曾經和一位對病毒很有研究的專家朋友聊天,提到現在許多變種的木馬和加殼病毒真是厲害,往往令人防不勝防,因此對於防毒公司來說,並不會花太多工夫在加強病毒的偵測技術上,大多只能專注在處理當下廣泛散佈的病毒,並且盡快地更新特徵在病毒碼中,提供給使用者下載更新。
如果你是個經常中樂透的幸運兒,又剛好碰上了只有幾個人才有緣相見的木馬,若想要尋求防毒公司提供解藥,個人猜想他們應該是不太會搭理你的問題。
從事資安這一行,經常被問到的一件事就是:哪一套防毒軟體最有效?到底是紅牌、黃牌,還是綠牌好?回答這一類問題,對於非常認真的朋友,我會提供一些國外的測試報告給他,請他參考數據分析的結果;如果只是隨口問問的人,我的答案通常會是,只要挑市面上有聽過的大廠牌就可以囉。
至於那些對防毒軟體效果本就心存疑慮的人,我會試著提醒他們說,基本上防毒軟體並不能完全解決未知的病毒,預多只能協助你清除掉目前普遍傳染的病毒。換句話說,安裝防毒軟體有點像是雨天撐傘一樣,你不撐鐵定會淋得一身溼,若撐了傘的話,至少重點部位還是有保障的。
專家朋友說:「萬一電腦中了毒真的找不到解藥,那乾脆就不要解了,當作得個小感冒,可以強身;不過,偶爾感冒一下沒關係,千萬要懂得去避免大病纏身,才不會一病不起。」我倒蠻喜歡這個說法,當然,這並不是說中了毒之後就別管它了(小心傳染給親朋好友時會被追殺),而是提醒大家真的不必太過執著,萬一解不了病毒,還可以選擇其他的方法,例如把硬碟格式化後重灌系統,這樣可能會有損失但也可順利重生。
每次講資訊安全的第一堂課時,我總是會提醒來參加的朋友說:「網路世界裡沒有百分之百的安全。」也就是說,資安風險是不太可能完全消除的,所以在我們的生活中,只能盡力尋找各種風險應對之道,回到資安的行話就是,對於風險要事先尋求適當的控制措施,萬一事件還是不幸發生了,那就選擇能夠接受的處理方法,並作為下一次努力改善的目標。
關於危機的應對,我記得有個不錯的例子,那是雲門舞集創辦人林懷民在排練場火災事故發生之後,接受媒體的訪問時談到:「大火時我為何能夠從容面對,因為在那個當下你什麼都做不了,半夜二點大火,我三點多就趕到了,看到現場真的覺得無能為力,所以乾脆就坐下來抽煙,但是我心裡想,在大火的隔天,我們一定要照常開工。」
所以,面對網路上的風險,與其害怕得因噎廢食,倒不如做好該有的防備,然後選擇從容應對。
2009年11月9日 星期一
[觀點] 企業營運持續管理標準:BS 25999
隨著外在環境不斷變化與企業組織的擴張發展,在營運過程之中,來自於天然環境、競爭對手和市場變動所造成的影響,乃不可避免,企業到底該如何未雨綢繆,運用良好的治理與管理制度,來妥善處理這些衝擊改變,已成為企業高層與管理人員必須要學習的課題。
企業面臨危機而營運中斷的因素很多,除了天然災害如地震、颱風、火災等所引起的廣泛衝擊之外,因為設備故障如伺服器當機、硬碟資料損毀,以及蓄意行為如電腦病毒、駭客攻擊等所造成的營運風險也逐漸增加。
從IT層面來看,所謂的災難復原與備援系統的建置,若企業願意承擔起相關成本,技術上並非困難的事,難處在於管理階層究竟該如何進行規劃與組織人員訓練、評估何時該啟動災難復原程序、判斷作業程序是否合理,以及協調支援單位在一定時間內相互配合達成目標,最後形成一個企業營運持續管理(Business Continuity Management;BCM)系統,這些無一不是挑戰。
BS 25999的過去與現在
對於災害的應變與防護,國際上其實已有相關的計劃或標準,例如美國國家防火協會,即制訂了「災害/緊急管理與企業營運持續計劃」,作為發生災害時的緊急應變程序;加拿大也有「營運持續計劃指南」,確保企業的營運能在災害之後持續運作;新加坡「業務持續性與災害復原」標準SS507,更同時包含了IT災難復原和BCM兩項重要領域。
英國標準協會BSI過去也制訂「PAS56營運持續管理指導綱要」,作為企業在面臨營運中斷時,如何去維持關鍵企業營運的參考,目前則積極地推動更新的BS 25999作為營運持續管理系統的標準。
BS 25999標準分為兩個部份,BS 25999-1是作為參考手冊,已於2006年11月發佈,說明了營運持續管理的各項作業要點,包括建立程序、實作過程與指導原則,讓相關人員可以了解其實施方式,而BS 25999-2則是說明營運持續管理的要求,企業必須落實標準中的各項規範,通過稽核之後才能獲得BS 25999的認證,此標準於2007年11月底正式發佈。
BS25999提供了一個營運持續實施策略與框架,讓企業可以在重大事故之前,預先做好防範的準備措施,而在災難來臨時,也可以透過事先的妥善演練,來降低可能造成的營運損失,對於企業高層人員如執行長和董事會成員而言,具有BCM的策略規畫,可視為企業治理的重要任務之一,除了可以提升組織的應變與復原能力,更能滿足股東、上下游合作夥伴與客戶的要求。
BS 7799 VS. BS 25999
