圖片來源: 

iThome

面臨想要做資安卻沒有經費的情況,開源軟體為企業帶來了一線生機。然而,許多資安人員嘗試自己導入開源軟體,可能會遇到各式的問題,例如,使用之後才發現不合己用,或是缺乏某些功能,以及部分關鍵的套件必須花費購買,甚至是軟體本身存在很多漏洞,還有開發者終止維護等等,如何在茫茫的開源軟體大海中,找到符合企業需求的軟體,便成為資訊人員的難題。耀達電腦技術總監鄭郁霖以自己使用經驗,在2019臺灣資安大會上,強調要從維護IT架構的恢復力(Resilience)開始做起,並推薦多款解決方案,同時分享他挑選開源軟體的技巧。

鄭郁霖指出,臺灣中小企業資訊人員經常面臨的情況,就是企業缺乏能投入資安領域的資金,往往背後也伴隨著政策與人力支援極為不足。鄭郁霖說:「錢能解決的問題都不是問題,真正的問題是沒有錢」,但資訊人員又不能坐以待斃,因此,導入開源解決方案,就是最務實的策略。鄭郁霖認為,資訊人員在挑選各式軟體或是系統的時候,不只要評估實務應用上的需求,也要將資安防護納入考量,他也依據自己推薦企業採用的順序,列出了12款開源軟體──先從透過虛擬化平臺統合現有資訊系統,再進行事件記錄的監控,接著,就要針對災害復原,保護企業重要資料,更進一步,則是網路流量與行動裝置的控管,最後,則是黑箱與白箱檢測機制的導入。

雖然鄭郁霖與博格讀書會創辦人X1,兩人都是以資訊人員兼任資安工作為題,介紹開源或是免費的工具,但相較於X1推薦的解決方案,是從駭客的攻擊過程著手反思企業需求,鄭郁霖則是依據網路管理的層面提出建議,較為偏重企業面臨攻擊時,仍能維持正常運作的能力,也就是現在資安上常會提到的「恢復力」。不過對於中小企業的資訊人員而言,我們認為,兩種面向的開源與免費工具,都算是一時之選。

整體來說,鄭郁霖介紹的工具中,缺乏防火牆一類的網路防護機制,我們也向鄭郁霖確認,他認為,由於這種類型的解決方案中,仰賴大量的即時更新與技術支援,商業產品較能做到有關的維護層面,因此他沒有特別推薦對應的開源工具。

透過虛擬化平臺彙整現有的資訊系統,降低管理難度

在鄭郁霖所推薦與資安有關的開源軟體中,他特別先提到的是虛擬化平臺Proxmox Virtual Environment(PVE)。鄭郁霖指出,透過虛擬化統合企業裡各種重要的資訊系統後,能改善備份、復原、遷移,以及環境建置所面臨的不便,因此比起導入各式的管理工具,他認為要改善企業資安的第一步,就是要先透過虛擬化平臺,統整環境中現有的資訊系統。

鄭郁霖表示,與其他各式的虛擬化平臺比較,PVE雖然是開源軟體,但是功能相當完整,不只內建備份還原、快照、高可用性等機制,也支援Linux容器(LXC),企業能用來做為隔離的測試環境之用。而在虛擬環境網路管理的部分,鄭郁霖特別提到PVE本身內建的防火牆,資訊人員可從主機端進行集中配置與管理,或是以群組為單位設定防火牆政策、套用相同的巨集指令集等,除了企業無須為每個VM額外購買防火牆軟體,由於PVE的防火牆是由主機端上運作,少了由客體端到主機端這一層,也較在客體端執行的防火牆效能要來得好。

Proxmox VE虛擬平臺內建防火牆功能,管理者可集中以群組和巨集的方式,大量套用VM的網路政策。

再者,漏洞修補即時,而且軟體版本能直接就地升級,也是PVE的一大特色。鄭郁霖指出,今年2月11日公布的容器執行元件runC的重大漏洞(CVE-2019-5736),Proxmox在隔天就納入有關元件的修補程式,算是相當迅速。而根據鄭郁霖自己的經驗,他在7年前建置的PVE系統3.4版,僅透過內建的升級機制,便一路順利更新到現在最新的5.3版本,使用的過程中沒有再重新安裝過。

針對可能面臨的攻擊行為,建立預警措施

在統整了現有的資訊系統之後,接著,資訊人員便要建立內部網路環境的事件警示機制,鄭郁霖推薦的是LibreNMS與Graylog,前者可監控裝置的網路使用率、溫度等狀態,讓資訊人員能得知伺服器主機的健康程度,後者則提供進一步事件記錄分析的能力,進而找出攻擊的徵兆。藉由上述2款系統做為資安事件的情報站,並建立有關的規則,一旦出現異常狀況時,就即時通知管理者,排除可能導致服務停止運作的事件,進而降低服務被迫中斷的時間。

鄭郁霖舉例,他如何運用LibreNMS──像是針對網頁伺服器監控,檢測網頁的內容是否遭到置換,由於某些入侵攻擊手法裡,會暗中植入惡意程式碼或是竄改網站的檔案,透過這樣的監控機制,就有機會及早發現攻擊事件。

鄭郁霖藉由LibreNMS監控企業的網站伺服器,圖中LibreNMS呈現了該網站受到存取的趨勢,管理者便能進一步確認是否出現異常。

另一種應用情境,鄭郁霖則是用LibreNMS來檢查網路設備的組態設定檔案,藉由定期檢測設備中的組態自動備份,可進行差異比對,以及版本控制。若是面臨網路設備的組態遺失,就能快速回復,網管人員也能從中找出可能的錯誤。

而在應用程式服務的可用性上,也可以藉由LibreNMS降低管理負擔。鄭郁霖提到用來維持SSL憑證與網域的有效性,在到期日的90日前,在LibreNMS主控臺上顯示為警告,有效期剩下30天時,則列為重大事件,並通知管理者,以免忘記續約導致服務中斷。

對於事件記錄的分析上,鄭郁霖運用了Graylog,並在這套系統的儀表板上,快速判斷AD網域裡,帳號遭到攻擊者鎖定的情況,同時得知那些主機成為攻擊目標,透過Graylog顯示的圖表,也能了解攻擊的趨勢。

圖中鄭郁霖透過Graylog分析AD網域的存取事件記錄,該系統統整了異常登入次數最多的使用者帳號與伺服器名稱。

面臨檔案可能遭到綁架的威脅,資料備份與快速復原機制重要性也隨之提升

有了內部網路的監控機制後,接著,鄭郁霖認為,資訊人員要確保資料的可用性。由於近年來勒索軟體攻擊猖獗,一旦企業的重要資料受到加密而無法使用,輕則導致營運中斷,嚴重者可能迫使公司關門。因此,鄭郁霖推薦了2款開源解決方案,能協助企業快速復原資料,進而回復正常運作,它們分別是FreeNAS和Duplicati,其共通點是都提供備份資料加密的保護功能,增加備份資料的安全。鄭郁霖表示,他在利用FreeNAS異地備份IDC機房主機的資料時,便會利用上述資料加密的功能,避免公司機密遭到外洩。

而這2種備份軟體各有其應用的面向,FreeNAS提供快照與內建資料檢查機制,由於採用ZFS檔案儲存系統與軟體定義儲存(SDS)架構,一旦主機出現故障,企業將磁碟移轉到新的FreeNAS主機上就能繼續運作,因此這套備份系統不致被特定的硬體限制。

針對資料池存放的檔案保護,FreeNAS提供了加密保護機制。

對於許多中小型企業,往往難以再建置外部的備份伺服器,透過雲端儲存空間達到異地備份,便是一時之選。在這種備份的需求下,能廣泛支援將資料備份到多種雲端空間Duplicati,就是相當合適的解決方案,鄭郁霖表示,幾乎是Linux能夠運用的雲端空間,這套備份系統都能使用──包含了常見的Amazon S3、Box、Dropbox、Google Drive,以及微軟OneDrive等,盡在Duplicati支援之列。

想要將雲端儲存空間做為重要資料異地備份的地方,企業可選擇採用Duplicati做為執行備份的解決方案,其支援的雲端服務相當多,如圖中所列,另外也支援了常見的FTP和WebDAV資料夾。

進一步掌握網路進出流量,並擴及行動裝置與物聯網設備的管理與弱點檢測

有了基礎建設,以及內部網路環境的監控機制,也確保了企業重要資料的可用性之後,鄭郁霖才建議IT人員更進一步,著手網路與行動裝置的管理,還有弱點掃描等面向。

在網路流量的控管上,鄭郁霖推薦了網路存取控管(NAC)解決方案PacketFence,它同時能將無線網路納入管理,並結合了使用者的身分驗證機制,以及控管能夠存取企業網路環境的裝置等功能。而安全性的部分,PacketFence則可結合OpenVAS弱點檢測工具,檢查連網裝置的安全性,也能透過Snort套件,檢測網路行為,進一步發現異常跡象。

除了企業網路的存取,現在相當普及的行動裝置,也是企業需要納入管理的項目之一。鄭郁霖建議採用WSO2 IoT這套行動裝置管理系統(MDM),進行控管。而對於這種裝置的應用程式安全性,他推薦用Mobile Security Framework(MobSF),檢查APK和IPA應用程式是否存在潛在的風險。

附帶一帶的是,若是企業開發應用程式,鄭郁霖表示,則能運用SonarQube進行程式碼掃描,減少自行研發軟體的弱點。

挑選開源軟體有訣竅,更新頻繁程度是指標

基本上,許多提供開放原始碼軟體的開發者,最初研發的動機,便是出自於自身的需求,因此,很有可能在自己不再使用之後,便停止開發,或是交由他人維護,導致日後的軟體品質堪慮。雖然原始碼公開之後,任何人都能加以改寫、改進,但缺乏有志之士挺身而出延續軟體維護的情況,也不時發生,甚至還有在專案移交之後,新任維護者從供應鏈下手攻擊的現象。因此,許多的資訊人員,對於開源解決方案,心裡總有一份擔憂,畢竟,商業軟體出錯,或許可以找廠商負責弄到好,但開放原始碼的軟體,出現各種異常通常得自行處理,很多原本躍躍欲試的資訊人員,可能因此打退堂鼓。

鄭郁霖指出,IT人員想要挑選合適的開源軟體,不只要從自身的需求面評估,也要考量軟體開發者的支援能力,減少導入之後一旦遇到開發者停止維護,便求助無門的情形。資訊人員想要確認這件事,可從3個面向著手,首先,是這款軟體的更新頻率,假如一款軟體好幾年都沒有更新,那麼要是使用之後遇到臭蟲,或是與其他應用程式不相容的情形,可能就得要自行想辦法解決。

再者,則是有關這款軟體受到採用的程度。假如一款開源軟體有許多人採用,那麼出現錯誤時,除了開發者能夠處理,也比較有機會出現有志之士,協助提出修正檔案或是其他解決方案。

若是擔憂個人開發者可能因為自身各式的狀態,而終止軟體維護,鄭郁霖認為,也可以選擇由商業公司提供的開源軟體。由於這種型態的廠商,通常以提供技術支援與軟體進階功能獲利,開源版本的口碑會影響其商譽,因此,由他們推出的開源軟體,可靠性與後續的支援較有保障。

除了軟體開發者支援的能力,開源軟體的授權和安全性,也是必須納入評估的部分。不過,雖說資訊人員可透過前述指標,確保自己不會變成軟體孤兒,但是開源軟體的授權種類繁多,會不會存在什麼限制沒有留意到,而導致企業不小心違反相關授權條款?軟體的安全性又要如何評估?有沒有工具能協助我們判斷呢?

答案其實是有的。鄭郁霖提出了Open Hub平臺──IT人員只要輸入開源軟體的名稱,該平臺就會顯示有關這套軟體專案的情況,包含所採用的授權模式、漏洞出現的頻率與修補因應的可靠程度指標、專案的活躍程度,以及具有高度同質性的替代開源軟體等資訊,可供參考。Open Hub由老牌開源套件檢測解決方案業者Black Duck(現被Synopsys併購)推出,統整了47萬款開源軟體專案的資料,對於想要採用開放原始碼解決方案的IT人員而言,Open Hub可說是相當實用的資訊平臺。

想要了解開源軟體的評價,老牌開源套件檢測解決方案業者Black Duck所推出的Open Hub,可讓IT人員快速掌握所需資訊,以圖中Proxmox VE為例,包含頁面上方的專案概略介紹,以及性質相近的解決方案,還有中間對於所採用的授權方式說明,而下方則是呈現了軟體的發展情形,包含程式碼數量的增長趨勢、每個月提交的項目與貢獻者人數等資訊。

鄭郁霖推薦IT人員的開源資安工具

01.虛擬化平臺 Proxmox VE
https://www.proxmox.com/en/proxmox-ve

02.裝置與服務警示系統 LibreNMS
https://www.librenms.org/

03.資產管理系統 Open-audIT
https://www.open-audit.org/

04.事件記錄管理與分析系統 Graylog
https://www.graylog.org/

05.網路儲存伺服器系統FreeNAS
https://freenas.org/

06.資料備份系統 Duplicati
https://www.duplicati.com/

07.網路存取控制系統 PacketFence
https://packetfence.org/

08.行動裝置管理系統 WSO2 IoT
https://wso2.com/iot

09.弱點檢測系統 OpenVAS
http://openvas.org/

10.行動應用程式檢測系統 MobSF
https://github.com/MobSF/Mobile-Security-Framework-MobSF

11.程式碼檢測平臺 SonarQube
https://www.sonarqube.org/

12.郵件安全閘道 Proxmox Mail Gateway
https://www.proxmox.com/en/proxmox-mail-gateway


Advertisement

更多 iThome相關內容