界更加關注各項有關網頁應用安全的事件與議題。

WASC網站提供了Mailing List討論服務,使用者可以用e-mail方式來訂閱,參與各項網頁應用安全的主題討論,另外,也可以透過RSS Feed來訂閱,相當地方便而且不會漏失任何的訊息。WASC也設立了許多有關網頁應用安全的計劃,如果你願意參與並且貢獻自己的專業,可以主動與各個Project Leader聯絡。

WASC網站同樣也有很多豐富的參考資料,在你點選Library連結之後,就可以看到有關網頁安全的書籍介紹,以及它收集自各個知名網頁安全業者,所免費提供的Whitepaper,雖然資料有一段時間未更新了,但仍然具有參考價值。

推薦三:Cgisecurity

Cgisecurity是目前最早建立,內容有關網頁應用安全的網站,它的創建者同時也是WASC的核心創辦者之一,如果你是想要從事網頁應用安全研究的學生,那麼Cgisecurity是你不可錯過的網站,因為它提供了相關的期刊paper,可作為研究的參考之用。

Cgisecurity網站最大的特色,就是將網頁應用安全的相關主題,分門別類地排列,使用者可以很快地一網打盡同一類型的參考資料,像是以研究Phishing主題為例,當你點選連結進入內頁之後,即可得知有關Phishing的網站、相關的工具與軟體、技術文章、新聞連結、犯罪案例,以及如何自我防護等相關資料;如果你想了解什麼是SQL Injection,也只要輕鬆按下一個連結,就可以在這個網站內獲得問題解答、相關的參考文章與網路連結指引。總之,這個網站資訊相當豐富,肯定會花掉你不少時間。

推薦四:World Wide Web Consortium

World Wide Web Consortium(W3C)是由全球資訊網(WWW)的發明人Tim Berners-Lee所創立的組織,其成立的宗旨是為了推動全球資訊網的相關技術,並鼓勵各項合作與討論。同時,W3C也致力於各種網際網路標準的研發、制定與推廣,使業者的對於全球資訊網的應用發展,能有一個可供遵循的標準。

W3C針對網際網路的各種應用,建立了一些工作小組,像是Web Security Context Working Group就專注在研究使用者部署安全技術時,可能會面臨的問題,尤其是在企業部署了安全機制之後,惡意駭客可能會採取規避的方法來欺騙過關,在這部份W3C工作小組能提供一些因應之道。

在網頁安全方面,如果你是網頁應用程式的開發人員,可以參照網站上所提供有關資安的文件,像是XML Security的規格說明、XML簽章與加密,以及金鑰的管理等。至於目前最熱的AJAX網頁技術,W3C也有一個工作小組,產出許多可供開發人員參考的文件,同時也提供Email List給有興趣的人員訂閱討論。

推薦五:Open Web Application Security Project

OWASP(Open Web Application Security Project)開放Web軟體安全計畫,是一個全球開放的社群,也是一個非營利的組識,長期致力於改善有關網頁應用服務的安全性,以提供給政府和業界參考。OWASP的主要目標在於協助建立網頁應用安全的標準、工具與技術文件,以減少應用程式在開發過程中可能會產生的弱點,防止惡意駭客利用這些弱點來進行破壞。

在台灣分會會長Wayne的努力之下,OWASP台灣分會已於2007年正式成立,並且開放給各界人士參與,目前,每年由OWASP所公布的十大Web資安漏洞資料,已成為業界人士用來加強網站安全與修補漏洞的參考指標,也被政府機關列為網頁應用安全必要的檢測項目之一。

在OWASP網站上,除了十大Web資安漏洞說明資料外,你還可以找到目前正在進行的相關計劃說明,歷年研討會的簡報資料與影音檔案,而對於下一代網頁Web2.0有興趣的研究者,也可在此找到可供參考的paper文件。另外,OWASP的部落格也持續不斷地在更新,對於網頁應用安全有興趣的人,相信在此可以獲得很多有用資訊。

總結

以上是幾個相當不錯的國外網站,在此分享給各位作為參考,由於網頁攻擊的手法日新月異,對IT人員而言,唯有不斷地補充相關知識,才能有效做好資訊安全防護工作。但比較可惜的是,國內目前還相當缺乏有關網頁安全的開放組織與中文參考資訊,大多只能依賴國外網站所提供的內容,這點大家要一起加油了。(本文刊載於2007年iThome資安專刊)

2009年11月18日 星期三

[專題] 從ISO 27001談實體安全管理

許多企業在規劃如何去加強資訊安全時,首先想到的都是如何去防護網路安全,以為添購了防火牆、設置入侵偵測系統或是安裝防毒軟體等,就做好了資訊安全防護工作,不會受到駭客入侵而造成企業損失。但是,這樣真的就安全了嗎?我們不妨看看以下媒體所報導過的真實事件:
  • 美國飛機製造商波音公司一部含有38萬名現職及退休員工的資料,因為員工一時疏忽放置在車上而遭竊;美國退伍軍人事務部,也因不小心遺失筆記型電腦,而造成2600萬退伍軍人資料的外洩。
  • 美國大型家電連鎖商Circuit City,因信用卡公司不慎將含有持卡人資料的電腦磁帶當成垃圾丟棄,遺失了260萬名信用卡持卡人資料。
  • 日本三井住友銀行倫敦分行,因數名竊賊假扮成清潔人員,而偷偷在處理國際轉帳事務的電腦內,安裝了鍵盤側錄程式,差點順利竊走4億美元的存款。
  • 巴西中央銀行因竊賊花了三個月時間挖掘地道,而被搬走約21億台幣的現鈔,但是金庫內的攝影機與偵測器,卻完全沒有發揮任何作用。
  • 今年3月美國國稅局存放納稅人資料的26個電腦磁帶,竟在市政府大樓內遺失。
從以上事件可以看出,因為設備的不當使用與人員的未經管制,加上實體環境缺乏防護管理,所造成的資安問題更加嚴重,值得所有組織與企業來予以警惕注意。

識別對實體與環境的威脅來源

如何去加強實體及環境的安全管理,已成為資訊安全工作中不可或缺的重要一環,除了防範經由網路滲透入侵的資安事件之外,天災與人禍更是我們需要去關切及預防的,此處所謂的天災,是指企業面對週遭環境的天然威脅,而人禍則是泛指因為人為管制的疏忽所造成的資訊安全危害。

因此,企業進行實體與環境安全的管理的目的,即是為了消除這兩項重大的威脅,並將可能發生危害的風險降至最低。從以上的角度來看,威脅又可概分為:
  1. 自然因素:指颱風、水災、火災、雷擊、地震等。
  2. 非自然因素:指電力、空調系統等。
  3. 人為因素:指偷竊、惡意破壞及門禁管制疏失等。
針對自然因素的預防,我們可以先從自然災害的威脅評估著手,像是調查所在區域的颱風、地震頻率,以及救援單位能夠及時到場協助的時間。另外,對於建築物本身的設計整建,是否使用防火建材、強化玻璃等,可以進一步要求對大樓結構進行強化,以抵擋自然災害的侵襲。

至於非自然因素的預防,主要是為了維持設備的正常運作,企業必須具備主要電力與備援電力獨立配電系統,另外像是針對突波與瞬間斷電的預防、總開關防護、發電機安置地點及供油儲存,也要有良好的規劃。在空調系統方面,在機房內需要有恆溫、恆濕的溫濕度控制與空氣濾清裝置,對於大樓出入風口也要有妥善保護。

最後在人員作業方面,具敏感性的職務在人員錄用前需進行的背景調查;重要處所進出必須做到人員識別與門禁管制;機房人員也須做好消防演練、疏散及消防設備的使用測試。

企業的實體與環境安全若沒有做好,所造成的損失有兩種,一種是資產設備的失竊或損毀,會造成直接的財務損失;另一種則是資訊資產的遺失,例如重要的設計資料、公司人事資料或是重要商業機密等,輕則使商譽受損,重則甚至造成整個企業營運的中斷。

ISO 27001的實體安全控制措施

在ISO 27001:2005的附錄A控制措施中,「A9實體與環境安全」項目清楚規範了實體與環境安全此一控制項目,可做為企業在進行實體與環境安全管理時的最佳參考。

在「A9.1安全區域」控制項目中,其目標即是為了防止企業或組織所在的場所,遭到未經授權的實體存取與侵害,而要求必須劃分安全的邊界,將關鍵或敏感的資訊置放於安全的區域,並且給予妥善的保護。

