隨著IT保安形勢的轉變,愈來愈多企業發現,即使是耗費了大量預算,投資多少保安設備,入侵事故依然不絕。隨著雲運算、流動設備和SaaS愈來愈普遍,保安概念和架構也必須檢討,新一代保安架構應運而生。Tenable正是新一代保安技術領導廠商,客戶包括了美國國防部。
以往,企業主要是保護終端設備和網絡周邊(Perimeter),但隨著流動設備增加,應用漸漸移向雲端和SaaS,焦點也從如何保護終端,轉移到保護應用和網絡。隨著雲運算和自攜設備(BYOD)應用增加,加上用戶各自採用不同SaaS服務,類似Box和ServiceNow等;又出現了所謂「Shadow IT」;即指非IT部門部署的軟硬體IT方案,IT部門可能也不知情;正因如此,也當然無從知悉這些系統的保安問題和風險。
黑客乘空隙入侵
Tenable策略部副總裁Matthew Alderman,以往企業所使用的不同保安設備,類似防火牆、IPS、應用防火牆等。新的雲運算架構上,這些設備都已凖確就緒,部署不是問題,整合才是關鍵。「企業早就發現,單靠採購先進保安設備,並不能保證安全。保安設備之間的缺乏協作,黑客可潛伏於保安架構中的的盲點內。有時,設備的漏洞往往是源於安裝錯誤和設定,不能靠保安設備防範。例如說,曾有投資銀行的視像會議系統(VC),因設定成自動啟動,黑客開會時入侵,不知不覺間竊聽機密。亦有企業的打印機出現漏洞,列印時複製至黑客手中。類似事例不勝枚舉。這要找出系統各項弱點(Vulnerability),卻知易行難。
Tenable總裁兼營運總監Jack Huffard表示,以往企業只集中於保護內部,未來最大隱憂,還要應付部分雲運算,部分則以內部運算的混合局面;轉變過程所帶來重大挑戰。一方面,企業須應付過渡雲端的保安轉變,又須確保原有的保護仍行之有效,兩方面一齊兼顧。
隨著用戶流動設備增加,企業保護範圍也難於界定,IT保安周邊模糊,數據四散於內外不同地點,甚至雲端上。傳統保安勢將經歷一次大轉移,雲運算服務將整合至內部保安;但保安局面雖改,不少企業仍原地踏步,沒隨形勢改變。
持續性監察大勢所趨
Huffard以為,未來IT保安方向,必然是實施持續性監察,配合適當的保安參考架構,確定弱點所在和解決先後次序,以確定保安投資,均可客觀衡量回報。
但是,未實施持續性監察前,先決條件是洞悉本身的IT環境。「沒有人能保護自己都毫不知情的IT環境,這點不言而喻。清楚掌握應保護IT資產,幾乎是部署有效保安的先決條件。」Huffard強調,探索發現IT環境和弱點的能力,非常關鍵。Tenable其中一項性能,乃確保可以清晰盤點發現內部IT資產,結合其他數據,偵察各項容易受攻擊的弱點。
Huffard說,Tenable為新一代的威脅管理工具,擁有業內最多人採用的掃描工貝Nessus,加上被動式弱點掃描工具Passive Vulnerability Scanner(PVS),可清除一切盲點,顯示整個IT環境內的實體、虛擬、流動、雲端的資產,發現不同的弱點;如安裝錯誤、管理更新和版本狀態等。
Huffard說,Tenable大概有六至七種獨有方法,比只單靠掃描,能發現出IT環境更多弱點。Tenable的SecurityCenter Continuous View不止利用掃描,加上監視網絡封包,通過分析系統的日誌檔(Logs)、終端設備的各項活動,綜合分析不同異動和可能入侵,準確性比單純依靠個別保安設備和SIEM更加高。Tenable可關聯不同活動,同時監察雲端至內部活動;具備上述監察能力的IT保安產品,絕無僅有。
Alderman表示:單靠間竭性掃描,有一定盲點,某些設備或惡意程式,只是短暫連接,間竭性掃描不能發現;有時還須結合DNS和DHCP等網絡數據,追蹤可疑活動留下的痕跡。綜合不同來源數據,才可發現隱藏連接,發現相關弱點後,可再權衡風險加以堵截。市場上掃描工具,不少只間竭性掃描設備的資料。
保安投資回報成為焦點
Alderman說:「目前執行保安的另一困局,就是董事局大舉投資了IT保安,仍不能確定投資回報。因此有必要建立保安控制和設定客觀標準,作為IT保安的工作目標。先釐定可接受風險水平,定下優先處理次序,再向董事會報告工作的客觀進度,投資回報是否合理等。」
Huffard表示,因此業界開始實施保安參考架構(Security Framework),來釐定保安是否達標,向董事局匯報進展。Tenable可支援業內四個主要的架構,包括了PCI DSS(PCI) 、ISO/IEC 27001/27002 (ISO) 、CIS Critical Security Controls (CSC)、NIST Framework for Improving Critical Infrastructure Cybersecurity (CSF)。目前NIST的參考架構尤其受到業內重視。
Tenable也偵察內部採用IT未知SaaS服務,瞭解用戶採用Shadow IT情況。Alderman說,IT部門可趁機整合,例如統一轉用企業賬戶,以節省開支。Tenable可偵察出網絡內所有SaaS的使用情況,綜合作出報告;指出那些有弱點的終端客戶,正在使用SaaS。例如禁止某些易受攻擊的PC連接Salesforces.com等SaaS,減少敏感資料外洩。
持續監察分析取代SIEM
Alderman說,不少業界向Tenable求助,正因傳統保安工具,不能應付新保安形式,必須利用更多不同來源數據,更快和準確偵察出入侵。他表示,除了Tenable的方案,業界也採用類似Splunk之類搜尋工具,更快找出威脅。
近年,機器數據分析漸成潮流,類似Splunk和ElasticSearch,快速分析大量湧入的系統日誌檔,並應用於保安事故分析。他表示,傳統SIEM方案,只從固定來源擷取數據,又不能快速結合不同來源的線索,也非實時性分析(Real Time Analytic)。Alderman說,SIEM迅速衰落,擴充能力不足也是原因;難以結合到迅速事故反應(Response)和日後調查的程序。
雖然說,SIEM可有效符合法規遵從(Compliance),但IT保安已從只追求法規遵從,演變至必須實時發現入侵和攻擊,面對新形勢保安要求,SIEM監察的範圍太窄,不能從多方面的蛛絲馬跡,發現入侵蹤影。「例如SIEM不監察網絡通訊,也不容易從網絡活動,與其他數據建立聯繫揭發入侵。」
不過,Splunk解決的保安問題也不全面,至少不能偵察出弱點。Alderman說,保安市場上仍有人材短缺的難題,須靠自動化的保安方案,找出IT環境內各項弱點自動修補,不大可能靠人手。同樣原因,亞洲區的託管式保安服務供應商(MSSP)市場也因人手短缺增長不俗。但企業的環境存在差異性,MSSP仍不能針對解決所有保安挑戰。他表示,區內的MSSP也明白,必須建立其他方面服務,以應付保安形勢轉變。他相信Tenable將與區內MSSP合作,向客戶提供更全面的保安。
沒有留言:
發佈留言