NAC和DLP當紅，但仍不是資安萬靈丹

陳彥銘 Foundstone資深管理顧問，專長於網路安全滲透測試、Web應用程式安全評估、無線網路安全評估以及資訊產品安全評估。他同時是多本書籍的貢獻者，例如駭客現形系列叢書，撰寫的文章也出現在Sysadmin、DevX以及SecurityFocus等知名的資安媒體。

近來資安界最火熱的議題，就屬網路存取控制（Network Access Control，NAC）和資料遺失防護（Data Loss Prevention，DLP），然而這些產品/技術無非是要試圖落實企業資訊流程的控管與分級節制。然而光是導入產品，公司本身卻沒有完善的資安政策的話，Foundstone資深管理顧問陳彥銘認為這樣效果十分有限。

問：NAC和DLP為何興起？它們和傳統的資安防護方案差別在哪裡？
答：對很多科學園區的廠商來說，他們很難有效判斷廠商攜入的電腦是否帶有病毒、蠕蟲等惡意程式，因此他們會希望做到：一開始先掃描訪客電腦的安全狀態，經過某種程度的檢查後，你才能存取內部的網路。NAC只是把這部分的要求做得更細一點。

如果公司和晶片製造有關，例如台積電，他們所擔心的是智慧財產遭到外洩，因此他們希望能夠做到進一步控管，不論是NAC或是DLP，都好。

問：讓我們姑且排除掉技術的發展狀況不說，NAC和DLP目前所遭遇的問題是什麼？
答：許多企業經常面臨這樣的狀況：企業內部同一個業務單位（Business Unit）的員工，可能彼此都不知道哪些資料該分類成機密（Confidential）或限制瀏覽（Restricted）。假如企業本身缺乏這樣的規定或步驟去形成一個流程、制度或政策，當然就沒有人知道該怎麼做。更甚者，倘若企業用這樣的環境去採購一套解決方案，例如程式原始碼管理系統，就很難能去完全輔助企業本身的制度，因為他們無法去定義一個檔案的機密等級，這樣一來也就難以去落實NAC或其他的資安技術。

如果這些重要性無法事先釐清、區分，很可能到最後還是這些非技術因素在干擾。舉例來說，企業固然可以針對某個部門去單獨部署NAC，但缺乏人員和流程控管支撐，過一陣子之後就還是白搭，因為管理上漸漸會有一些漏洞出現，例如遷就於「人」的因素而妥協，讓這些控管無法真正發揮效果。

企業可能為了某些原因而開了方便之門，於是把權限打開，但開放之後，多半不會再記得關上。

問：為什麼資安產品總是一陣流行過，另一波又再來，這反應的狀況是什麼？
答：當我們看到這一陣子流行這套防護技術、而前些時候大家所熱烈討論的是另一類型的控管產品，其實這背後反應了企業在那個時機可能缺少那樣的防護措施。就像Data Loss Prevention這個議題的興起，主要是因為2005年有很多公司發生筆記型電腦遭竊或是儲存很多個人/客戶資料的光碟片、備份磁帶遺失。

這就是問題所在，企業再怎麼強化資訊安全的控管、架設足夠的防火牆或資安設備，但企業未必能管到一個人會在各種情況下遺失了資料。

有很多發生過的安全事件也顯示企業對實體安全的控管大有問題。很多公司都會有門禁系統，他們會規定進、出辦公室時都要刷安全卡，但有些地方或許做得沒那麼仔細，有可能一個人尾隨另一個已經刷卡的人進門：一個陌生人利用午餐時間人員進出頻繁的時間，假裝自己的識別證在口袋，即可趁機進入辦公室。車輛其實也可以套用這個例子，在不設防的狀況下，門禁系統可能容許一輛車子跟著另一部車子後進入公司內部。假裝是清潔人員混進辦公室也是不難想像的例子，他們可以直接將員工桌上的文件或物品收一收帶走，再加上離開辦公室時，大部分公司通常不會要求強制刷卡，這樣一來，偷桌上型電腦或筆記型電腦都不會很困難。

以上狀況都是在企業內一直在發生的，但直到2005年，像花旗銀行、福特汽車這些公司，他們發生很多資料遺失的事件才受到極大重視，而這些損害是很難估計，更糟的是，可能沒有人會發現，進而追查。這已經不是單純從網路上入侵、偷資料而已，牽扯的是更廣泛的人員和流程問題。

問：實體方面造成的資安問題層出不窮，正因為機密不一定都從網路上外洩嗎？
答：即便像亞馬遜書店這樣的網路公司，企業仍無法全然以虛擬形式存在，總是還有倉庫、設備等實際的資產作為根基。相對地，當今許多新興產業之所以能夠崛起，大部分都靠知識、智慧財產權等無形的資產勝出，如果這些情報洩漏出去，很可能馬上造成嚴重損失。

由於商業的命脈在此，上述算是企業可以了解的。至於一些估不出價值的部分，企業還是要設法定義，假如忽視而不予以控制，等到問題發生後，再「挖東牆補西牆」，問題就永遠無法改善。

最近美國一家跨國零售業者TJX，發生駭客入侵資料庫竊走四千五百多萬筆顧客消費資料，這早在2002年就已經發生，只是沒人發現。這提醒了我們一點：企業如果有天發生危安事件，能否及時發現異常。姑且不論有多少萬筆資料外洩，如果企業連事件異常與否，都無從判準，那這問題根本不會有答案。整理⊙李宗翰