而「A9.2設備安全」,目標是防止因資產的遺失、損害或竊盜,而造成組織營運的中斷。本文則以ISO 27001的規範為基礎歸納出以下幾點,提供企業在執行實體及環境安全管理時的參考。

一、設定實體安全邊界 - 針對實體邊界的保護,必須依照週邊設施,根據其資產價值來決定保護措施的設置程度,以達到安全控管的目標,要注意的事項有:
  • 建築物週圍可設立圍牆等人工屏障或實體隔離設施,並且加強燈光照明系統,另外還可設置重點監視設備或保全人員巡邏。

  • 對於邊界進出口須設置警衛、檢查哨,並且進行人員及車輛進出管制,識別方式可採取識別證、磁卡、生物辨識(指紋、掌紋、虹膜、聲紋)等。在人員識別方面,需注意辨識準確度、速度及設置成本,必要時可採取人員陪同或搭配可錄音錄影之監視系統。

  • 對於無人門窗應予以上鎖,無人區域與重要設施,宜定時派人巡邏,或安裝防盜與監視系統。
二、進出人員管制措施 - 在ISO 27001的「4.3.3紀錄管制」條款中要求,對於資訊安全管理的運作,所建立並維持的各項記錄,必須加以保護與管制,所以像是人員進出登記表,都必須妥善加以保存,建議可採取的人員管制措施如下:
  • 來訪人員應要求出示身份識別,配載身分識別標示,並且記錄進出的日期與時間。

  • 人員進出區域與動線需妥善規劃,來訪人員不應直接進入作業區域,若需進入作業管制區,須經由授權或專人陪同才能進入。

  • 技術支援或維護服務人員,需事先取得授權才能進行作業,並視管理需要由專人陪同監督。

  • 未經適當申請程序之人員,應禁止留在辦公室單獨作業。

  • 調職與離職人員,禁止其進入原工作之區域。
三、設備安全管理 - 對於企業內所使用的相關資產設備,應放置在予以適當保護的地點,以避免因不安全的環境而造成設備本身的損壞,或是未經授權的存取使用。另外,攜出場外使用的設備,也應該實施管制與保護措施,需要注意的事項有:
  • 存放或處理敏感性資料的設備,應放置在可以監控的地點,並且提供足夠的電源供應,如不斷電系統與防火、水災的保護,尤其是需要特別保護的設備,務必採取獨立區域與其他設備分開。另外,對於設備所使用的通訊線路,必須採取如隱藏或地下化的保護措施,以避免遭到資料截取與破壞。

  • 設備的維護必須由授權的維護人員來進行,若是委由廠商維護,針對維修人員必須通過身份識別或是陪同進行。在維護的過程中,必須將所排除的錯誤或是變更進行完整記錄,若需送回廠商處維修時,也必須按照設備攜出之規定進行,設備攜回或送修,應清除內含所有的敏感性資料。

  • 在敏感區域,所有未經授權之資訊設備,像是筆記型電腦、儲存設備、數位相機、照相手機等,皆不可攜入或攜出,需要攜入或攜出辦公室之設備則必須加以記錄檢查。

  • 外勤人員所使用的筆記型電腦,必須安裝防毒或個人防火牆,並且提供適當的資料保護措施,像是設定開機密碼或硬碟及檔案加密,並且要求不可將設備置於可能發生偷竊之地點,像是汽車等。

  • 企業內之無人設備(例如印表機、影印機、傳真機等)需有使用保護機制(如設置密碼),所列印之資訊應要求立即從印表機上取走,敏感資訊則應採用受管制監控之設備來列印。

  • 人員離開座位或是下班時間,應實施桌面淨空政策,將文件與儲存媒體置於上鎖之櫃子,電腦螢幕應啟用螢幕保護程式。

  • 需要報廢與再使用之資訊設備,必須針對其內含之儲存媒體,進行如低階格式化的資料刪除與覆寫,以確保資料能完全清除,所列印出的敏感資訊,若不需保存或是印壞丟棄時,應按照規定之銷毀程序處理。
四、機房之安全管理 - 屬於企業核心運作之電腦機房,在設置時應考慮地點及建築防護是否足夠,以減少天災或人為因素所造成的安全威脅,其安全管理注意事項如下:
  • 機房設置地點需考量天災發生頻率之問題,並且應避免鄰近火源、水源和交通頻繁之地點。

  • 機房之安全設計需考慮採用如高架地板、隱藏佈線、地板承重度及排水、防火功能等。

  • 機房應擁有獨立與備援之電力支援,對於重點設備應考慮優先供電設施及UPS不斷電系統。

  • 機房內應裝置適當的煙霧偵測器、溫度感知器等火警設備,並且設置滅火器材(考量使用乾粉及在無人區域使用二氧化碳減火器)以防止火災的發生。

  • 危險及易燃性之物品,絕對不可存放在機房中。

  • 機房之位置,應該盡量避免過於明顯的標示,以避免成為侵入和攻擊的目標。

  • 機房使用之備援設備,應存放一定之安全距離,以避免災害發生時一併遭到損毀。

  • 機房人員應熟悉緊急應變程序,並且實施定期演練及測試;非機房人員需取得授權,並由相關人員陪同監控始可進入。

  • 機房應具備門禁管制設備或上鎖,並視情況設置監視設備,人員出入需取得授權並登記日期時間。
小心實體安全的資安漏洞

其實,大多數企業皆重視的網路安全工作只是資訊安全的其中一環,而企業最容易輕忽的,卻是最基礎的資安防護工作,像是實體與環境的安全管理等。請試著想想,當惡意人士能夠輕易進入企業環境之中,將整台主機、儲存設備,甚至是員工的筆記型電腦偷走,此時企業所設置的網路安全設備將是無法發揮任何作用的,而且資料損毀或竊盜所造成的傷害與損失,很可能會遠大於經由網路入侵系統所造成的危害。所以,如果企業對於實體與環境沒有採行適當的防護管理,當遭遇所謂的天災或人為的惡意破壞,很可能會讓重要的營運資訊毀於一旦。

在ISO 27001中,已針對實體及環境的安全管理,提供了明確的指引與實作建議,可以避免關鍵設備或機密資訊受到不當的存取、損害與干擾,企業能夠藉由落實各項控制措施來降低可能發生的風險。另外,在難以避免的天災部份,建議還可透過保險或委外管理等風險轉移措施,為企業提供更深一層的保障。(本文刊載於2007年iThome資安專刊)

2009年11月10日 星期二

[專題] 無線網路入侵手法與防禦對策分析

隨著無線網路設備成本的降低以及相關無線應用服務的普及,許多企業都紛紛建置無線網路系統,藉由無線網路相互連結的方便性與行動優勢,來提升企業員工的工作效率。不過,也因為使用上的方便所造成的疏忽,加上先天上存在的一些弱點,使得無線網路容易被惡意駭客所利用,而產生了危害資訊安全的問題。

根據CSI/FBI 2005 Computer Crime and Security Survey的統計,在病毒、非法存取資訊、詐騙、偷竊等所有電腦犯罪行為中,無線網路的威脅傷害,是唯一每年都在持續增加的。而Gartner的研究也指出,在2006年仍有8成企業的無線網路系統,存在易受駭客入侵的弱點,這種未受安全防護的無線網路,等於是為駭客大開了一個方便之門,使企業花費大量金錢所投資建置的防火牆、入侵偵測系統和VPN等安全設備,完全處於無用武之地。

所以,若是啟用了一個沒有安全防護的無線網路,將會嚴重危害到整個企業的網路傳輸、資訊安全與營運持續狀態。

企業無線網路面臨的資安風險

過去,當無線網路一開始發展時,企業通常只會在特定的區域,像是在會議室、小型辦公室等地設置無線網路基地台,透過人工方式來管理設定一到數個無線網路設備,這其實是相當容易的,而且只要藉由IT人員設定好網路連線認證機制,僅允許已通過申請驗證的使用者才能使用無線網路,即可解決大部份無線網路的管理問題。如今,隨著無線網路擴充至整個企業,甚至是開放的公共空間來使用,面對這些數十到數百的無線網路基地台及連線設備,在安全管理上就會形成一個重大的問題,一不小心,很容易就會造成危害資訊安全的事件。

