當我們透過大量安裝修補程式或手動強化安全性設定,把漏洞修補好,並不表示可以高枕無憂,企業要回頭檢討修補的成效,將弱點管理成效,以量化方式轉換為評估報表,呈現出安全決策與行動的影響,有了這些資料,企業可以比對修補結果是否符合預先設定的標準,並重新檢視政策符合的成效。

為了確保修補工作完成的效果能夠持續,我們需要執行稽核(Audit)與政策符合性(Compliance)的檢驗。

弱點評估和修補程式管理的解決方案,固然是思考漏洞問題的首選,不過許多網路安全解決方案都針對漏洞攻擊提出一些解決之道。網路安全基礎建設的即時阻擋,可以擋掉將近八成以上的網路攻擊事件,例如防火牆、防毒軟體、IDS/IPS;落實政策強制性(Policy Enforcement)的安全概念也相當盛行,例如伺服器/個人電腦的強制政策(網域群組原則和個人端應用程式控管),以及政策符合性檢測設備(如Cisco NAC)等,都可以從旁協助企業防禦漏洞攻擊。

稽核修補成效,減少流程死角

修補程式管理系統充其次是針對企業資訊資產執行強制政策的一套工具,主要概念和目的還是為了要降低企業的風險,關鍵仍在於過程中如何快速反應,在每一臺電腦和工作群組上,都要能持續檢視與追蹤目標執行的狀態,如有程序失敗,管理者需收到通知,得到相關訊息,進而稽核。有了即時性的事件通知,另一個讓管理者看到成效的最佳方法就是產生視覺化的報告/報表。

為了確保修補程式執行的結果,我們甚至應該將修補作業執行結果,往前回溯至弱點偵測的部份,做到雙重確認。修補管理平臺本身固然會自動發現哪些電腦需要上修補程式,企業如果也備有弱點偵測的資料,匯集這兩項資料相互對照,可以發現原來在外面看到的狀況(弱點掃描),跟修補程式管理主控臺上所看到的狀況是否一致,如需調整修補優先順序,應馬上處理。

透過弱點掃描定期稽核,也可以算是稽核修補成效的方法,不過它通常只是用來發現是否有新漏洞出現,一般企業可能每季或每月做一次,大型企業可能每天或每週做,最理想的情況是可以做即時的弱點檢查,一旦發現任何違反資安政策的情況時,要立即通知管理者執行重新修補的動作;同時,管理者也要關切為什麼會有這樣的狀況發生在公司的網路環境,例如修補程式明明裝了卻被移除,顯然違背公司的政策,類似這樣的情況,企業最好能不斷檢查這些異常狀況。

政策強制性是預防漏洞攻擊的主流

當企業按部就班地發現弱點、修補漏洞,達到一定的安全水平,一定程度可以防護漏洞攻擊,就像透過適當的運動和規律的生活作息,能提升人體免疫力一樣。關於漏洞修補的政策強制性執行,說穿了就是企業訂定一條安全基準線,符合資格就能順利存取網路,安全等級不及格的電腦除非依照企業規定的政策,更新修補程式與防毒軟體病毒碼,否則將被隔離,無法使用網路,可避免電腦連線後因漏洞而受到攻擊,感染後成為跳板。

許多資安廠商認為,政策強制性是可行性很高的一種漏洞攻擊防護方式,你可以發現修補程式管理系統、防毒牆或是網路端設備都即將全面支援。

既然IT不一定能處理人的複雜行為,不如從網路出入口的流量、從系統行為(例如修補狀態),間接判斷與強制管理系統的網路傳輸,好處是直接、快速,可以達到管理者所需要的目的。不過政策的執行需要後續管理面的輔助,執行一個政策,要能夠知道是否奏效,當結果不如預期,要及早補救調整。例如Cisco的自我防禦網路(Self Defending Network,SDN)所包含的網路存取控制(Network Admission Control,NAC),目前除了防毒軟體廠商積極與Cisco合作,已經累積到60家合作夥伴結盟,多家修補程式管理與弱點掃描系統廠商也都支援。

既然管理者所制定的政策符合性是針對每一個系統或使用者,理論上這樣的觀點可以防護內部。不過從網路出入口對內執行強制政策時,剛好與防火牆等閘道設備相反,可以限制內部網路流量不外流,卻不能阻止外部的網路連入。

這印證了一件事,即使我們有了漏洞修補和政策強制性,閘道安全設備同樣不可或缺。

從應用程式政策預防漏洞攻擊

企業環境中有些應用受限於硬體平臺及用途,並不能直接套用在測試修補程式的模擬環境,例如工廠生產線上的電腦整合製造系統(Computer Integrated Manufacturing,CIM),光靠防火牆和防毒軟體,仍不足以完全抵擋Zero Day Attack,雖然群組原則可以限制電腦執行的應用程式,但功能很單薄,未設定在群組原則中的應用程式,無法限制使用者執行,而且只要改檔名,照樣可以執行,對付不了聰明一點的使用者,對手法多變的病毒、蠕蟲和間諜程式更無招架之力。

伺服器如果無法安裝防毒軟體或修補程式,又想延緩防毒或漏洞修補空窗期造成的危機,目前已經有資安廠商提出功能更完整的控制系統,例如Websense從員工上網管理延伸出的用戶端應用程式管理模組(Client Policy Manager,CPM)。

時至今日,與系統漏洞的修補以及間接防護漏洞攻擊的相關技術和解決方案日趨成熟,選擇更多,在這些產品中將會實現更多資訊安全領域共通性原則,無非就是輔助企業風險管理與資產管理,落實資訊安全政策,當使用彈性和功能發展完善,能夠融入不同環境,具體提升防護安全,如果企業連IT資產重要性和優先順序都不評估,也沒有一套可執行的資安政策,這些產品一樣也無用武之地。文⊙李宗翰

相關文章
企業克漏修補絕地反攻

偵測篇-定期安檢企業的資訊系統

修補篇-修補漏洞,測過再上


Advertisement

更多 iThome相關內容