企業網路型態遽變,弱點管理更加嚴峻

圖片來源: 

周峻佑拍攝

近年來,新興的攻擊手法興起,然而,若是沒有了解自家的網路狀態,並加以管理網路內的裝置,便容易成為攻擊者下手的目標而不自知。如果等到東窗事發只能事後彌補、修複,早就為時已晚。Tenable亞太區架構顧問鄭學輝認為,企業想要做好資安防禦,首先應從管理的角度下手,找出那些是具有暴露風險的弱點,進而加以監控,管制相關的處理措施,因此,他特別提倡了網路衛生(Cyber Hygiene)的概念。

網路衛生的議題,之前在美國就有相關的討論。鄭學輝引用了非營利組織網路安全中心(Center for Internet Security,CIS)的定義,網路衛生就是有效保護及維護企業IT系統,並且導入網路安全的政策。鄭學輝說,網路衛生就好比個人的衛生,或許有些人的身體很強壯,但是用餐前卻沒有洗手,忽略衛生習慣,導致生病,最後必須向醫院報到。

鄭學輝指出,事實上,沒有做好網路衛生所帶來的資安事件,影響對於企業不僅是生產力可能會受到損失,甚至就像大家對不重視衛生的人一樣,敬而遠之。他舉出近期爆發重大資安事件的公司為例,包含了國外的知名信評公司易速傳真(Equifax),以及國內的金融單位第一銀行與遠東商銀等,使用者若是在Google的搜尋引擎中,輸入上述公司的名稱,Google便會提醒是否要尋找該公司的資料外洩事件,或是有關駭客攻擊的內容,突顯許多人都透過搜尋引擎,想要了解這些公司當時發生的資安事件。

以往,企業網路環境較為單純,IT部門可能只需要管理好內部網路。但最近5年,隨著物聯網裝置、員工使用自行帶至公司的裝置的出現,以及企業開始採用雲端服務與Container等現象,勢必為企業管理網路帶來相當大的衝擊。鄭學輝說,雖然這些在國外已經相當普遍,然而,依據他的觀察,去年在臺灣,鄭學輝以Container的安全性議題演說時,發現聽眾似乎興趣缺缺,沒有什麼回響,他認為當時實際使用Container的人可能不多。不過,現在在iThome的網站上,則能看到許多雲端服務與無伺服器運算的議題充斥,鄭學輝說,也許臺下聽眾所屬的企業,還沒有決定要上雲端與否,但是,有些企業提供的行動裝置App或是Web應用程式中,往往背後就是運用Container提供服務,而企業通常就會在雲端建置這些容器,藉由雲端保持服務的擴充彈性等優點。

而一旦企業的網路架構延伸到了雲端,鄭學輝認為比起過往採取防護為主的策略,更應該要從那些可能會暴露弱點的地方,進行網路管理。他說,企業應該思考3件事,分別是弱點為何,以及帶來的風險與優先處理順序,最後是找到降低弱點暴露的時間。因此,對企業來說,在管理網路弱點的流程上,大致周期是從找出弱點、評估、分析、修補,最終衡量處置完的成果,其中,發現那裡出現弱點,尤為重要。

想要發現弱點,鄭學輝說,首先就要了解企業網路環境裡的情形,才能管理其中可能隱含弱點的地方。因此,若是想要統整企業網路環境的情況,首先必須知道他們的網路裡,實際上有那些設備,並加以盤點與歸納。

一般來說,企業管理網路上各式設備資產的做法,通常透過專屬的資產管理資料庫(Configuration Management Database,CMDB)彙整,比較簡易的做法,則是利用試算表記錄。鄭學輝指出,一般的公司,資產管理資料庫通常難以達到實際情形的80%,因此企業首要的任務便是徹底且有效的資產盤點。透過清點之後,才能找出存在企業之中,但沒有人知道的設備,進而才能依據各種資產的類型,分析可能存在的威脅,以及後續的修補措施。

其實,在資安事件裡,攻擊者透過已經停用的使用者帳號,或是經由沒有列管的電腦與設備,進行滲透的手法,可說是時有所聞,企業想要掌握弱點,然後再行補強或是修正,勢必也得從更加全面管理網路環境做起。


Advertisement

更多 iThome相關內容