關於營運持續管理,在ISO 27001的前身BS 7799已有這個控制項目,說明企業需要識別關鍵的業務流程,進行風險評鑑以了解企業的弱點與潛在的威脅,再依照其重要性來排定復原的先後順序。BS 7799主要是從資訊安全的角度來看營運持續管理,提到企業營運持續計劃除了考量人員、資產與業務之外,其他相關設施只要牽涉到資訊的機密性、完整性與可用性,都要一併列入計劃之中,並且定期進行測試與改善。
BS 25999則是從整個企業經營角度來衡量,提到了更完整的營運持續管理生命週期(BCM Lifecycle),包括了以下幾個階段:
或許有人認為自己在生活之中,不太可能會發生意外,每當身旁有人不斷提醒時,往往會認為是太過於「杞人憂天」,總覺得自己凡事皆能逢凶化吉。其實太過自信與缺少準備,往往使人們在面臨危機時手忙腳亂而造成更大傷害。
所謂「前事不忘,後事之師」,對於企業來說,以往無論是國外的911恐怖攻擊、倫敦地鐵爆炸、卡翠娜風災,國內的921大地震、東科大火、納莉風災、SARS等事件,許多的經驗都值得我們引以為戒,災害固然難以預防,但設備毀損、資料遺失,操作失誤所造成的損害,卻是企業可以事先規劃避免的。
BCM的基本精神就是要去「預料無法預料的事」,要將各種可能狀況的劇本預先準備好,確保意外或災難發生時,企業能夠依照事先擬定的因應方法,讓關鍵的商務活動不會因此中斷而造成龐大損失。但是,BCM的推動,準備條件除了人力、物力與經費之外,最重要的仍在於是否經過完整的測試與演練,能在時間內發揮預期的效用,這些都在在考驗著企業管理階層的遠見與決心。
所以,唯有透過不斷的沙盤推演,使相關人員確實熟悉各項應變作業流程,再經由模擬災難情況來實際演練,以評估計劃可行性,事後也務必進行檢討,針對不足之處予以修正,這樣才能發揮BCM的真正效益。(本文於2007年11月刊載於CNET網站)
企業面臨危機而營運中斷的因素很多,除了天然災害如地震、颱風、火災等所引起的廣泛衝擊之外,因為設備故障如伺服器當機、硬碟資料損毀,以及蓄意行為如電腦病毒、駭客攻擊等所造成的營運風險也逐漸增加。
從IT層面來看,所謂的災難復原與備援系統的建置,若企業願意承擔起相關成本,技術上並非困難的事,難處在於管理階層究竟該如何進行規劃與組織人員訓練、評估何時該啟動災難復原程序、判斷作業程序是否合理,以及協調支援單位在一定時間內相互配合達成目標,最後形成一個企業營運持續管理(Business Continuity Management;BCM)系統,這些無一不是挑戰。
BS 25999的過去與現在
對於災害的應變與防護,國際上其實已有相關的計劃或標準,例如美國國家防火協會,即制訂了「災害/緊急管理與企業營運持續計劃」,作為發生災害時的緊急應變程序;加拿大也有「營運持續計劃指南」,確保企業的營運能在災害之後持續運作;新加坡「業務持續性與災害復原」標準SS507,更同時包含了IT災難復原和BCM兩項重要領域。
英國標準協會BSI過去也制訂「PAS56營運持續管理指導綱要」,作為企業在面臨營運中斷時,如何去維持關鍵企業營運的參考,目前則積極地推動更新的BS 25999作為營運持續管理系統的標準。
BS 25999標準分為兩個部份,BS 25999-1是作為參考手冊,已於2006年11月發佈,說明了營運持續管理的各項作業要點,包括建立程序、實作過程與指導原則,讓相關人員可以了解其實施方式,而BS 25999-2則是說明營運持續管理的要求,企業必須落實標準中的各項規範,通過稽核之後才能獲得BS 25999的認證,此標準於2007年11月底正式發佈。
BS25999提供了一個營運持續實施策略與框架,讓企業可以在重大事故之前,預先做好防範的準備措施,而在災難來臨時,也可以透過事先的妥善演練,來降低可能造成的營運損失,對於企業高層人員如執行長和董事會成員而言,具有BCM的策略規畫,可視為企業治理的重要任務之一,除了可以提升組織的應變與復原能力,更能滿足股東、上下游合作夥伴與客戶的要求。
BS 7799 VS. BS 25999
關於營運持續管理,在ISO 27001的前身BS 7799已有這個控制項目,說明企業需要識別關鍵的業務流程,進行風險評鑑以了解企業的弱點與潛在的威脅,再依照其重要性來排定復原的先後順序。BS 7799主要是從資訊安全的角度來看營運持續管理,提到企業營運持續計劃除了考量人員、資產與業務之外,其他相關設施只要牽涉到資訊的機密性、完整性與可用性,都要一併列入計劃之中,並且定期進行測試與改善。
BS 25999則是從整個企業經營角度來衡量,提到了更完整的營運持續管理生命週期(BCM Lifecycle),包括了以下幾個階段:
- 了解企業的現況 - 由於企業的屬性與類型不同,所處的環境也有很大的差異,為了要評估在發生危機時可能面臨的衝擊,企業必須找出「什麼才是企業賴以維生的關鍵?」這有可能會是ERP、CRM,也可能會是Email或網路連線,因此必須透過「風險評鑑」和「營運衝擊分析」二種方式,來識別出面臨的威脅、弱點與風險值,估算可能造成的損失。另外最重要的,企業還必須要找出可接受的復原目標時間(Recovery Time Objective;RTO),舉例來說,當一個人發生急性中風之後,若在三小時內沒有經過緊急搶救治療,就會造成難以挽回的遺憾,這是人人必須把握的黃金時間,所以如何在可容忍的營運中斷時間內進行應變,是企業要去審慎評估的。
- 制定BCM的策略 - 在了解企業的關鍵營運流程與可能會發生的災難之後,就可以根據企業的營運目標、資源與成本來制訂所要採取的因應策略,並且選擇能夠降低風險的措施。
- 發展與實施BCM回應 - 在此一階段中,企業必須要發展出一套營運持續計劃(BCP),計劃中必須包括人員職責分配、教育訓練辦法、計劃啟動條件、緊急應變程序、備援機制、災難復原程序等。
- 演練、維護與審查 - 完成BCP之後,最重要的就是要進行測試與演練,確保計劃項目能夠一一順暢執行,在演練之後,還要針對有疏失的地方持續加以改進,以確保營運持續計劃能夠有效執行。
- 使BCM成為企業文化 - BCM是一個持續的管理、協調與監督過程,BS 25999標準中強調,必須要讓BCM深入成為企業文化中之一員,才能達到企業永續經營的目標。
或許有人認為自己在生活之中,不太可能會發生意外,每當身旁有人不斷提醒時,往往會認為是太過於「杞人憂天」,總覺得自己凡事皆能逢凶化吉。其實太過自信與缺少準備,往往使人們在面臨危機時手忙腳亂而造成更大傷害。
所謂「前事不忘,後事之師」,對於企業來說,以往無論是國外的911恐怖攻擊、倫敦地鐵爆炸、卡翠娜風災,國內的921大地震、東科大火、納莉風災、SARS等事件,許多的經驗都值得我們引以為戒,災害固然難以預防,但設備毀損、資料遺失,操作失誤所造成的損害,卻是企業可以事先規劃避免的。
BCM的基本精神就是要去「預料無法預料的事」,要將各種可能狀況的劇本預先準備好,確保意外或災難發生時,企業能夠依照事先擬定的因應方法,讓關鍵的商務活動不會因此中斷而造成龐大損失。但是,BCM的推動,準備條件除了人力、物力與經費之外,最重要的仍在於是否經過完整的測試與演練,能在時間內發揮預期的效用,這些都在在考驗著企業管理階層的遠見與決心。
所以,唯有透過不斷的沙盤推演,使相關人員確實熟悉各項應變作業流程,再經由模擬災難情況來實際演練,以評估計劃可行性,事後也務必進行檢討,針對不足之處予以修正,這樣才能發揮BCM的真正效益。(本文於2007年11月刊載於CNET網站)
[觀點] 別再輕忽實體安全管理
小陳是一家美容保養產品公司的MIS人員,隨著電視上有關美容保養的節目強力放送,使得美容DIY保養已蔚為風潮,公司從一開始接受傳真訂單銷售,到自行擴建了網路平台,短短幾年間就搖身一變成為以電子商務為主的網路購物公司,小陳也從單打獨鬥,晉升成為一個MIS小組長。
在公司機房主機的硬碟裡面,存放著這幾年來所有的客戶與交易資料,小陳每天都小心翼翼地注意機房的溫溼度、空調與電力系統,來維持這小型資料中心的正常運作,為了避免閒雜人等或是竊賊進入機房,小陳也建議公司設置了安全鎖,並且要求進出的相關人員必須填寫進出登記簿。
不過,總務人員說,為了一些資產設備維護的方便,也必須擁有一把鑰匙,所以小陳將另一把機房鑰匙交給總務人員保管,總務人員在鑰匙上貼了「機房」二字的標籤之後,就把它和一般的鑰匙都放置在桌上的文件盒裡,有委外維護的廠商需要進入機房時,只要向總務打聲招呼就能拿到鑰匙,總務並沒有仔細核對其身份,更沒有填寫進出登記簿,因為他認為只有公司的員工才需要去填寫。
管理問題重於技術問題
從上述的情況來看,小陳所有的努力,到了最後很可能會功虧一簣,因為經過總務座位的任何一個人,都有機會輕易地取得這把鑰匙,更何況上面還清楚地標示著「機房」二字,一旦有人成功竊取了機房鑰匙,或是以其他藉口獲得總務人員的信任,偽裝成維護人員進入機房,企業的重要設備或是儲存的資料,就會成為待宰的羔羊。
對於中小企業而言,若需要自行建置維護一個機房或是小型的資料中心,都會面臨到兩個問題,首先是預算與環境,因為要建置一個麻雀雖小、五臟俱全的機房,就必須要考慮機櫃、電力、空調、佈線、消防等硬體設施,不過這些都可以透過工程技術來加以克服。至於另一個也是最重要的問題就是機房管理,即使大多數企業都制訂了機房管理辦法或作業規定,但規定是否能真正落實,有沒有稽核機制來加以檢視,卻仍舊是個很大的問號,尤其是員工對於資安問題的警覺性與回報能力,可不是擁有一紙規定就可以統統達成的。
目前,許多企業對於所謂進出人員的管制,往往只是流於形式而已,這也是發生不當的內部資料存取與設備被竊的主要原因,惡意駭客只要透過「社交工程(Social engineering)」手法,像是冒充委外廠商的服務人員,或是尾隨在企業員工之後混入,甚至是假裝為同一公司員工,但是忘了帶門禁卡而請他人代刷,都可以輕易取得通行權進入企業內部環境,這時候,所有抵抗外來攻擊的網路安全設備已形同虛設,因為駭客早已另闢蹊徑,直接攻進了企業的核心。