對企業而言,面對駭客日新月異的入侵攻擊手法,資訊安全所面臨的挑戰,已經不只侷限在如何管理合法的連線上,而是必須針對包括無線溢波問題、無線設備管制、惡意連線、意外連線、阻斷攻擊等問題,都需要一套有效的管理機制,才能確保無線網路的使用安全。

從技術與管理的角度來看,今日無線網路面臨的安全弱點,大致可分為以下幾點:
  1. 無線溢波問題 - 無線網路不像傳統有線網路需要透過實體線材傳輸資料,並且利用各項網路設備來層層把關監控,而是以無線電波訊號在空中傳輸,讓人看不到也摸不著,很難如同有線網路一般進行管理控制。尤其是隨著大功率天線的應用,所形成的溢波範圍都有可能成為惡意駭客的入侵點,駭客也藉此輕易地延長了可以攻擊的距離,往往令人防不勝防,使得無線網路也可能被用來作為入侵內部有線網路,作為駭客進行攻擊的跳板。

  2. 不當的無線網路設定 - 若管理者因為疏忽,而將無線網路設備一律使用出廠的預設值,或是未開啟無線加密設定,也就等於是打開大門歡迎駭客的光臨。舉例來說,像是每一個無線網路基地台,都需要提供一個網路服務職別名稱(SSID),使用者必須設定相同的SSID才能連線。但是許多的無線基地台,在出廠時即預設了default或any等名稱,若未經過更改,很容易會遭到入侵盜用。另外,一般無線基地台都會讓管理者透過Web介面來進行相關網路設定,若管理者在第一次登入設定畫面之後,沒有更改預設的密碼,也很容易會被以猜測密碼的方式來盜用。

  3. 駭客工具隨處可得 - 目前在網路上,只要在搜尋引擎中輸入「駭客工具」關鍵字,各種針對無線掃瞄、竊聽、WEP破解、Soft AP軟體工具幾乎唾手可得,許多非駭客級的惡意玩家,根本不必細心研究無線加密演算法或認證流程,只要應用這些工具,即可輕易入侵他人的無線網路。

  4. 意外連線問題 - 藉由安裝網路上下載的免費Soft AP軟體,任何一台筆記型電腦都可變成一台移動的無線基地台,並且支援Infrastructure和Ad-hoc連線模式,使用者稍一不慎,即有可能被引導連線至駭客偽裝的非法基地台,遭到騙取個人帳號和密碼,或是被偷窺側錄私人的通訊內容等。另外,在Windows XP中已內建了Ad-hoc無線點對點連線功能,可以讓筆記型電腦的使用者透過無線網路以點對點的連線方式,來分享或傳送檔案資訊。因此,利用這項弱點,惡意駭客還能夠透過病毒或木馬程式來修改相關設定,讓使用者在無意間啟動了Ad-hoc連線,不小心也就造成了個人資料外洩。
常見的無線網路入侵手法

對於有線網路的安全,企業通常都能採取有效的實體防護措施,以及使用各種網路設備來進行監控管理,但是一旦企業內部建置了無線網路系統,隨著無線網路基地台的啟動,若是缺少適當的入侵防禦措施,也就形同是將實體大樓的牆壁拆除,讓惡意駭客得以輕鬆而入。

因此,針對以上提到的無線網路所面臨的安全弱點,經常被惡意駭客用來入侵無線網路的攻擊手法有以下幾種:
  1. 封包竊聽(Sniffing) - 只要是在無線網路涵蓋的訊號或是溢波範圍之內,駭客就可以利用一些偵察工具,啟用雜亂模式(Promiscuous mode)來監聽無線網路的封包,接收所有傳送的資料。若管理者未啟用無線網路加密機制,那麼從這些沒有加密的封包中,駭客即可輕鬆獲得像是SSID、來源及目的IP Address,甚至是帳號密碼,或是MSN等即時通訊的傳輸內容。

  2. 偽冒基地台攻擊(Rogue AP & Evil twin) - 一般公開的無線網路連線程序是,當電腦開機之後,會透過無線網路卡發送Probe的連線請求,當週遭存在可用的無線基地台時,即會回應BEACONS給使用者的電腦,而系統就會根據最佳的訊號強度、品質、干擾程度等條件來連接至最佳的無線基地台。因此,惡意駭客可以架設高功率的無線基地台,冒用相同的SSID名稱,來誘導使用者連線至偽冒的基地台,偷取使用者的登入帳號及密碼。另外,駭客還可以透過軟體將筆記型電腦模擬成軟體的無線基地台(Soft AP),發送回應給發出連線請求的使用者,讓使用者的電腦被引導連線至惡意駭客的偽冒無線基地台,竊取使用者的個人資訊。

  3. MAC偽冒攻擊(MAC Address Spoofing) - 目前無線網路的安全機制上,可以藉由管制使用者網路卡的MAC Address來過濾合法及非法的使用者,但是,惡意駭客可以透過駭客工具,以監聽無線網路封包的方式,來取得合法使用者的MAC Address,然後再修改其網路卡的MAC address,冒充成合法使用者來騙過AP,達到成功連線的目的。因此,透過鎖住特定MAC address來限制連線,已經不是很安全的管理方式。

  4. 無線網路阻斷服務攻擊(WLAN DOS) - 既然有線網路會遭遇阻斷式攻擊,無線網路也是難以避免,無線網路的阻斷攻擊,通常可分為以下三類:(1) 攻擊無線基地台:對基地台發動封包攻擊或發送反認證封包,阻止其他無線使用者與無線基地台進行連線。(2) 攻擊使用者電腦:阻斷特定使用者的電腦,使其無法與其他無線網路設備連線。(3) 攻擊無線網路頻道:針對所使用的無線通訊頻道,進行癱瘓攻擊(RF Jamming),造成所有使用此一頻道的無線網路設備皆無法順利連線。

  5. 中間人攔截攻擊(Man in the Middle Attack) - 所謂中間人攔截攻擊其實是結合偽冒基地台以及阻斷服務攻擊的方式,指攻擊者冒充無線基地台,對於目前使用者發送中斷連線和反認證封包,藉此來中斷使用者和無線基地台之間的連線。然後,攻擊者重新再和使用者建立連線,並且另一邊也同時和合法無線基地台連線,扮演著使用者和無線基地台的中間人,趁機從中攔截並竊取傳輸的資訊。
無線網路防禦的對策分析

面對在任何時間及地點都可能發生的駭客入侵事件,企業想要安心地使用無線網路並確保無線網路的使用安全,建議可以從「作好無線網路的風險管理」、「列管所有無線網路設備」、「部署無線網路入侵偵測防禦系統」等三項對策來著手。

首先,針對無線網路的風險管理,我們可以把握住以下原則,來檢視評估企業面臨了哪些可能的無線網路風險,藉此來導入相關的風險控制措施,即可防止大部份的竊聽及偽冒攻擊:
  • Who - 無線網路誰可以連結使用,是否經過身份認證?有哪些裝置連結了無線網路?
  • What - 使用者連線允許連線至哪個無線設備?具有什麼連結權限?可供無線網路連結使用的系統或服務是什麼?
  • When - 何時能使用無線網路?連線的時間多久?
  • Where - 從哪個地點來連結無線網路?
  • Why - 企業為何需要使用無線網路?
  • How - 使用者如何連結無線網路?使用無線網路上傳及下載了多少資料?
第二項對策是,企業必須要列管所有的無線網路設備,針對這些設備制訂出對應的管理政策(Policy),以確保使用無線網路的裝置,在進入企業時都已受到良好的防護,應該列入控管的設備包括了:
  • 硬體無線基地台(Hardware AP)
  • 軟體無線基地台(Soft AP)
  • 特殊無線裝置:例如無線條碼掃瞄器
  • 裝置無線網路卡的PC及筆記型電腦
  • 內建無線網路的手機、PDA、Pocket PC
這一部份除了採取人工列管之外,也可以利用無線網路入侵偵測防禦系統來自動識別各項裝置,透過安全政策(Policy)的設定,可阻止不當裝置的連線使用。

至於第三項對策,則是部署「無線網路入侵偵測防禦系統」,從使用者端的無線安全防護,到無線網路設備連線的集中式安全監控,能夠阻絕像是封包竊聽、偽冒MAC位址、偽冒基地台、阻斷服務攻擊和中間人攔截攻擊等各式駭客攻擊手法,同時還可針對非法外部裝置的企圖連線,以及避免使用者因為意外連線至鄰近公司等問題,皆能加以有效防範。

