2016年5月11日星期三

Tenable持續性監察保安 時刻符合保安框架要求


去年九月,金融管理局向全港的持牌金融機構發出通告,就有關網絡安全風險管理發出一般性指引;建議建立多項網絡防禦及偵察控制措施。去年三月,證券及期貨事務監察委員會亦向持牌機構發出通告,呼籲持牌機構建立保安管治框架。

金管局也列舉一些業內保安參考框架(Framework),強調持牌機構採取客觀基準(Benchmark),例如業內流行的Center for Internet Security (CIS) Critical Security Controls, Control Objectives for Information and Related Technology (COBIT)及ISO 27000等,以業內標準的服務和流程;以衡量IT保安水平是否達標。

不少首席資訊保安官( Chief Information Security Officer,CISO)其中一項職責,就是通過審核,以評定保安水平,達致不同框架的客觀要求。CISO設計保安架構時,還須確保架構符合行業參考框架和法規,並定期作出考核;例如零售和金融業定期更新的Payment Card Industry Data Security Council Standard (PCI DSS)、醫護行業則採用HIPAA/HITECH等框架。

但即使加入多種保安設備,並符合不同框架要求;2015年,全球IT保安開支更高達769億美元,事故卻不跌反升;究其原因是保安系統之間,各自獨立運作,盲點太多;設備又架床疊屋,互不協調,遂令黑客有可乘之機;加上整合困難,保安資料碎片化,再多設備也難填所有漏洞。而機構也不可能每天作入侵演習(Penetration Test)和保安審核(Security Audit),利用系統和時間之間的盲點,駭客遂可予取予攜。

持續性監察確保合規

Tenable Network Security是美國著名IT保安企業,每年銷售增長高達四成,去年再獲高達二億五千萬美元破紀錄 B輪風險融資。Tenable的產品特點,正好針對上述保安盲點,可作持續性保安監察(Continuous Monitoring),同時呈現成視覺化圖表,針對不同保安框架的儀表板(Dashboard),甚至可按業務目標,列出要優先處理的弱點,排列和建議處理方式。

Tenable的SecurityCenter Continuous View(SCCV)功能之獨特;不單可通過不同方式,從網絡內外的來源,擷取有用相關的數據;包括了Netflow、保安設備、MDM、公共雲、甚至SIEM數據;甚至自行發現系統內隱藏的設備、軟件、Web Services等,再加分析和比對,偵察出異動(Anomaly)和惡意程式;類似APT等入侵。

SCCV整合更多方的資訊和現有保安投資;除了不同來源的日誌(Logs),幾乎可處理任何來源數據,再交予Tenable弱點管理平台Nessus分析製成視覺化報表。CISO從單一的儀表板,獲得實時報告,列明弱點和各可疑活動,馬上應採取行動,確保持續符合法規要求。

換言之,CISO亦可隨時作彙報,究竟內部系統有多大程度,達到不同框架要求。SCCV內建了支援CIS benchmarks、DISA STIG、FISMA、PCI DSS、HIPAA/HITECH、SCAP等針對不同標準的儀表板。

例如Tenable已按照金管局的指引,打造了專門儀表板,顯示內部系統是否已執行有關的「網絡保安控制」(Cyber Security Controls);甚至建議應採取行動。SCCV甚至內設Assurance Report Cards,根據預設的商業目標及方針,持續監察並衡量是否符合期望,相應採取補救行動。

CSF勢成主流保安框架

Tenable策略部副總裁Matt Alderman說,採用保安框架,可讓CISO設計IT保安更周詳,並對設定更具有信心。

最近,Tenable向超過三百位IT保安專業人員調查,發現美國的銀行及金融業,八成八以上採納了最少一項保安框架。儘管業內尚無正式標準,各項參考框架之中,最有機會成主流是美國 National Institute of Standards and Technology (NIST) Framework for Improving Critical Infrastructure Cybersecurity (Cybersecurity Framework);簡稱NIST CSF。

NIST CSF本是發展用於保護重要基礎設施(Critical Infrastructure),近期則受更多行業採納。Tenable研究發現,約三成採用NIST CSF機構,對本身保安更貝信心;七成採納機構更相信,NIST CSF屬於最佳保安守則。本港金融機構落實金管局的「網絡保安控制」指引,不少也積極考慮採納NIST CSF作框架。

Tenable功能猶如內部SOC

Alderman說,NIST CSF涵蓋了五大主要範疇,SCCV則包含了六大主要功能,兩者有不少重疊之處;從功能(Capabilities)上,只是SCCV不包含NIST CSF要求的資訊恢復(Recovery);卻涵蓋最重要保安功能;包括了自動發現隱藏的數碼資產(Discover)、存取弱點(Access)、持續監察(Monitor)、分析(Analyse)、反响(Respond)、保護(Protect)等各功能;SCCV幅蓋了NIST CSF近九成內容。

SCCV針對了最棘手的保安問題,例如解決了愈益普遍的Shadow IT;即員工繞過IT,利用外部或自設方案,SCCV可發現隱藏的實體或虛擬設備、SaaS、流動設備等,解決了保安一項極大考驗。「若不掌握內部的情況,IT保安根本無從談起。存取功能則指洞悉內部運作,以清晰掌握所有可乘的弱點。」

「試想,所有攻擊均必須從內部弱點開始。先清楚內部弱點,知己知彼,才可立於不敗之地。」SCCV的Nessus;為業內最著名的弱點(Vulnerability)管理平台。Alderman解釋:「九成以上的攻擊,皆以釣魚電郵引用戶上當,再著手尋找裝組錯誤,或未更新系統等弱點,再發動攻擊。」SCCV持續監察功能則結合內外最新的資訊;例如系統更新(Patch)或威脅, 然後通過分析,決定作何種反响。

但前述四項功能;從發現至分析,必須一氣呵成,才能有效決定,如何應對新出現弱點、威脅、攻擊等,作出反响;例如更新系統或改變設定,以化解新的風險。

Alderman說,不少機構設立「保安營運中心」(Security Operation Centre,SOC),運作上也是大同小異;均結合上述步驟,分析後作反响。「問題是,並非所有企業皆有能力籌建SOC,即使是利用托管式保安服務(MSS),也不太可能傳送內部的大量數據,給外部SOC實時分析。SCCV猶如內部小型SOC,自動化上述步驟。

最後SCCV也具保護功能,以自動化的防禦,制止感染進一步擴散。目前,市場上產品或服務,只是集中其中一項或數項功能。「網絡保護的失效,往往源於產品互不銜接,駭客才有空隙可鑽。Tenable填補所有空隙,確保網絡保安,可撥水不進。」



沒有留言:

發佈留言