資安強度決定於最弱一環
從ISO 27001標準的角度來看,對於「實體與環境安全」已有明確的管理要求,在附錄A9的控制措施中,即強調必須劃分實體安全邊界,並且實施實體進入的控制措施。另外,在本文條款的「4.3.3記錄管制」章節中,也要求對於資訊安全管理的各項記錄,必須加以妥善保存,像是人員進出機房管制區域的日期、時間,以及是否有人授權與陪同等,都需要有完整的文件記錄才行。
因此,企業該如何加強實體安全呢?除了參考ISO 27001的規範之外,讓我們回到一開始的小故事,文中提到的幾個情境,都可以轉化成為資安觀念,作為加強實體安全時的參考:
在公司機房主機的硬碟裡面,存放著這幾年來所有的客戶與交易資料,小陳每天都小心翼翼地注意機房的溫溼度、空調與電力系統,來維持這小型資料中心的正常運作,為了避免閒雜人等或是竊賊進入機房,小陳也建議公司設置了安全鎖,並且要求進出的相關人員必須填寫進出登記簿。
不過,總務人員說,為了一些資產設備維護的方便,也必須擁有一把鑰匙,所以小陳將另一把機房鑰匙交給總務人員保管,總務人員在鑰匙上貼了「機房」二字的標籤之後,就把它和一般的鑰匙都放置在桌上的文件盒裡,有委外維護的廠商需要進入機房時,只要向總務打聲招呼就能拿到鑰匙,總務並沒有仔細核對其身份,更沒有填寫進出登記簿,因為他認為只有公司的員工才需要去填寫。
管理問題重於技術問題
從上述的情況來看,小陳所有的努力,到了最後很可能會功虧一簣,因為經過總務座位的任何一個人,都有機會輕易地取得這把鑰匙,更何況上面還清楚地標示著「機房」二字,一旦有人成功竊取了機房鑰匙,或是以其他藉口獲得總務人員的信任,偽裝成維護人員進入機房,企業的重要設備或是儲存的資料,就會成為待宰的羔羊。
對於中小企業而言,若需要自行建置維護一個機房或是小型的資料中心,都會面臨到兩個問題,首先是預算與環境,因為要建置一個麻雀雖小、五臟俱全的機房,就必須要考慮機櫃、電力、空調、佈線、消防等硬體設施,不過這些都可以透過工程技術來加以克服。至於另一個也是最重要的問題就是機房管理,即使大多數企業都制訂了機房管理辦法或作業規定,但規定是否能真正落實,有沒有稽核機制來加以檢視,卻仍舊是個很大的問號,尤其是員工對於資安問題的警覺性與回報能力,可不是擁有一紙規定就可以統統達成的。
目前,許多企業對於所謂進出人員的管制,往往只是流於形式而已,這也是發生不當的內部資料存取與設備被竊的主要原因,惡意駭客只要透過「社交工程(Social engineering)」手法,像是冒充委外廠商的服務人員,或是尾隨在企業員工之後混入,甚至是假裝為同一公司員工,但是忘了帶門禁卡而請他人代刷,都可以輕易取得通行權進入企業內部環境,這時候,所有抵抗外來攻擊的網路安全設備已形同虛設,因為駭客早已另闢蹊徑,直接攻進了企業的核心。
資安強度決定於最弱一環
從ISO 27001標準的角度來看,對於「實體與環境安全」已有明確的管理要求,在附錄A9的控制措施中,即強調必須劃分實體安全邊界,並且實施實體進入的控制措施。另外,在本文條款的「4.3.3記錄管制」章節中,也要求對於資訊安全管理的各項記錄,必須加以妥善保存,像是人員進出機房管制區域的日期、時間,以及是否有人授權與陪同等,都需要有完整的文件記錄才行。
因此,企業該如何加強實體安全呢?除了參考ISO 27001的規範之外,讓我們回到一開始的小故事,文中提到的幾個情境,都可以轉化成為資安觀念,作為加強實體安全時的參考:
- 未核對委外服務廠商的身份 - 顯示出人員管制有疏失,企業對於委外服務的廠商,必須要確認其維護人員是否有事先申請,並且取得了管理階層的授權,在核對身份無誤之後才能進行相關作業,並且最好要有專人陪同。
- 機房鑰匙未妥善保管 - 顯示員工的資安教育訓練應加強,在企業的存取控制政策中,更應明訂鑰匙和通行碼保管人須善盡使用保管責任。
- 出入人員未填寫登記簿 - 顯示缺乏標準的作業程序(SOP),就算來訪人員經過身份確認之後,也必須配戴清楚的身份識別標示,並且詳實記錄進出機房的日期與作業時間。
2009年11月6日 星期五
[觀點] 網站應用服務安全防護之道
「我們的網站從來沒有發生問題,程式也運作得很好,有問題你先來攻攻看!」這是最近我從一位壽險業者口中聽到的話,除了感佩他的勇氣之外,也為這家業者和使用者捏了一把冷汗,原因是近來和網站有關的入侵攻擊手法,除了常見的使用者端網路釣魚與鍵盤側錄木馬程式之外,已經逐漸轉移到針對特定網站應用服務的攻擊。
由於以往傳統的蠕蟲、阻斷服務等針對網站伺服器的攻擊手法,在企業佈署了防火牆和IDS/IPS入侵偵測防禦等設備之後,都可以有效的阻擋,讓許多企業因此而卸下了心防。不過,若是採用像SQL Injection、Cross-site Scripting等利用正常連線方式,但卻夾帶著惡意指令與參數的攻擊,一旦網站存在著應用程式的漏洞,其重要的機密資訊像是使用者帳戶資料,就會在不知不覺中一點一滴地被竊取帶走。
防還是不防?這是一個重要問題!