目前針對無線網路的偵測監控,主要可以分為「行動式監控」與「固定式監控」兩種,所謂行動監控是指透過在筆記型電腦或Pocket PC上安裝無線網路偵測軟體,由管理者攜帶至企業各個角落遊走,來找出在偵測範圍內是否有非法訊號的出現。使用行動監控的優勢是可以藉由手持裝置四處巡邏,找出妨礙無線訊號的死角,以及躲在安全角落的非法無線設備,但缺點則為無線網路卡本身的功率太小,涵蓋範圍不足,很有可能發生掛一漏萬的狀況。

固定式監控則是透過安裝訊號感應器(Sensor),採取24小時持續不斷地監控所有無線網路設備與無線訊號,並將各個感應器偵測所得的資料回傳給主控端伺服器,由伺服器來進行裝置識別、連線封包分析,並且根據使用者或預設的安全政策來鎖定非法裝置或進行無線訊號阻斷,讓非法裝置無所遁形,最後還會自動產生資安事件報告以供管理者參考。即使企業有多個分散據點,同樣只要在使用無線網路的分點來佈署感應器,就可以透過主控端來統一監控,並且針對整個企業的無線網路,隨時作出診斷分析,判斷哪些地點容易遭受攻擊、可能攻擊手法類型及建議的反制措施。

此外,在使用者的電腦上,還可以個別安裝無線個人防護系統,透過常駐軟體程式,集中監控Windows PC/Notebook的無線網路設定與連線活動,並且偵測與反制違規使用行為及安全威脅。

所以,從管理者的角度而言,佈署集中控管的無線網路入侵防禦系統,能夠大幅減輕管理者的工作負擔,並且能夠時時清楚掌控目前企業無線網路的使用狀態,因此建議企業在選擇一個有效的無線網路入侵偵測防禦系統時,必須考慮能夠保護以下三個面向:
  • 能夠識別並確保無線裝置的安全,像是無線基地台、筆記型電腦、無線條碼掃瞄器、PDA等。
  • 能夠監控通訊連線的安全,包括安全的加密與身份驗證,並且阻斷非法連線。
  • 能提供24x7即時監控,提供管理者安全政策的佈署及營運上的支援報告。
採取適當防護即可降低風險

或許有人會認為,既然無線網路存在著入侵風險,那企業乾脆不要使用就好,但是其實無論有線、無線,使用網路本身就存在著一定風險,實在不必因噎廢食。尤其無線網路的應用,已是世界各國在為提升科技服務而努力的目標,而企業朝向行動工作化的目的,也是為了提升更高的工作效率與品質,因此對於無線網路安全的議題,只要做好適當的資安防護工作,就能將可能的資安風險降至最低。

在傳統有線網路的管理上,網路管理者可以透過路由器、交換器等流量管制設備,或是IDS入侵偵測系統來偵測監控網路上異常的流量,雖然目前也有針對無線網路的集中式交換器,可以控管所有的無線網路基地台,並且進行使用者身份驗證和監控流量,但是對無線網路而言,當訊號在離開基地台之後,是經由空中傳遞到連結的使用者,這時像是無線溢波等可能發生的入侵問題,光憑有線的網路設備是絕對無法偵測預防的。

因此,面對可能的無線網路入侵攻擊,企業必須思考除了管理合法的連線之外,仍必須搭配佈署24小時持續不中斷,能夠針對來自空中的訊號予以監控的無線網路入侵偵測防禦解決方案。但是,如果一個所謂的入侵偵測防禦系統,只能週期性或短暫性地偵測監控,無法即時反應來阻絕非法連線,那也絕對稱不上是一套安全的入侵偵測防禦系統,所以,企業所部署的無線網路入侵偵測防禦系統,還必須能夠即時判別連線或關連的產生、鎖定非法無線裝置的位置,以及評估資料交換與可能損害大小,如此才能有效防範各種危害無線網路安全的行為發生。(本文刊載於2007年iThome資安專刊)

2009年11月9日 星期一

[閒聊] 網路世界,你想要有多安全?

曾經和一位對病毒很有研究的專家朋友聊天,提到現在許多變種的木馬和加殼病毒真是厲害,往往令人防不勝防,因此對於防毒公司來說,並不會花太多工夫在加強病毒的偵測技術上,大多只能專注在處理當下廣泛散佈的病毒,並且盡快地更新特徵在病毒碼中,提供給使用者下載更新。

如果你是個經常中樂透的幸運兒,又剛好碰上了只有幾個人才有緣相見的木馬,若想要尋求防毒公司提供解藥,個人猜想他們應該是不太會搭理你的問題。

從事資安這一行,經常被問到的一件事就是:哪一套防毒軟體最有效?到底是紅牌、黃牌,還是綠牌好?回答這一類問題,對於非常認真的朋友,我會提供一些國外的測試報告給他,請他參考數據分析的結果;如果只是隨口問問的人,我的答案通常會是,只要挑市面上有聽過的大廠牌就可以囉。

至於那些對防毒軟體效果本就心存疑慮的人,我會試著提醒他們說,基本上防毒軟體並不能完全解決未知的病毒,預多只能協助你清除掉目前普遍傳染的病毒。換句話說,安裝防毒軟體有點像是雨天撐傘一樣,你不撐鐵定會淋得一身溼,若撐了傘的話,至少重點部位還是有保障的。

專家朋友說:「萬一電腦中了毒真的找不到解藥,那乾脆就不要解了,當作得個小感冒,可以強身;不過,偶爾感冒一下沒關係,千萬要懂得去避免大病纏身,才不會一病不起。」我倒蠻喜歡這個說法,當然,這並不是說中了毒之後就別管它了(小心傳染給親朋好友時會被追殺),而是提醒大家真的不必太過執著,萬一解不了病毒,還可以選擇其他的方法,例如把硬碟格式化後重灌系統,這樣可能會有損失但也可順利重生。

每次講資訊安全的第一堂課時,我總是會提醒來參加的朋友說:「網路世界裡沒有百分之百的安全。」也就是說,資安風險是不太可能完全消除的,所以在我們的生活中,只能盡力尋找各種風險應對之道,回到資安的行話就是,對於風險要事先尋求適當的控制措施,萬一事件還是不幸發生了,那就選擇能夠接受的處理方法,並作為下一次努力改善的目標。

關於危機的應對,我記得有個不錯的例子,那是雲門舞集創辦人林懷民在排練場火災事故發生之後,接受媒體的訪問時談到:「大火時我為何能夠從容面對,因為在那個當下你什麼都做不了,半夜二點大火,我三點多就趕到了,看到現場真的覺得無能為力,所以乾脆就坐下來抽煙,但是我心裡想,在大火的隔天,我們一定要照常開工。」

所以,面對網路上的風險,與其害怕得因噎廢食,倒不如做好該有的防備,然後選擇從容應對。

[觀點] 企業營運持續管理標準:BS 25999

隨著外在環境不斷變化與企業組織的擴張發展,在營運過程之中,來自於天然環境、競爭對手和市場變動所造成的影響,乃不可避免,企業到底該如何未雨綢繆,運用良好的治理與管理制度,來妥善處理這些衝擊改變,已成為企業高層與管理人員必須要學習的課題。

企業面臨危機而營運中斷的因素很多,除了天然災害如地震、颱風、火災等所引起的廣泛衝擊之外,因為設備故障如伺服器當機、硬碟資料損毀,以及蓄意行為如電腦病毒、駭客攻擊等所造成的營運風險也逐漸增加。

從IT層面來看,所謂的災難復原與備援系統的建置,若企業願意承擔起相關成本,技術上並非困難的事,難處在於管理階層究竟該如何進行規劃與組織人員訓練、評估何時該啟動災難復原程序、判斷作業程序是否合理,以及協調支援單位在一定時間內相互配合達成目標,最後形成一個企業營運持續管理(Business Continuity Management;BCM)系統,這些無一不是挑戰。

BS 25999的過去與現在

對於災害的應變與防護,國際上其實已有相關的計劃或標準,例如美國國家防火協會,即制訂了「災害/緊急管理與企業營運持續計劃」,作為發生災害時的緊急應變程序;加拿大也有「營運持續計劃指南」,確保企業的營運能在災害之後持續運作;新加坡「業務持續性與災害復原」標準SS507,更同時包含了IT災難復原和BCM兩項重要領域。

英國標準協會BSI過去也制訂「PAS56營運持續管理指導綱要」,作為企業在面臨營運中斷時,如何去維持關鍵企業營運的參考,目前則積極地推動更新的BS 25999作為營運持續管理系統的標準。

BS 25999標準分為兩個部份,BS 25999-1是作為參考手冊,已於2006年11月發佈,說明了營運持續管理的各項作業要點,包括建立程序、實作過程與指導原則,讓相關人員可以了解其實施方式,而BS 25999-2則是說明營運持續管理的要求,企業必須落實標準中的各項規範,通過稽核之後才能獲得BS 25999的認證,此標準於2007年11月底正式發佈。

BS25999提供了一個營運持續實施策略與框架,讓企業可以在重大事故之前,預先做好防範的準備措施,而在災難來臨時,也可以透過事先的妥善演練,來降低可能造成的營運損失,對於企業高層人員如執行長和董事會成員而言,具有BCM的策略規畫,可視為企業治理的重要任務之一,除了可以提升組織的應變與復原能力,更能滿足股東、上下游合作夥伴與客戶的要求。

BS 7799 VS. BS 25999

關於營運持續管理,在ISO 27001的前身BS 7799已有這個控制項目,說明企業需要識別關鍵的業務流程,進行風險評鑑以了解企業的弱點與潛在的威脅,再依照其重要性來排定復原的先後順序。BS 7799主要是從資訊安全的角度來看營運持續管理,提到企業營運持續計劃除了考量人員、資產與業務之外,其他相關設施只要牽涉到資訊的機密性、完整性與可用性,都要一併列入計劃之中,並且定期進行測試與改善。

BS 25999則是從整個企業經營角度來衡量,提到了更完整的營運持續管理生命週期(BCM Lifecycle),包括了以下幾個階段:
  1. 了解企業的現況 - 由於企業的屬性與類型不同,所處的環境也有很大的差異,為了要評估在發生危機時可能面臨的衝擊,企業必須找出「什麼才是企業賴以維生的關鍵?」這有可能會是ERP、CRM,也可能會是Email或網路連線,因此必須透過「風險評鑑」和「營運衝擊分析」二種方式,來識別出面臨的威脅、弱點與風險值,估算可能造成的損失。另外最重要的,企業還必須要找出可接受的復原目標時間(Recovery Time Objective;RTO),舉例來說,當一個人發生急性中風之後,若在三小時內沒有經過緊急搶救治療,就會造成難以挽回的遺憾,這是人人必須把握的黃金時間,所以如何在可容忍的營運中斷時間內進行應變,是企業要去審慎評估的。

  2. 制定BCM的策略 - 在了解企業的關鍵營運流程與可能會發生的災難之後,就可以根據企業的營運目標、資源與成本來制訂所要採取的因應策略,並且選擇能夠降低風險的措施。

  3. 發展與實施BCM回應 - 在此一階段中,企業必須要發展出一套營運持續計劃(BCP),計劃中必須包括人員職責分配、教育訓練辦法、計劃啟動條件、緊急應變程序、備援機制、災難復原程序等。

  4. 演練、維護與審查 - 完成BCP之後,最重要的就是要進行測試與演練,確保計劃項目能夠一一順暢執行,在演練之後,還要針對有疏失的地方持續加以改進,以確保營運持續計劃能夠有效執行。

  5. 使BCM成為企業文化 - BCM是一個持續的管理、協調與監督過程,BS 25999標準中強調,必須要讓BCM深入成為企業文化中之一員,才能達到企業永續經營的目標。
BS 25999發揮的最大效益

或許有人認為自己在生活之中,不太可能會發生意外,每當身旁有人不斷提醒時,往往會認為是太過於「杞人憂天」,總覺得自己凡事皆能逢凶化吉。其實太過自信與缺少準備,往往使人們在面臨危機時手忙腳亂而造成更大傷害。

所謂「前事不忘,後事之師」,對於企業來說,以往無論是國外的911恐怖攻擊、倫敦地鐵爆炸、卡翠娜風災,國內的921大地震、東科大火、納莉風災、SARS等事件,許多的經驗都值得我們引以為戒,災害固然難以預防,但設備毀損、資料遺失,操作失誤所造成的損害,卻是企業可以事先規劃避免的。

BCM的基本精神就是要去「預料無法預料的事」,要將各種可能狀況的劇本預先準備好,確保意外或災難發生時,企業能夠依照事先擬定的因應方法,讓關鍵的商務活動不會因此中斷而造成龐大損失。但是,BCM的推動,準備條件除了人力、物力與經費之外,最重要的仍在於是否經過完整的測試與演練,能在時間內發揮預期的效用,這些都在在考驗著企業管理階層的遠見與決心。

所以,唯有透過不斷的沙盤推演,使相關人員確實熟悉各項應變作業流程,再經由模擬災難情況來實際演練,以評估計劃可行性,事後也務必進行檢討,針對不足之處予以修正,這樣才能發揮BCM的真正效益。(本文於2007年11月刊載於CNET網站)

[觀點] 別再輕忽實體安全管理

小陳是一家美容保養產品公司的MIS人員,隨著電視上有關美容保養的節目強力放送,使得美容DIY保養已蔚為風潮,公司從一開始接受傳真訂單銷售,到自行擴建了網路平台,短短幾年間就搖身一變成為以電子商務為主的網路購物公司,小陳也從單打獨鬥,晉升成為一個MIS小組長。

在公司機房主機的硬碟裡面,存放著這幾年來所有的客戶與交易資料,小陳每天都小心翼翼地注意機房的溫溼度、空調與電力系統,來維持這小型資料中心的正常運作,為了避免閒雜人等或是竊賊進入機房,小陳也建議公司設置了安全鎖,並且要求進出的相關人員必須填寫進出登記簿。

不過,總務人員說,為了一些資產設備維護的方便,也必須擁有一把鑰匙,所以小陳將另一把機房鑰匙交給總務人員保管,總務人員在鑰匙上貼了「機房」二字的標籤之後,就把它和一般的鑰匙都放置在桌上的文件盒裡,有委外維護的廠商需要進入機房時,只要向總務打聲招呼就能拿到鑰匙,總務並沒有仔細核對其身份,更沒有填寫進出登記簿,因為他認為只有公司的員工才需要去填寫。

管理問題重於技術問題

從上述的情況來看,小陳所有的努力,到了最後很可能會功虧一簣,因為經過總務座位的任何一個人,都有機會輕易地取得這把鑰匙,更何況上面還清楚地標示著「機房」二字,一旦有人成功竊取了機房鑰匙,或是以其他藉口獲得總務人員的信任,偽裝成維護人員進入機房,企業的重要設備或是儲存的資料,就會成為待宰的羔羊。

對於中小企業而言,若需要自行建置維護一個機房或是小型的資料中心,都會面臨到兩個問題,首先是預算與環境,因為要建置一個麻雀雖小、五臟俱全的機房,就必須要考慮機櫃、電力、空調、佈線、消防等硬體設施,不過這些都可以透過工程技術來加以克服。至於另一個也是最重要的問題就是機房管理,即使大多數企業都制訂了機房管理辦法或作業規定,但規定是否能真正落實,有沒有稽核機制來加以檢視,卻仍舊是個很大的問號,尤其是員工對於資安問題的警覺性與回報能力,可不是擁有一紙規定就可以統統達成的。

目前,許多企業對於所謂進出人員的管制,往往只是流於形式而已,這也是發生不當的內部資料存取與設備被竊的主要原因,惡意駭客只要透過「社交工程(Social engineering)」手法,像是冒充委外廠商的服務人員,或是尾隨在企業員工之後混入,甚至是假裝為同一公司員工,但是忘了帶門禁卡而請他人代刷,都可以輕易取得通行權進入企業內部環境,這時候,所有抵抗外來攻擊的網路安全設備已形同虛設,因為駭客早已另闢蹊徑,直接攻進了企業的核心。

資安強度決定於最弱一環

從ISO 27001標準的角度來看,對於「實體與環境安全」已有明確的管理要求,在附錄A9的控制措施中,即強調必須劃分實體安全邊界,並且實施實體進入的控制措施。另外,在本文條款的「4.3.3記錄管制」章節中,也要求對於資訊安全管理的各項記錄,必須加以妥善保存,像是人員進出機房管制區域的日期、時間,以及是否有人授權與陪同等,都需要有完整的文件記錄才行。

