2011年12月20日 星期二

個資法行前 檢視防禦體系整備度


個資法行前 檢視防禦體系整備度

環顧整體個資防禦體系,DLP在此之中的重要地位,縱然無庸置疑,但面對形形色色的個資外洩風險,DLP真是一夫當關、萬夫莫敵?若非如此,企業另外還需要部署哪些產品工具?針對這個重要課題,恐怕無法走一步算一步,更不可能等事情發生了,再來設法補救;因此個資法上路前夕的行前總體檢,確實相當重要。
無論古往今來、海內海外,也不管敗因在於外患或內賊,個人資料外洩事件歷歷在目、斑斑可考,看來驚心動魄,但在驚悸之餘,又不禁長吁短嘆,連看似固然金湯的大型防禦體系,都不免遭人攻破,那麼遍及台灣各地的中小型企業組織,又如何安身立命?

正所謂道高一尺、魔高一丈,意欲竊取個資的有心人士,攻擊模式屢見精進,確實讓人防不勝防,但仔細探究他們的行為模式,其實也算是有跡可循,因為其攻擊對象,除了深具國際知名度的大型企業外,即是幾乎全不設防的企業組織,就好比長在一般人視線水平面以下的果實,「隨便都有得摘」。



沿用果實的例子,企業只要做好幾道防護措施,就等於是往果樹的高處生長,自然容易逃離魔爪,被嚐試攻擊的機率隨之大減。

那麼,除了DLP,以及各企業隨處可見的防毒系統、防火牆之外,因應個資防護議題,究竟還有哪些產品,能夠發揮立竿見影的防禦成效?接下來的篇幅,就順著這個主題,特別介紹5種防禦性武器。

5大武器之一:SIEM
對於大多數中型以下企業,「安全資訊和事件管理(SIEM)」顯然是個不太熟悉的名詞,但隨著個資保全需求急遽增加,該系統的重要性,也跟著水漲船高;甚至有資安專家建議,如果礙於預算有限,沒辦法大舉布建多套系統,此時優先部署SIEM,也是不錯的選擇。

企業為了避免遭受法律究責,必須提出數位證據,證明自己確實已善盡保護責任,這時候Log便變得非常重要,而主宰日誌管理大權的SIEM平台,即是幫助企業遠離官訟是非的利器。

然而事實上,SIEM的功能,絕非只是事後拿出「呈堂證供」如此消極,它平時便做到兩件大事,首先是蒐集四面八方的Log,其次則是進行關聯性分析,意即針對大量Log予以抽絲剝繭,檢視有疑似竊取個資、或洩露個資的形跡。

因此有了SIEM的護持,即像APT(Advanced Persistent Threat)如此頑強的攻擊模式,不管再怎麼善於層層進逼,再怎麼精於掩藏行蹤,都將難逃法眼,便隨即向用戶提出早期預警,進而迫使駭客不得其門而入。

不免有人好奇,只是解讀Log,似乎沒啥了不起,用人工也辦得到。發出這般豪語的企業,不妨自己試試,看看是否有身懷絕技、又擅長速讀的高手,可不需要仰仗SIEM的翻譯功能,就同時精通不同廠牌伺服器、網路設備、資安系統的Log格式,而且能夠在頃刻間將大量Log加以勾稽與串聯;如果確實沒有此類高人的話,為了保險起見,則不妨多花一些時間,認真研究一下SIEM。

5大武器之二:WAF
說起網頁應用程式防火牆(Web Application Firewall;WAF),有人形容它就好比金鐘罩或鐵布衫,可以牢牢地呵護用戶的網頁應用。那麼,這項產品對於個資防護而言,究竟具備了何等重要性?