讓我們先來看看,如果針對網站應用服務的惡意攻擊成功了,對於企業所造成的衝擊與影響有哪些:
對於一般防火牆來說,通常只有針對連接埠和通訊協定所維護的來源至目的地清單進行安全防護,而應用程式的攻擊,則是運用合法的網路通訊協定與連接埠作為掩護,防火牆會將之視為正常連線而不加以阻擋,因此,防火牆可以有效阻絕網路層的資源存取,但是對於應用層的存取防護卻無能為力。
至於入侵偵測防禦系統是著重在網路與系統的安全,主要針對網路層或是特定應用程式的弱點,以特徵比對的方式來進行過濾和警告,但是面對夾帶組合參數的網路連線行為或是以SSL加密過的封包,是無法加以察覺的。換句話說,入侵偵測防禦系統與防火牆只能提供有限的網路應用服務保護能力,必須還要針對應用程式的Web payload作深入的檢測,才能有效防範這一類的攻擊。
加強程式開發人員資安觀念
除了安全設備之外,另一項重要問題就是企業忽略了應用程式中所存在的不安全程式碼,導致面臨受到攻擊的風險。從ISO 27001標準中我們得知,所謂的風險是因為弱點遇上了威脅才會產生,拿生活中的例子來看,像颱風對生活在台灣的民眾而言,就是一個存在且難以避免的威脅,而為了避免風災所帶來的危害,我們可以從建築物的結構與防水防洪設施去加強,來減少弱點碰上威脅的機會,同時也降低了颱風所造成的傷害。
反觀網站提供應用服務的風險,則是來自於隨手可得的駭客工具與攻擊手法(威脅),加上程式撰寫者的疏忽(弱點)所造成,所以對企業的資安人員而言,想要降低風險就必須從威脅與弱點來著手。只是,多數程式開發人員的第一要務,就是完成系統開發要求中的功能項目,而所謂的資訊安全問題,通常都會在完成系統功能驗收之後,隨著船過水無痕而消失無蹤,因此加強程式開發人員的資安教育,導入安全的程式開發流程,是資安工作中的重要一環。
未雨綢繆則有備無患
所謂「勿恃敵之不來,恃吾有以待之;勿恃敵之不攻,恃吾有所不可攻也」,具有危機意識,是資訊安全時代企業生存的必要條件,面對不斷翻新的應用服務攻擊,個人建議可從「預防」、「監控」、「稽核」等三方面來著手。
首先,在進行應用程式開發時,必須導入一個安全的開發流程(Security Development Lifecycle;SDLC),從需求、設計、測試計畫、程式碼、測試結果到回饋機制的每一階段,都必須以安全性的要求來一一加以檢視,而利用應用程式弱點掃瞄工具,能夠在開發階段即提供安全程式撰寫上的建議,預防可能產生的程式語法漏洞。
接下來,在應用程式正式上線提供網路服務之後,仍必須定期進行弱點掃瞄,並且在閘道端佈署一道網路應用層防火牆(Web Application Firewall),針對所有的網路連線流量一一予以檢查監控,應用層防火牆的好處是可以在網路伺服器之前,協助阻檔各項針對應用服務的攻擊,並且能持續監控連線行為,找出防範應用服務攻擊與漏洞修補的對策。
最後,在了解針對應用服務的攻擊風險之後,還必須分析記錄檔並進行資安稽核,確保漏洞都已經被修補,再藉由不斷地調整企業的資訊安全政策,來降低可能遭受攻擊的風險,以因應可能來自世界各地的網路應用服務攻擊。(本文於2007年4月刊載於CNET網站)
由於以往傳統的蠕蟲、阻斷服務等針對網站伺服器的攻擊手法,在企業佈署了防火牆和IDS/IPS入侵偵測防禦等設備之後,都可以有效的阻擋,讓許多企業因此而卸下了心防。不過,若是採用像SQL Injection、Cross-site Scripting等利用正常連線方式,但卻夾帶著惡意指令與參數的攻擊,一旦網站存在著應用程式的漏洞,其重要的機密資訊像是使用者帳戶資料,就會在不知不覺中一點一滴地被竊取帶走。
防還是不防?這是一個重要問題!
讓我們先來看看,如果針對網站應用服務的惡意攻擊成功了,對於企業所造成的衝擊與影響有哪些:
- 使用者身份帳號與密碼遭竊取
- 打擊商譽及使用者信心
- 擾亂金融秩序
- 交易服務崩潰停擺
- 網站頁面損壞與資料遭篡改
- 損害賠償與回復清除之成本
- 非授權者存取到未公開或機密的資料
對於一般防火牆來說,通常只有針對連接埠和通訊協定所維護的來源至目的地清單進行安全防護,而應用程式的攻擊,則是運用合法的網路通訊協定與連接埠作為掩護,防火牆會將之視為正常連線而不加以阻擋,因此,防火牆可以有效阻絕網路層的資源存取,但是對於應用層的存取防護卻無能為力。
至於入侵偵測防禦系統是著重在網路與系統的安全,主要針對網路層或是特定應用程式的弱點,以特徵比對的方式來進行過濾和警告,但是面對夾帶組合參數的網路連線行為或是以SSL加密過的封包,是無法加以察覺的。換句話說,入侵偵測防禦系統與防火牆只能提供有限的網路應用服務保護能力,必須還要針對應用程式的Web payload作深入的檢測,才能有效防範這一類的攻擊。
加強程式開發人員資安觀念
除了安全設備之外,另一項重要問題就是企業忽略了應用程式中所存在的不安全程式碼,導致面臨受到攻擊的風險。從ISO 27001標準中我們得知,所謂的風險是因為弱點遇上了威脅才會產生,拿生活中的例子來看,像颱風對生活在台灣的民眾而言,就是一個存在且難以避免的威脅,而為了避免風災所帶來的危害,我們可以從建築物的結構與防水防洪設施去加強,來減少弱點碰上威脅的機會,同時也降低了颱風所造成的傷害。
反觀網站提供應用服務的風險,則是來自於隨手可得的駭客工具與攻擊手法(威脅),加上程式撰寫者的疏忽(弱點)所造成,所以對企業的資安人員而言,想要降低風險就必須從威脅與弱點來著手。只是,多數程式開發人員的第一要務,就是完成系統開發要求中的功能項目,而所謂的資訊安全問題,通常都會在完成系統功能驗收之後,隨著船過水無痕而消失無蹤,因此加強程式開發人員的資安教育,導入安全的程式開發流程,是資安工作中的重要一環。
未雨綢繆則有備無患
所謂「勿恃敵之不來,恃吾有以待之;勿恃敵之不攻,恃吾有所不可攻也」,具有危機意識,是資訊安全時代企業生存的必要條件,面對不斷翻新的應用服務攻擊,個人建議可從「預防」、「監控」、「稽核」等三方面來著手。
首先,在進行應用程式開發時,必須導入一個安全的開發流程(Security Development Lifecycle;SDLC),從需求、設計、測試計畫、程式碼、測試結果到回饋機制的每一階段,都必須以安全性的要求來一一加以檢視,而利用應用程式弱點掃瞄工具,能夠在開發階段即提供安全程式撰寫上的建議,預防可能產生的程式語法漏洞。
接下來,在應用程式正式上線提供網路服務之後,仍必須定期進行弱點掃瞄,並且在閘道端佈署一道網路應用層防火牆(Web Application Firewall),針對所有的網路連線流量一一予以檢查監控,應用層防火牆的好處是可以在網路伺服器之前,協助阻檔各項針對應用服務的攻擊,並且能持續監控連線行為,找出防範應用服務攻擊與漏洞修補的對策。
最後,在了解針對應用服務的攻擊風險之後,還必須分析記錄檔並進行資安稽核,確保漏洞都已經被修補,再藉由不斷地調整企業的資訊安全政策,來降低可能遭受攻擊的風險,以因應可能來自世界各地的網路應用服務攻擊。(本文於2007年4月刊載於CNET網站)
2009年11月5日 星期四
[觀點] 成為資安人才的學習之路
隨著金融海嘯的風暴席捲而來,企業也不斷傳出縮減人事的消息,在這個不景氣的年代,學習永遠是最好的投資,如何讓自己成為不可取代的人才,就需要去重新檢視自己的技能,而增強資安方面的知識,將是一條長久可行的道路。
隨著資安事件不斷地發生,以及政府相關單位的重視與要求,資訊安全已成為近年來很熱門的話題,但是,企業普遍都有優秀的網管人員,卻缺乏可用的專責資安人員。根據MIC在2007年針對台灣大型企業資安現況的報告指出,有七成大型企業的資安人力配置低於2人,其中5.6%根本沒有設置任何資安人力,而僅配置1人的大型企業也佔有30.4%,可看出多數大型企業的資安人力配置明顯不足。
目前,許多企業的資安工作,仍是交由資訊部門來主導負責,因此對資訊人員來說,除了確保網路連線順暢的既有任務之外,防制可能的網路攻擊也成為必要的責任,但是該如何去防治千變萬化的網路攻擊手法,若缺少適當的學習方式與管道,資安工作就會變成是個沈重的負擔,尤其是資安涵蓋的層面太廣,如果沒有適當的認知與學習方法,恐怕也會迷失在茫茫的資安大海之中。
資安人員的角色職責
根據個人的觀察,目前企業普遍欠缺的仍以資安技術人員為主,因為需要他們來協助建置維護相關的網路安全設備,例如防火牆、入侵偵測系統和防毒系統等。不過,也有企業是為了導入完整的資訊安全管理系統,因此更需要了解如ISO 27001等國際標準的資安人才,來協助導入符合資安標準要求的各項政策與作業規範。
所以,如果想要讓自己能夠在企業中有所發揮,變身成為資安人才,是讓自己不被取代的好方法。不過,我們需要先了解目前資安人員的角色與職責,依據本身已具有的專業技能,並評估企業目前的實際需求,再來決定要朝哪個角色職務來邁進。基本上,資安人員的角色可分為以下幾種:
若想了解成為一位專業的資安人員,到底該具備哪些基礎知識,建議可參考2007年10月由美國國土安全部所發布的:Information Technology Security Essential Body of Knowledge (IT Security EBK),以下是其14項知識領域項目,可作為您在決定資安學習方向的參考:
另一張很適合資訊人員來取得的資安證照是CEH(Certified Ethical Hacker ),它是由國際電子商務顧問局(International Council of E-Commerce Consultants;EC-Council)所推出,此一課程介紹駭客常用的工具與方法,以實際了解駭客行為,進而懂得如何保護網路與系統免受攻擊,並可學習如何去制定攻防策略,以防堵不法駭客的入侵。EC-Council的課程及證照已經獲得許多知名公司或政府單位的認同,包括Canon、HP、Sony、US Military、FBI、CIA、US Army等,其涵蓋的知識領域如表二所示。
第三張個人推薦的資安證照是CompTIA Security+,它適合想要全面性的了解資安各個領域,以及剛接觸資安不久的相關人員,它是由成立於1980年,總部設於美國華盛頓的美國電腦協會(Computing Technology Industry Association;CompTIA)所推出,此協會致力於協助全球資訊產業發展、政府資訊產業政策制定與資訊技術的認證,會員遍佈102個國家,是全球性的電腦技術協會組織,也是全球最大的獨立認證機構,此一證照涵蓋的知識領域如表三所示。
變身成為多重能力的人才
知名的趨勢大師大前研一說過,大多數的專業人才,都屬於擁有單一技能的「T型人」,例如像是網管人員,若持續在單一領域裡不斷鑽研,最終會成為網路管理的專家,但是可別忘了T型人只有一隻腳,除非真正進入一家仰賴單一專業技術的企業,否則在這個專業外包且成本更低的年代,只懂得單一技能的人員,就會產生被取代的潛在風險。
因此,僅有單一技能是不夠的,我們應該想辦法讓自己成為一個「兀型人」,也就是讓自己具備兩種以上的專長,有了兩隻腳之後就能夠站得更穩、看得更遠,甚至還能跑的更快,藉由不斷學習新知識領域的過程,使自己具備各項整合的專業能力,才能打敗不景氣,同時能往更高一層的職務邁進。(本文刊載於2008年12月號網管人雜誌)
隨著資安事件不斷地發生,以及政府相關單位的重視與要求,資訊安全已成為近年來很熱門的話題,但是,企業普遍都有優秀的網管人員,卻缺乏可用的專責資安人員。根據MIC在2007年針對台灣大型企業資安現況的報告指出,有七成大型企業的資安人力配置低於2人,其中5.6%根本沒有設置任何資安人力,而僅配置1人的大型企業也佔有30.4%,可看出多數大型企業的資安人力配置明顯不足。
目前,許多企業的資安工作,仍是交由資訊部門來主導負責,因此對資訊人員來說,除了確保網路連線順暢的既有任務之外,防制可能的網路攻擊也成為必要的責任,但是該如何去防治千變萬化的網路攻擊手法,若缺少適當的學習方式與管道,資安工作就會變成是個沈重的負擔,尤其是資安涵蓋的層面太廣,如果沒有適當的認知與學習方法,恐怕也會迷失在茫茫的資安大海之中。
資安人員的角色職責
根據個人的觀察,目前企業普遍欠缺的仍以資安技術人員為主,因為需要他們來協助建置維護相關的網路安全設備,例如防火牆、入侵偵測系統和防毒系統等。不過,也有企業是為了導入完整的資訊安全管理系統,因此更需要了解如ISO 27001等國際標準的資安人才,來協助導入符合資安標準要求的各項政策與作業規範。
所以,如果想要讓自己能夠在企業中有所發揮,變身成為資安人才,是讓自己不被取代的好方法。不過,我們需要先了解目前資安人員的角色與職責,依據本身已具有的專業技能,並評估企業目前的實際需求,再來決定要朝哪個角色職務來邁進。基本上,資安人員的角色可分為以下幾種:
- 資安技術人員 - 主要職責在於確保網路通訊安全、進行資安弱點評估、協助IT日常營運與與資安事件處理、系統與應用程式安全、負責資安產品開發、資安設備的建置與維護等,例如資安工程師、資安分析師、資安架構師等。
- 資安管理人員 - 主要職責在於制定資安政策、進行資安風險管理、資安事件應變管理、評估企業的營運持續與資安法規遵循,在企業中這屬於較高階層的管理職務,例如像是資訊長、資安官、資安小組召集人等。
- 資安稽核人員 - 主要職責為協助企業進行資安標準與法規遵循的稽核工作,例如資安稽核人員或電腦稽核人員。
- 資安鑑識人員 - 主要職責為進行資安事件現場鑑識調查、數位證據之蒐集檢驗與分析報告,以及擔任法院訟訴時的專家證人。在台灣主要仍以檢警調相關單位為主,像是調查局鑑識人員、刑事警察局鑑識人員和犯罪現場鑑識人員。
- 資安顧問人員 - 主要職責範圍為給予企業資安標準或產品導入建議、協助進行資安風險分析評估、資安治理諮詢建議,以及執行資安教育訓練等,常見的職稱有資安顧問、風險管理顧問和ISMS顧問。
若想了解成為一位專業的資安人員,到底該具備哪些基礎知識,建議可參考2007年10月由美國國土安全部所發布的:Information Technology Security Essential Body of Knowledge (IT Security EBK),以下是其14項知識領域項目,可作為您在決定資安學習方向的參考:
- Data Security (資料安全)
- Digital Forensics (數位鑑識)
- Enterprise Continuity (企業營運持續)
- Incident Management (事件管理)
- IT Security Training and Awareness (IT安全教育訓練)
- IT Systems Operations and Maintenance (IT系統營運與維護)
- Network Security and Telecommunications (網路與通訊安全)
- Personnel Security (人員安全)
- Physical and Environment Security (實體與環境安全)
- Procurement (設備採購)
- Regulatory and Standards Compliance (法規與標準遵循)
- Risk Management (風險管理)
- Strategic Management (策略管理)
- System and Application Security (系統與應用程式安全)
如果您對以上的知識領域有興趣,想要更進一步地去學習,但卻又不知該如何著手,建議可以從準備考取資安證照的方式來著手,因為證照所要求的專業知識,和IT Security EBK的領域有許多雷同的地方,若是還能藉由參與相關資安證照的訓練課程,那麼更是增強自己資安實力的最快方法。
資安證照的專業知識領域
目前國際間最知名的資安證照,非CISSP莫屬,CISSP是由國際非營利組織(ISC)2所提供的資訊安全專家資格證照,它設定的對象為負責制定資訊安全政策、推行資安管理標準的資訊安全專家,並且更獲得了美國國家標準學會有關資訊安全的ISO/IEC 17024證書標準,換句話說,此一證書可作為全球專業人員資格認證標準,確保已擁有資安各範疇之專業能力,CISSP的知識領域如表一所示。
資安證照的專業知識領域
目前國際間最知名的資安證照,非CISSP莫屬,CISSP是由國際非營利組織(ISC)2所提供的資訊安全專家資格證照,它設定的對象為負責制定資訊安全政策、推行資安管理標準的資訊安全專家,並且更獲得了美國國家標準學會有關資訊安全的ISO/IEC 17024證書標準,換句話說,此一證書可作為全球專業人員資格認證標準,確保已擁有資安各範疇之專業能力,CISSP的知識領域如表一所示。
表一:CISSP證照十大知識領域
| 1.存取控制 | 6.法規遵循與調查 |
| 2.應用程式安全 | 7.作業安全 |
| 3.業務持續與災害復原計劃 | 8.實體(環境)安全 |
| 4.密碼學 | 9.安全架構與設計 |
| 5.資訊安全與風險管理 | 10.通訊與網路安全 |
另一張很適合資訊人員來取得的資安證照是CEH(Certified Ethical Hacker ),它是由國際電子商務顧問局(International Council of E-Commerce Consultants;EC-Council)所推出,此一課程介紹駭客常用的工具與方法,以實際了解駭客行為,進而懂得如何保護網路與系統免受攻擊,並可學習如何去制定攻防策略,以防堵不法駭客的入侵。EC-Council的課程及證照已經獲得許多知名公司或政府單位的認同,包括Canon、HP、Sony、US Military、FBI、CIA、US Army等,其涵蓋的知識領域如表二所示。
表二:CEH證照之知識領域
| 1.倫理與法律 | 12.網站應用程式的弱點 |
| 2.足跡 | 13.密碼破解技術 |
| 3.網路掃瞄技術 | 14.資料隱碼的入侵模式 |
| 4.列舉 | 15.入侵無線網路系統 |
| 5.電腦系統入侵 | 16.病毒與病蟲 |
| 6.木馬程式與後門程式 | 17.實體安全 |
| 7.封包監聽 | 18.入侵Linux系統 |
| 8.阻斷服務 | 19.入侵偵測系統、防火牆與網路誘陷系統 |
| 9.社交工程 | 20.緩衝區溢位 |
| 10.連線劫持 | 21.密碼學 |
| 11.網站入侵 | 22.滲透測試方法 |
第三張個人推薦的資安證照是CompTIA Security+,它適合想要全面性的了解資安各個領域,以及剛接觸資安不久的相關人員,它是由成立於1980年,總部設於美國華盛頓的美國電腦協會(Computing Technology Industry Association;CompTIA)所推出,此協會致力於協助全球資訊產業發展、政府資訊產業政策制定與資訊技術的認證,會員遍佈102個國家,是全球性的電腦技術協會組織,也是全球最大的獨立認證機構,此一證照涵蓋的知識領域如表三所示。
表三:CompTIA Security+證照知識領域
| 1.安全概要 | 7.密碼學基本原理 |
| 2.攻擊、惡意軟體與威脅 | 8.密碼學的應用 |
| 3.網路基礎建設安全-基本安全概念 | 9.認證、授權與存取控制 |
| 4.網路基礎建設安全- IDS/IPS、事件處理 | 10.安全政策與管理 |
| 5.弱點與稽核 | 11.作業安全、營運持續與 |
| 6.通訊安全與對策 | 12.其他安全相關課題 |
變身成為多重能力的人才
知名的趨勢大師大前研一說過,大多數的專業人才,都屬於擁有單一技能的「T型人」,例如像是網管人員,若持續在單一領域裡不斷鑽研,最終會成為網路管理的專家,但是可別忘了T型人只有一隻腳,除非真正進入一家仰賴單一專業技術的企業,否則在這個專業外包且成本更低的年代,只懂得單一技能的人員,就會產生被取代的潛在風險。
因此,僅有單一技能是不夠的,我們應該想辦法讓自己成為一個「兀型人」,也就是讓自己具備兩種以上的專長,有了兩隻腳之後就能夠站得更穩、看得更遠,甚至還能跑的更快,藉由不斷學習新知識領域的過程,使自己具備各項整合的專業能力,才能打敗不景氣,同時能往更高一層的職務邁進。(本文刊載於2008年12月號網管人雜誌)
訂閱:
文章 (Atom)