因此,企業該如何加強實體安全呢?除了參考ISO 27001的規範之外,讓我們回到一開始的小故事,文中提到的幾個情境,都可以轉化成為資安觀念,作為加強實體安全時的參考:
  1. 未核對委外服務廠商的身份 - 顯示出人員管制有疏失,企業對於委外服務的廠商,必須要確認其維護人員是否有事先申請,並且取得了管理階層的授權,在核對身份無誤之後才能進行相關作業,並且最好要有專人陪同。

  2. 機房鑰匙未妥善保管 - 顯示員工的資安教育訓練應加強,在企業的存取控制政策中,更應明訂鑰匙和通行碼保管人須善盡使用保管責任。

  3. 出入人員未填寫登記簿 - 顯示缺乏標準的作業程序(SOP),就算來訪人員經過身份確認之後,也必須配戴清楚的身份識別標示,並且詳實記錄進出機房的日期與作業時間。
在電影「300壯士:斯巴達的逆襲」中,斯巴達國王提到了他的戰士為何能夠以寡擊眾,原因就在於每位戰士的防禦戰鬥都是交互掩護的,每個人都必須接受嚴格的訓練來習得防禦的能力,其中若有一個人無法發揮抵禦的作用,那就產生了一個缺口,整個防禦陣線也會因此分崩離析。反觀資訊安全的防護也是同樣的道理,資安的軟體、硬體、人員、管理、教育等層層相扣,每一個環節共同串起了資訊安全這條防禦鍊,而資安的強度就決定於其中最弱的一環,當某個環節出現裂痕,經不起外力的拉扯而斷裂時,無論其他環節多麼的強韌堅固,也發揮不了防禦作用,所以,千萬不要因為輕忽實體安全,而造成企業資安防線的潰敗了。(本文於2007年5月刊載於CNET網站)

2009年11月6日 星期五

[觀點] 網站應用服務安全防護之道

「我們的網站從來沒有發生問題,程式也運作得很好,有問題你先來攻攻看!」這是最近我從一位壽險業者口中聽到的話,除了感佩他的勇氣之外,也為這家業者和使用者捏了一把冷汗,原因是近來和網站有關的入侵攻擊手法,除了常見的使用者端網路釣魚與鍵盤側錄木馬程式之外,已經逐漸轉移到針對特定網站應用服務的攻擊。

由於以往傳統的蠕蟲、阻斷服務等針對網站伺服器的攻擊手法,在企業佈署了防火牆和IDS/IPS入侵偵測防禦等設備之後,都可以有效的阻擋,讓許多企業因此而卸下了心防。不過,若是採用像SQL Injection、Cross-site Scripting等利用正常連線方式,但卻夾帶著惡意指令與參數的攻擊,一旦網站存在著應用程式的漏洞,其重要的機密資訊像是使用者帳戶資料,就會在不知不覺中一點一滴地被竊取帶走。

防還是不防?這是一個重要問題!

讓我們先來看看,如果針對網站應用服務的惡意攻擊成功了,對於企業所造成的衝擊與影響有哪些:
  1. 使用者身份帳號與密碼遭竊取
  2. 打擊商譽及使用者信心
  3. 擾亂金融秩序
  4. 交易服務崩潰停擺
  5. 網站頁面損壞與資料遭篡改
  6. 損害賠償與回復清除之成本
  7. 非授權者存取到未公開或機密的資料
以上所提到的每一項,對於提供應用服務的企業都是難以承受的,因此在防與不防之間,企業必須根據所提供的關鍵應用服務來加以判斷。目前,提供網站應用服務的企業,主要以金融、購物等電子商務網站居多,但是也有包括製造業供應鍊上下游廠商等的應用系統,這些主管網路安全的人員,經常會犯下的錯誤有二個,一是太依賴防火牆和入侵偵測防禦系統的功能,二是完全忽略了不安全程式碼的問題。

對於一般防火牆來說,通常只有針對連接埠和通訊協定所維護的來源至目的地清單進行安全防護,而應用程式的攻擊,則是運用合法的網路通訊協定與連接埠作為掩護,防火牆會將之視為正常連線而不加以阻擋,因此,防火牆可以有效阻絕網路層的資源存取,但是對於應用層的存取防護卻無能為力。

至於入侵偵測防禦系統是著重在網路與系統的安全,主要針對網路層或是特定應用程式的弱點,以特徵比對的方式來進行過濾和警告,但是面對夾帶組合參數的網路連線行為或是以SSL加密過的封包,是無法加以察覺的。換句話說,入侵偵測防禦系統與防火牆只能提供有限的網路應用服務保護能力,必須還要針對應用程式的Web payload作深入的檢測,才能有效防範這一類的攻擊。

加強程式開發人員資安觀念

除了安全設備之外,另一項重要問題就是企業忽略了應用程式中所存在的不安全程式碼,導致面臨受到攻擊的風險。從ISO 27001標準中我們得知,所謂的風險是因為弱點遇上了威脅才會產生,拿生活中的例子來看,像颱風對生活在台灣的民眾而言,就是一個存在且難以避免的威脅,而為了避免風災所帶來的危害,我們可以從建築物的結構與防水防洪設施去加強,來減少弱點碰上威脅的機會,同時也降低了颱風所造成的傷害。

反觀網站提供應用服務的風險,則是來自於隨手可得的駭客工具與攻擊手法(威脅),加上程式撰寫者的疏忽(弱點)所造成,所以對企業的資安人員而言,想要降低風險就必須從威脅與弱點來著手。只是,多數程式開發人員的第一要務,就是完成系統開發要求中的功能項目,而所謂的資訊安全問題,通常都會在完成系統功能驗收之後,隨著船過水無痕而消失無蹤,因此加強程式開發人員的資安教育,導入安全的程式開發流程,是資安工作中的重要一環。

未雨綢繆則有備無患

所謂「勿恃敵之不來,恃吾有以待之;勿恃敵之不攻,恃吾有所不可攻也」,具有危機意識,是資訊安全時代企業生存的必要條件,面對不斷翻新的應用服務攻擊,個人建議可從「預防」、「監控」、「稽核」等三方面來著手。

首先,在進行應用程式開發時,必須導入一個安全的開發流程(Security Development Lifecycle;SDLC),從需求、設計、測試計畫、程式碼、測試結果到回饋機制的每一階段,都必須以安全性的要求來一一加以檢視,而利用應用程式弱點掃瞄工具,能夠在開發階段即提供安全程式撰寫上的建議,預防可能產生的程式語法漏洞。

接下來,在應用程式正式上線提供網路服務之後,仍必須定期進行弱點掃瞄,並且在閘道端佈署一道網路應用層防火牆(Web Application Firewall),針對所有的網路連線流量一一予以檢查監控,應用層防火牆的好處是可以在網路伺服器之前,協助阻檔各項針對應用服務的攻擊,並且能持續監控連線行為,找出防範應用服務攻擊與漏洞修補的對策。

最後,在了解針對應用服務的攻擊風險之後,還必須分析記錄檔並進行資安稽核,確保漏洞都已經被修補,再藉由不斷地調整企業的資訊安全政策,來降低可能遭受攻擊的風險,以因應可能來自世界各地的網路應用服務攻擊。(本文於2007年4月刊載於CNET網站)

2009年11月5日 星期四

[觀點] 成為資安人才的學習之路

隨著金融海嘯的風暴席捲而來,企業也不斷傳出縮減人事的消息,在這個不景氣的年代,學習永遠是最好的投資,如何讓自己成為不可取代的人才,就需要去重新檢視自己的技能,而增強資安方面的知識,將是一條長久可行的道路。

隨著資安事件不斷地發生,以及政府相關單位的重視與要求,資訊安全已成為近年來很熱門的話題,但是,企業普遍都有優秀的網管人員,卻缺乏可用的專責資安人員。根據MIC在2007年針對台灣大型企業資安現況的報告指出,有七成大型企業的資安人力配置低於2人,其中5.6%根本沒有設置任何資安人力,而僅配置1人的大型企業也佔有30.4%,可看出多數大型企業的資安人力配置明顯不足。

目前,許多企業的資安工作,仍是交由資訊部門來主導負責,因此對資訊人員來說,除了確保網路連線順暢的既有任務之外,防制可能的網路攻擊也成為必要的責任,但是該如何去防治千變萬化的網路攻擊手法,若缺少適當的學習方式與管道,資安工作就會變成是個沈重的負擔,尤其是資安涵蓋的層面太廣,如果沒有適當的認知與學習方法,恐怕也會迷失在茫茫的資安大海之中。

資安人員的角色職責

根據個人的觀察,目前企業普遍欠缺的仍以資安技術人員為主,因為需要他們來協助建置維護相關的網路安全設備,例如防火牆、入侵偵測系統和防毒系統等。不過,也有企業是為了導入完整的資訊安全管理系統,因此更需要了解如ISO 27001等國際標準的資安人才,來協助導入符合資安標準要求的各項政策與作業規範。

所以,如果想要讓自己能夠在企業中有所發揮,變身成為資安人才,是讓自己不被取代的好方法。不過,我們需要先了解目前資安人員的角色與職責,依據本身已具有的專業技能,並評估企業目前的實際需求,再來決定要朝哪個角色職務來邁進。基本上,資安人員的角色可分為以下幾種:
  1. 資安技術人員 - 主要職責在於確保網路通訊安全、進行資安弱點評估、協助IT日常營運與與資安事件處理、系統與應用程式安全、負責資安產品開發、資安設備的建置與維護等,例如資安工程師、資安分析師、資安架構師等。

  2. 資安管理人員 - 主要職責在於制定資安政策、進行資安風險管理、資安事件應變管理、評估企業的營運持續與資安法規遵循,在企業中這屬於較高階層的管理職務,例如像是資訊長、資安官、資安小組召集人等。

  3. 資安稽核人員 - 主要職責為協助企業進行資安標準與法規遵循的稽核工作,例如資安稽核人員或電腦稽核人員。

  4. 資安鑑識人員 - 主要職責為進行資安事件現場鑑識調查、數位證據之蒐集檢驗與分析報告,以及擔任法院訟訴時的專家證人。在台灣主要仍以檢警調相關單位為主,像是調查局鑑識人員、刑事警察局鑑識人員和犯罪現場鑑識人員。

  5. 資安顧問人員 - 主要職責範圍為給予企業資安標準或產品導入建議、協助進行資安風險分析評估、資安治理諮詢建議,以及執行資安教育訓練等,常見的職稱有資安顧問、風險管理顧問和ISMS顧問。
資安人員必備的基礎知識

若想了解成為一位專業的資安人員,到底該具備哪些基礎知識,建議可參考2007年10月由美國國土安全部所發布的:Information Technology Security Essential Body of Knowledge (IT Security EBK),以下是其14項知識領域項目,可作為您在決定資安學習方向的參考:
  • Data Security (資料安全)
  • Digital Forensics (數位鑑識)
  • Enterprise Continuity (企業營運持續)
  • Incident Management (事件管理)
  • IT Security Training and Awareness (IT安全教育訓練)
  • IT Systems Operations and Maintenance (IT系統營運與維護)
  • Network Security and Telecommunications (網路與通訊安全)
  • Personnel Security (人員安全)
  • Physical and Environment Security (實體與環境安全)
  • Procurement (設備採購)
  • Regulatory and Standards Compliance (法規與標準遵循)
  • Risk Management (風險管理)
  • Strategic Management (策略管理)
  • System and Application Security (系統與應用程式安全)
如果您對以上的知識領域有興趣,想要更進一步地去學習,但卻又不知該如何著手,建議可以從準備考取資安證照的方式來著手,因為證照所要求的專業知識,和IT Security EBK的領域有許多雷同的地方,若是還能藉由參與相關資安證照的訓練課程,那麼更是增強自己資安實力的最快方法。

資安證照的專業知識領域

目前國際間最知名的資安證照,非CISSP莫屬,CISSP是由國際非營利組織(ISC)2所提供的資訊安全專家資格證照,它設定的對象為負責制定資訊安全政策、推行資安管理標準的資訊安全專家,並且更獲得了美國國家標準學會有關資訊安全的ISO/IEC 17024證書標準,換句話說,此一證書可作為全球專業人員資格認證標準,確保已擁有資安各範疇之專業能力,CISSP的知識領域如表一所示。

表一:CISSP證照十大知識領域

1.存取控制

6.法規遵循與調查

2.應用程式安全

7.作業安全

3.業務持續與災害復原計劃

8.實體(環境)安全

4.密碼學

9.安全架構與設計

5.資訊安全與風險管理

10.通訊與網路安全


另一張很適合資訊人員來取得的資安證照是CEH(Certified Ethical Hacker ),它是由國際電子商務顧問局(International Council of E-Commerce Consultants;EC-Council)所推出,此一課程介紹駭客常用的工具與方法,以實際了解駭客行為,進而懂得如何保護網路與系統免受攻擊,並可學習如何去制定攻防策略,以防堵不法駭客的入侵。EC-Council的課程及證照已經獲得許多知名公司或政府單位的認同,包括Canon、HP、Sony、US Military、FBI、CIA、US Army等,其涵蓋的知識領域如表二所示。

表二:CEH證照之知識領域

1.倫理與法律

12.網站應用程式的弱點

2.足跡

13.密碼破解技術

3.網路掃瞄技術

14.資料隱碼的入侵模式

4.列舉

15.入侵無線網路系統

5.電腦系統入侵

16.病毒與病蟲

6.木馬程式與後門程式

17.實體安全

7.封包監聽

18.入侵Linux系統

8.阻斷服務

19.入侵偵測系統、防火牆與網路誘陷系統

9.社交工程

20.緩衝區溢位

10.連線劫持

21.密碼學

11.網站入侵

22.滲透測試方法


第三張個人推薦的資安證照是CompTIA Security+,它適合想要全面性的了解資安各個領域,以及剛接觸資安不久的相關人員,它是由成立於1980年,總部設於美國華盛頓的美國電腦協會(Computing Technology Industry Association;CompTIA)所推出,此協會致力於協助全球資訊產業發展、政府資訊產業政策制定與資訊技術的認證,會員遍佈102個國家,是全球性的電腦技術協會組織,也是全球最大的獨立認證機構,此一證照涵蓋的知識領域如表三所示。

表三:CompTIA Security+證照知識領域

1.安全概要

7.密碼學基本原理

2.攻擊、惡意軟體與威脅

8.密碼學的應用

3.網路基礎建設安全-基本安全概念

9.認證、授權與存取控制

4.網路基礎建設安全- IDS/IPS、事件處理

10.安全政策與管理

5.弱點與稽核

11.作業安全、營運持續與
災難復原計畫

6.通訊安全與對策

12.其他安全相關課題


變身成為多重能力的人才

知名的趨勢大師大前研一說過,大多數的專業人才,都屬於擁有單一技能的「T型人」,例如像是網管人員,若持續在單一領域裡不斷鑽研,最終會成為網路管理的專家,但是可別忘了T型人只有一隻腳,除非真正進入一家仰賴單一專業技術的企業,否則在這個專業外包且成本更低的年代,只懂得單一技能的人員,就會產生被取代的潛在風險。

因此,僅有單一技能是不夠的,我們應該想辦法讓自己成為一個「兀型人」,也就是讓自己具備兩種以上的專長,有了兩隻腳之後就能夠站得更穩、看得更遠,甚至還能跑的更快,藉由不斷學習新知識領域的過程,使自己具備各項整合的專業能力,才能打敗不景氣,同時能往更高一層的職務邁進。(本文刊載於2008年12月號網管人雜誌)

[新聞] 小心瀏覽器cookie所隱藏的安全問題

有位Web security的專家Mike在他最近撰寫的論文中提到,因為相同網域直接信任的問題,很多企業都忽略了在同一個網域中,若是子網域(subdomain)被惡意人士攻陷了,很可能會利用其所竊取到的cookie,進而獲得主網域(parent domains)的信任,讓更個網站淪陷。

在作者的論文中,以概念驗證方式(proof-of-concept)說明這種方式可能對一些特定網站造成影響,像是google和銀行網站等。若未受安全防護的cookie受到竊取竄改,最明顯的傷害就是讓惡意人士可以取得連線資訊如帳號、密碼等,也可以更改session甚至是購物車的內容,建議電子商務網站的管理人員務必要小心才行。

