2009年11月25日 星期三

[專題] 談企業面臨的十大網路存取問題

在國際共同遵循的資訊安全管理系統標準ISO 27001中提到,「資訊是企業的重要資產,因此無論資訊以何種型式存在,都必須要加以適當的保護。」當網路成為企業營運重要核心的今天,維護網路運作與資訊存取的安全,已是企業IT部門的重要任務,也是無法卸下的職責。

根據資策會MIC的調查指出,在2007年企業所發生的資安事件類型,以「電腦病毒感染」的比例最高,佔了五成左右,也因為病毒感染容易持續發生,加上電子郵件與即時通訊普遍使用的推波助瀾,使得病毒的擴散速度與感染規模更快更廣,讓企業不得不去重視資訊內容的安全。

過去,企業多半著重在防禦外部的攻擊,而忽略了來自於內部的攻擊,將造成更大的破壞與影響,無論是內部登入的使用者,或是遠端採用VPN連結內部網路的裝置,若系統本身帶有惡意程式像是病毒、蠕蟲、木馬等,很容易就會對整個網路系統造成危害。

另外,目前無線網路幾乎已成為筆記型電腦的標準配備,加上無線網路基地台(AP)的產品愈來愈輕薄小巧,架設容易且隨插即用,使無線網路的不當使用比率也持續攀升,所以該如何防堵非法的網路存取,防止商業機密的外洩,已成為了資訊管理人員另一個頭痛問題。

從資料外洩看網路存取問題

回顧近年來國內外發生的重大資料外洩事件,可以讓我們了解資訊存取控管的重要性,最著名的例子是從2005年7月開始,美國零售業者TJX公司,因為內部的無線網路遭到入侵,至少有長達一年半的時間,歹徒可自由地進出TJX的資料庫,任意竊取客戶的個人資料,造成至少4500萬筆以上的客戶信用卡資料外洩,連帶使得銀行信用卡部門也蒙受巨大的損失。

在日本,根據JNSA的調查資料顯示,2006年日本共有2223萬筆個人資料外洩,其中外洩件數以金融保險業最多,洩漏人數最多的則為製造業、資訊通信業和服務業,其資料外洩的原因除了人為遺失之外,其次是遭竊以及透過P2P檔案交換軟體而洩漏。同年,國內某半導體廠商,也曾因資料存取控管疏失,遭到合作夥伴竊取IC設計資料。

賽門鐵克的「全球網路安全威脅研究報告」則指出,資料外洩導致個人資料遭竊取的原因,其中「不安全的政策」佔了34%,從這些過去發生的事件,我們可以發現,資料外洩多半與非法裝置入侵和不安全的政策有關,尤其是隨著企業組織的成長,面對成千上百個可能連結內部網路的裝置,究竟我們該如何去監控與管理?

依據個人的觀察分析,目前企業組織普遍面臨的網路存取問題,有以下十點:
  1. 使用者身份不明 - 難以識別到底是誰(Who)、使用什麼樣的裝置(What)、從何處連上內部網路(Where)。
  2. 連線設備的安全性 - 難以確保連上內部網路的裝置,不帶有惡意攻擊程式,如病毒、蠕蟲、木馬等。
  3. 缺少嚴謹的授權程序 - 難以規範使用者依照其身份執行應用程式,並且僅能存取符合其權限的資料。
  4. 合法使用者的攻擊 - 難以防範已通過身份驗證的使用者,不會成為駭客的跳板,伺機攻擊企業內部網路。
  5. 病毒爆發 - 一旦病毒疫情爆發時,缺少有效的控制措施,預先加以防範並隔離。
  6. 資料外洩 - 無法完全封鎖可能的資料外洩管道,尤其是針對無線網路設備和USB裝置的使用,缺少有效的管理。
  7. 網路環境複雜 - 隨著時間愈久,在疊床架屋的情況下,導致網路架構太過複雜,而且相關網路設備過於老舊,無法支援新的管理模式。
  8. 資安政策不明 - 企業普遍有IT人力不足的現象,缺少專業資安人才的協助,不知如何去制定一個適用的資訊安全政策。
  9. 預算有限 - 在每年有限的IT預算之下,難以規劃並導入適當的網路存取控制方案。
  10. 控管困難 - 隨著分點、使用者人數與裝置作業系統種類繁多,難以有效進行部署控管。
網路存取控制的管理原則

以上所談到的十大問題,其實業界提供了可用的解決方法,可以藉由導入適合的網路存取控制方案(Network Access Control;NAC),來解決以往面臨的種種難題。