主要是因為,綜觀傳統防火牆、即便是所謂的NGFW,其強項都在於抵擋網路層攻擊,至於SQL Injection、XSS(Cross Site Scripting)或CSRF等上達第7層的網頁型惡意攻擊,顯然就不在他們的管轄範圍內,此時便需要運用其它防禦型武器,也就是WAF,才能遏阻這些心懷不軌的攻擊行徑。

更重要的,WAF不僅能辨識HTML語法,本身也有很強的學習能力,所以面對攸關個人資料欄位的文字或數字,即能夠善盡把關之責,不會讓胡亂填寫%、@或&的有心人士,有任何矇混過關的機會;這對於個資防護而言,確實堪稱重要功能。

此外,部分WAF產品,還兼具了網頁過濾(URL Filtering)功能,可在企業員工誤觸惡意連結時,就能立即阻斷連線,免於遭受任何惡意程式的侵擾;所以不僅能抵擋從外向內的資安威脅,也能兼顧由裡向外的資安風險。

5大武器之三:IPS
如果把防火牆比喻為海關,入侵防禦系統(IPS)就像是X光機器,因為它具備L7的透視能力,可以把封包看得清清楚楚,所以任何壞東西,都會被它攔截下來。

值得一提的,IPS不僅能抵禦外來攻擊,也能發揮如同前述WAF的網頁過濾功能,阻擋由裡向外的資安風險;就拿先前喧騰一時的臉書按「讚」攻擊來說,當社交網路使用者不慎點擊了惡意網站,IPS就能適時出手攔阻,趕在第一時間化解危機。

IPS如何做到這件事?理論上,多數IPS廠商都會在全球佈建惡意活動的監控器,只要發現任何Domain或IP做了壞事,或淪為僵屍網路的中繼站,便二話不說將之列為黑名單,此後在它的轄區之內,誰想連上這些惡意網站,都一律加以阻擋,絕對不許善良無辜的使用者,有任何成為駭客禁臠的機會,從而避免個資因此而外洩。

5大武器之四:資料庫安全稽核
透過資料庫安全稽核系統,便能針對任何存取資料庫的行為,加以監控或記錄,只要發現異常狀態,就會在第一時間通知DBA或稽核人員,再由他們快速判斷此行為是否違法,如果確認違法,那就沒什麼好說的,當下便截斷這個異常存取行為。

由於亟需守護的個人資料,通常都棲身於資料庫系統之中,因此不難理解資料庫安全稽核系統之重要性。

一般來說,此類系統奠基於兩大稽核技術,分別是「側錄旁聽」與「植入Agent」。前者的做法是把所有網路流量導入至系統,再執行其辨識任務,所以不會影響資料庫效能,與作業平台之間也沒有相互倚賴性,但壞處是只能看管經由網路的資料庫存取行為,假使有人親自到主機動手腳,則無法防範。

至於「植入Agent」,則是放一段程式到資料庫主機裡頭,進行持續性的觀察,只要發現異狀,就立即觸發警訊,因此不管是透過網路還是親臨主機的異常存取行徑,都可明察秋毫,不過也有缺點,因為它與作業系統之間有高度倚賴性,而且容易影響資料庫主機的運作效率。

因為兩項技術各有優劣,端看用戶如何視實際需求,作出精確的抉擇。

5大武器之五:程式碼安全檢測
此處介紹的最後1道防禦性武器,乃是程式碼安全檢測工具,其主要任務就是Code Review。

看到這裡,想必有不少人好奇,Code Review與個資防護有何關係?當然有很大關係!而最重要的關鍵在於,前面一缸子解決方案,都旨在補強,而非發自內在的改造力量,把企業的個資防護能力給調理好,只有程式碼安全檢測工具,確實能做到改善體質。

畢竟程式師設計師也是凡人,人非聖賢,豈能無過?他們寫出來的程式碼,或多或少都埋藏著漏洞,如果不及早解決,那怕一開始只是小破口,日後都有可能像滾雪球般愈滾愈大,成為導致個資外洩的大弱點。

而要想及早檢測弱點,難道是指派人力去看一行行程式碼?顯然不宜這麼做,因為效率實在太差,值此時刻,就不難凸顯程式碼安全檢測工具的價值。

引用自《DIGITIMES中文網

沒有留言:

張貼留言