[新聞連結] Browser cookie handling could widen web attack space

[論文連結] Exploiting DNS­based Trust Relationships On The Web

2009年11月4日 星期三

[觀點] 從記錄收集分析談IT Log管理

在現今的資訊系統和網路環境裡,Log幾乎無所不在,無論是在作業系統、應用系統和資料庫中,還是網路設備如router、switch,或是常見的資安設備像是入侵偵測系統、防火牆、防毒系統等,每天都會產生大量的Log資料,留下了系統與設備運作的各項記錄。

根據SANS機構針對全球2000大公司的調查顯示,驅使企業收集Log的前三項原因,第一是為了要偵測和分析與資安或效能有關的事件;其次則是想藉由IT控制和產生報表來預防系統的濫用,並提供法律上的鑑證;第三則是為了遵循像是沙賓法案、PCI資料安全標準、GLBA和HIPPA等法規的要求。

除了以上原因之外,像是協助評估和IT相關的事件,以減少可能的停機時間;或是需要去收集、分析、警示和歸檔與網路相關的資料,這些也是企業收集Log的原因。

Log收集保存的重要性

到底什麼是Log?其實Log就是資訊系統或設備在連線和運作時所產生的記錄。俗話說:「凡走過必留下痕跡」,藉由Log的收集和分析過程,可以讓IT人員能夠監控系統的運作狀態,並且判斷可能發生的事件,以及分析資料存取行為和使用者的作業活動。

換句話說,藉由Log的詳實記錄,可以幫助我們了解在企業的IT環境裡,究竟發生了什麼事,例如網路是否遭到惡意的嘗試入侵?系統和網路運作是否有異常情況發生?通常IT人員只要針對Log進行主動監控,就可以判斷可能的問題,或是在狀況未明時,透過Log的查詢分析,也能夠在很短的時間內找出原因。

從法規的觀點來看,Log管理更應視為IT營運策略中的一環,企業為了要遵守法規對營運和財務資訊的各項要求,Log的保存即顯得非常重要,尤其是它提供了稽核軌跡,讓稽核人員能透過對於Log的查驗,來確認企業的內部控制是否符合法規要求。如果萬一不幸發生了舞弊事件,Log也可以成為事件追蹤的管道,除了能釐清事件的發生過程,甚至可成為法庭上的證據,所以對於需遵循法規的企業,Log管理已經是必須要去落實的工作。

大量Log所產生的問題

隨著企業的規模和資訊系統與設備的增長,首先會面臨的問題就是眾多不同的設備和應用系統,產生了不同格式的Log,到底該如何去收集?而每天不斷產生的Log資料,一旦資料量超出人力可以判讀的範圍,又缺少適當的管理工具,對IT人員來說,反而會變成一種負擔。

過去,對於Log的管理方式,大多限制在單一的設備上,以防火牆為例,IT人員只能在單一介面上進行Log的查詢。不過,隨著混合式攻擊手法的普遍,只從單一的設備上,很難解讀出對於攻擊手法有效的判斷資訊,所以必須要透過不同的設備之間,利用時間或IP位址作關聯性的比對,才有辦法找出其中隱含的真相。

但是,如果要做到不同設備之間的Log分析,勢必就要針對Log進行集中式儲存與正規化處理,可是不同廠牌的資訊設備,產生的Log都分散在各地,即使能夠集中收集,隨著大量且不斷湧入的資料,到底該如何進行分類?資料要如何保存?如何查詢利用?這些都形成了管理上必須要面對的問題。

傳統Log管理的作法

基本上,針對Log的收集有二種作法,一種是讓設備自己將資料傳送到Log Server中,另一種則是讓Log Server定期自動地到各個設備去收集資料。不過,在某些應用系統上有時會很難運作,幸運的話,可能只需要安裝代理程式(Agent),就可以協助收集到所需要的資料,但若不幸的話,一些委外開發的應用系統,甚至連產生Log的作法都沒有。

目前,Syslog是普遍被應用的Log server架構,但也有一些作業系統並沒有支援它,需要透過額外的工具來進行資料轉換才行。此外,Syslog的缺點是當網路傳輸流量大的時候,部份資料可能會因此而遺失,再加上預設的Syslog流量本身是沒有加密的,並且使用UDP通訊協定來進行溝通,在過程中很容易被假冒的訊息來攻擊。而除了Syslog,SNMP trap也是用來傳遞資料給Log Server的一種常見的方法,但SNMP一樣在傳輸過程中沒有加密,所以也容易遭到偽冒攻擊。

Log管理方面的建議

SANS機構的調查報告指出,在Log資料方面,最讓IT人員感到頭痛的地方,依序是收集資料、搜尋資料和產出報表。因此,在Log管理方面,有以下幾點建議,可做為IT人員的參考:
  • 擬定適當的管理政策 - 在文件化的政策之中,首先應說明到底有哪些人需要存取Log資訊?通常可能會包括IT、稽核或法務人員;接著,必須決定哪些是重要的系統和設備,要如何去收集不同格式的Log資料;然後,還要定義哪些事件是需要優先監控和分析的,以Windows作業系統為例,需要留意的Log記錄可能會有:帳號登入失敗、帳號鎖定、建立了新帳號、使用者帳號狀態變更、修改安全群組、修改安全記錄、政策變更等。
  • 選擇適合的收集方式 - 請先進行企業的網路環境分析,再決定收集資料的方法,若要採取集中化方式進行,就需要特定的Log server來處理,但是要注意當大量Log資料傳輸時,可能會造成的網路壅塞情況。另外,Log server本身也需要進行系統安全強化,以避免受到攻擊而失效。
  • 應用適當的分析工具 - 大量的Log資料需要被分類、組織和搜尋,但是設備所內建的工具方面有時不是那麼容易使用,因此應選擇適當的整合式Log管理工具,並且測試確認是否能快速查詢分析,並產出符合法規或清晰易懂的報表,以滿足經營階層的需求。
  • 選擇適當的儲存方式 - 許多法規都要求Log必須保存一定的年限,以PCI資料安全標準為例,它要求企業需針對Log資料進行審查,並至少保存一年以上,因此Log資料的儲存與查詢,會是能否符合稽核時的重點。在國外的訴訟方面,Log有可能也會成為法庭上的證據,因此必須要確保資料的完整性,在歸檔與查詢時應避免修改原始資料,另外也可考慮加密儲存,以避免資料遭到竄改,並將儲存Log的媒體,放置在安全的地點。
  • 時間同步是重要關鍵 - 在Log管理之中,還有一個非常重要的地方,那就是必須確保各系統與設備時間的一致性,如果因為記錄的時間不同,在進行分析時,各個設備的Log資料即無法串連,甚至可能會誤導在問題處理時的方向,因此最好在企業內部架設一部Time server,以便所有設備可以進行時間同步。
最後,在本文所談到的Log管理和所謂的資安事件管理(SIEM),兩者之間還是有些不同,Log管理可說是資安事件管理的基礎,主要著重在Log的收集、分析、儲存與查詢,以解決IT運作問題與法規稽核的要求。至於SIEM則著重在從Log之中,進行即時的關聯性分析,以識別出可能的資安威脅攻擊,同時還可發出警示,並進入後續的資安事件處理流程,這也是目前所謂資安營運中心(SOC)的主要運作模式。(本文刊載於2008年11月號網管人雜誌)

2009年11月3日 星期二

[新聞] 勒索軟體的新花招

勒索軟體(Ransomware)雖然在台灣並不流行,但是在國外卻是令人頭痛的資安問題之一,以往的勒索軟體,常見的手法是透過惡意程式感染電腦之後,自動尋找系統中重要的資料夾,然後設定密碼將它鎖住,並且秀出一段訊息要受害者到特定網站,在付出贖金之後,才能得到解開的密碼。

最近,賽門鐵克公司發現有一隻名為「Trojan.Ramvicrype」的木馬,它會使用RC4的演算法將受害者最近打開過的檔案加密,轉成一個副檔名為「.vicrypt」的檔案。而且不同於以往的勒索軟體,這隻木馬它不會直接要求你付錢來取得解密的鑰匙,而是當受害者發現檔案打不開了,自己上搜尋引擎用副檔名這個關鍵字去找解答或幫手時,就會出現這樣一項幫忙解救的服務連結,當然,既然提供了救援服務,這時侯就可以名正言順跟你收錢囉。

[新聞連結] Tales from the Crypt