根據國外NWC Analytics的調查指出,驅使企業想要部署網路存取控制方案的前三大原因為:
  1. 為了符合網路安全法規的要求。
  2. 需針對特定網路資源強制執行存取控制措施。
  3. 針對合作夥伴、合約商等難以管理的使用者,加以適當的存取控制。
基本上,網路存取控制的原則就是要確保「只有合法且安全的裝置才能連上內部網路」,因此在制定管理政策方面,有以下幾個重點必須要把握:
  • 連線前,先要證明你是誰 - 使用者和其所使用的裝置,在能夠存取企業網路和相關資源之前,必須要通過身份的驗證,並且確保使用者作業系統的安全性,例如是否安裝了防火牆及防毒軟體、是否更新了系統修補程式(Patch)。
  • 連線中,賦予適當的權限 - 在通過身份驗證之後,依據預先設定的角色(Role)或群組,給予適當的存取權限,限制使用者只能存取符合其角色所需要的資源。
  • 連線後,監控、記錄與稽核 - 管理人員能夠持續監控使用者是否有不當的攻擊行為,在發現攻擊行為時能即時加以阻斷,並且定期稽核歷史記錄,並提供事件回應報告。
網路存取控制的導入建議

一個良好的網路存取控制方案,必須具備三個特質,分別是「簡單、完整、彈性」,它必須能夠將所有不符合安全管理政策的裝置加以隔離,並且拒絕或限制其連結內部網路,直到使用者的裝置更新之後,重新檢測其符合了安全政策的要求,才會允許它連結並使用內部網路。

此外,網路存取控制還必須能夠整合現有的網路環境,減少必須的網路架構變更,以避免不必要的風險與成本,並且能夠在事件發生時,盡快地通報管理人員。換句話說,它對於管理人員最大的幫助,就是能夠簡單掌握用戶端裝置使用網路的現況。

因此,企業在選擇導入網路存取控制方案時,首先需要思考的重點有:
  • 網路存取控制的Agent要如何佈署?是否支援不同作業平台?所支援的防毒軟體與防火牆有哪些?
  • 與企業原有網路架構的相容性?是否支援802.1x?是否支援Windows AD和Radius身份認證?是否需要重新分割VLAN?與IDS/IPS的整合度?能否控管使用者的應用程式(Layer 7)?
  • 隔離之後的處置方式為何?如何引導使用者更新系統?如何重新進行驗證?
現今的網路存取控制方案,可以應用在針對使用者端點安全的要求、訪客裝置的安全管理、VPN使用者連線管理,以及無線網路使用管理等範疇,而且有能力和企業既有的管理政策相結合,以符合未來的成長與法規的要求。所以導入之後所產生的效益,在於能夠保護資訊資產、降低可能的風險、符合法規與稽核要求、改善與維護網路的可用性,以及降低人為的操作疏失。

法規對網路存取控制的要求

近年來,資訊安全已成為世界先進國家重視的焦點,國內政府也大力推動重要的部會單位,需要依據ISO 27001的實施步驟,建立符合標準要求的資訊安全管理系統(ISMS)。

事實上,網路存取控制方案,可協助企業達成ISO 27001中,「A.10通訊與作業管理」和「A.11存取控制」二大控制目標,只要妥善部署了解決方案與安全作業規範,即可達到ISMS驗証與稽核的要求。

另外,如何去評估因網路存取控制不當,造成機密資訊外洩之後,對於企業可能產生的風險與衝擊,也是不可忽視的重要工作,企業應該針對重要關鍵的營運流程,進行營運衝擊分析(Business Impact Assessment),來評估是否可承受資安事件發生後所造成的營運損失。這一部份可參考最新的營運持續管理標準BS 25999,將資安事件拉高到經營層面來看,對於IT人員在尋求高層人員的支持,以及爭取相關預算,會有實質上的幫助。

總結 - 化被動為主動

在孫子兵法中提到,「困敵之勢,不以戰,損剛益柔。」意思是指堅守住自己的陣地,來讓敵人陷入困境之中,使得原本被動的防守變為主動,網路存取控制的精神,倒是相當符合兵法所隱藏的含意。

面對今日來自四面八方的混合式攻擊與威脅,IT管理人員也必須不斷提升自己,從政策面著手規劃,再搭配適當的技術來加以控管,將非法的或是發動惡意攻擊行為的裝置,即時加以隔離,堅守好內部網路的防護堡壘,以避免可能的資安事件發生。(本文刊載於2008年iThome資安專刊)

沒有留言: