就是資安

端點安全 (Endpoint Security Platform – EPP) 絕對是近幾年資安市場最熱門的主題之一，在這份五月份出版的報告中，Gartner 比較了目前市場上主要的一些 EPP 廠商/產品。Gartner MQ 系列報告的特色之一，就是其分析的目標不只是產品本身，包含廠商的執行力、願景、產品策略、價格策略、支援能力…等等，你可以想的到的項目幾乎都包含了。 市場定義 在Gartner的定義中，EPP 至少包含了企業用防毒軟體、防間諜程式軟體、個人式防火牆與主機型入侵防禦系統 (HIPS) 這些功能。整體市場的產值在2008年為25億 (2.5 billions) 美元，而且預估的年複合成長率 (compound annual growth rate) 達到8%。目前市場的主要領導者皆為以前是屬於防毒軟體的廠商-McAfee、 Symantec、Trend Micro，此三家廠商所擁有的市占率高達85%。雖然有很多新進的廠商在這個市場 (包含 Microsoft) 努力，但是要挑戰這些領導廠商的市場地位並不是一件容易的事情。 產品功能評估項目 雖然 Gartner MQ 的分析報告涵蓋各個面向，但是對於許多客戶而言，功能依舊是相當重要的一環，所以我特別列出在這份報告中針對產品功能有哪些評估項目。

在去年底的這篇文章中，我稍微提到 Network Access Control – NAC 這類產品。嚴格來說，NAC 並不一定指的是某種產品，反而比較像是一種概念。而這樣的概念在許多不同類型的產品中都可以發現。比較常見的包含網路設備、端點安全產品等。在今年 3 月的時候， Gartner 發表了第一份有關 NAC 的 MQ 報告。去年 Gartner 也曾發表一份有關 NAC 的報告，不過今年的報告才是屬於 MQ 系列。在今年的這篇報告中也特別指出，因為 NAC 的導入通常是漸進式的，所以長期的計劃更顯得重要，當然這包含了產品與廠商的選擇。 市場定義 NAC 的市場在2008年呈現穩定與成熟的狀態，這也是 Gartner 將報告改為 MQ 系列的主因。Gartner 預估 2008 年 NAC 市場的產值為 2.2 億 ($221 millions) 美元，與前一年度相較其成長率達到51%。雖然 Garnter 原先預估新年度的成長率可達到 100%，不過在景氣低迷與微軟 NAP 布署不如預期的影響下，成長率必須下修。除了市場產值的增加，NAC 廠商也獲得了相當資金的挹注。 提供 NAC 方案的廠商可分為四類，包含網路架構廠商(如 Cisco)、端點安全廠商(如 Symantec)、安全設備廠商(如 Mirage)，以及以 NAC 為主要訴求的廠商(如 ForeScout)，而其中以 NAC 為主要訴求的廠商面對的挑戰最為艱巨。雖然前兩年收益的成長還是很高，但是已經呈現快速下滑的現象。而Gartner 預計此一下滑的現象將會持續，而且整合在其他產品 (如網路設備) 的 NAC 成為主流，排擠單純 NAC 產品的生存空間。

在前一篇的文章 - 用民主表決的方式增進軟體開發的安全性 - 中，我們提到有人利用投票評分的方式，希望可以增加系統的安全性。這個作法可以用在規劃的階段，至於其他階段，當然有其他更適用同時也更複雜的做法。其中程式碼的檢測，屬於後面開發階段所適用的工具之一。嚴格說來，這類檢測應該稱之為程式安全檢測(Application Security Testing)，而不是程式碼檢測。 程式安全檢測通常可以區分為兩種，一種是靜態的(Static Application Security Testing, SAST)，另外一種則是動態的(Dynamic Application Security Testing, DAST)。靜態跟動態最大的不同之處在於動態的分析方式是讓程式處於執行狀態 (runtime)，而非靜止的情形 (non-runtime)。當然，有越來越多的技術會將兩種方式加以整合。因為透過兩者的交叉分析，不但可以互補以達到更好的檢測效果，同時也可以降低 False Positive 的比例。

根據 Forrester Research 一份最新的報告，網頁過濾已經從傳統上限制存取特定網站(網頁)的功能，增加許多更先進的功能，以應付新的網路環境與威脅。這些新的功能，包含資料外洩防護(DLP)、惡意程式的攔阻、支援Web 2.0的應用。 一個重要的改變，就是網頁過濾已經從單純以安全為主的角度跨入到商業的角度，其中DLP與Web 2.0的支援就是其表現，尤其是DLP。除此之外，網頁過濾也以員工的工作效率當作考量的要項之一，而不光只是攔阻一些所謂的惡意網站。而之前單方向流量的管理也已經不足以應付現在的網路環境，需要對雙方向互動的流量一併管理，這部分對於DLP而言是很重要的。當然，移動式設備的管理依舊是一個棘手的問題，這部分需要靠其他的控制機制才能夠更有效地加以管理。 網頁過濾產品種類與功能琳瑯滿目，因此在報告中特別提出網頁過濾產品至少應該具備下列功能： URL過濾 惡意程式攔阻 內容過濾 資料外洩防護

在 更新-說的比做的容易多了 這篇文章中我談到有關程式更新的議題。其中應用程式沒有更新的原因中，有一個勉強算是原因的原因，就是原先的應用程式並沒有持續更新。在X-Force今年初公布的安全報告 IBM Internet Security Systems X-Force 2008 Trend & Risk Report 中，對此也有相關的數據可供參考。我將內容摘錄如下： 截至2008年底為至，當年度所發現的弱點共有53%的比例尚未有原廠所提供的修正可以使用。 截至2008年底為至，2007年與2006年度所發現的弱點，各有46%與44%的比例尚未有修正可以使用。顯示廠商更新程式有所謂的黃金期，過了黃金期之後獲得修正的機會已經大量降低。

這幾年NAC的話題性熱度越來越高，相關的產品也越來越多。從Cisco、Extreme Networks等網路設備廠商，到Symantec、McAfee等防毒軟體廠商，大大小小的廠商陸續推出NAC產品，只為了搶得商機。 NAC的主要目的包含身分與網路資源存取管理、資安政策的落實以及避免遭受0-Day的攻擊。不過以0-Day的攻擊而言，NAC其實並不是一個很有效的管制方法。簡單說來，NAC就是為了確保(內部)網路環境的安全。跟傳統上為了保護內部網路而佈署的防火牆或防毒牆等設備是不一樣且互補的。換句話說，NAC正是因為內部管控議題的延燒而受重視，而且不只是技術面的問題，更是管理面的問題。 面對龐大種類的NAC產品，有一些特性是需要特別注意的：

Pre-admission and Post-admission：Pre-admission是指在設備使用網路前就先進行存取的管理，也就是決定設備是否可以使用網路。而Post-admission則是指設備連上網路後，控制設備可以使用的網路資源或網路行為。

Agent vs. Agentless：有些機制需要在被管控者的設備上安裝代理程式(Agent)，有些則不需要。使用代理程式的機制，因為可以取得較詳盡的資訊，也可以作較多的控制，所以通常擁有較高的彈性與管理功能。但是在部署上的複雜度較高，以及整體效能上也通常較差。而無代理程式(Agentless)通常需要網路設備的配合，以達到管理與控制的功能。

Inline vs. Out-of-Band：Inline指的是管理機制本身的機器是網路的組成分子，例如交換器或是內部使用的防火牆。而Out-of-Band的機器則是外加於原先的網路架構。Inline的方式因為可以直接管理與控制所有的網路流量，所以可以達到更好的功能。另外也可直接整合於網路架構中，特別適合新建構的網路。Out-of-Band的方式，在佈署上需要特別注意的是是否有架構上的限制，例如需要搭配支援802.1x或是VLAN的設備。

Fail open vs. Fail close：也就是說當NAC機制失效時，網路的存取權限應該是開放給所有人還是全部拒絕？對Out-of-Band的機制，失效時雖然不會影響網路本身的運作，但是是Fail open還是Fail close才是需要特別注意的議題。

NAC在面對沒有存取權限的設備時，可以使用VLAN隔離、ARP導向等方式讓該設備無法正常的使用網路。相較於ARP導向，VLAN隔離因為是從設備上面著手，比較不容易產生漏網之魚，但是需要搭配支援VLAN技術的網路設備。

在"萬能的資訊安全工程師"這篇文章中，我提到有些公司似乎把所有的資安相關工作都歸納到一個人或是一小組人身上。最近看到一篇問券的報告分析，題目是最酷的資安工作，裡面把各式各樣的資安相關工作列出，並請受訪者勾選覺得最酷(Coolest)的工作。以下是結果的摘要：

針對政府機關人員

身為現代人，不只對於食物有攝取過多的危險，對於無形的食物(資訊)亦然。數位化的時代，讓資料的流通跨越了許多原本存在的隔閡 (如距離、語言等)，而且傳遞的速度幾乎是即時的。而在Web 2.0的時代，每個人都可以用各式各樣的方法產生資訊並加以分享，更使得資料數量呈爆炸性的成長，而且無時不在，無所不在。垃圾郵件的問題依舊存在，但是有更多的Blogs、RSS訂閱、Soical Network Platforms與Gadgets ，提供了看似有用或有趣的資訊，甚至很多還是我們自己自願接受的。但是，人的時間畢竟有限，這麼多的資訊，不要說是閱讀了，光是瀏覽都不夠時間。所以資訊過載這個名詞再次被提起，至於怎麼避免或防範，除了增加自己吸收的效率外，最重要的是如何選擇必要的資訊與良好的資訊來源。如果你跟我一樣有資訊焦慮症，要最到後面這點還真需要一番掙扎。
其實早在很多年前，資訊過載的議題就已經存在資訊安全的領域中。我們都知道，幾乎所有的設備、電腦(作業系統)、應用程式都有各式各樣的Log，這些Log提供了我們系統執行時的訊息。除了執行的狀態外，大多數也會針對一些特殊的事件(尤其是異常的事件)作成Log。所以，各個管理者必須將其負責範圍內的Log嚴加監控，以防止問題發生而不自知。簡簡單單的一句話，但是我相信沒有幾個人辦得到，甚至沒有人想真的這樣做。原因很簡單，這些Log不但散落各處，而且每種Log都有其特定的格式與解讀方式，在加上資料量龐大...所以，通常在發生問題後，能夠依據Log找到問題發生的來源並解決之已經算是很好的了。
不過，資訊安全廠商當然有更遠大的眼光，所以就有了 SIM (Security Information Management)或SIEM (Security Information and Event Manager)這類產品，希望能夠把各式各樣的Log訊息集中處理，以期並找出真正危害資訊安全的事件。當然，這類產品的資訊來源並不限於所謂的Log，有些甚至會有自己收集資訊的元件，不過這個其實也可以看是Log的一種，只是這是由廠商自行開發的格式。SIM主要的流程大致為Filtering -> Collecting -> Normalization -> Consolidation -> Correlation -> Analysis -> Alarm & Reaction & Reporting。這個只是可能的流程之一，每個產品會有自己特定的行為與流程，甚至有些流程行為可能會重複一次以上。這個部分礙於篇幅的關係，有興趣的讀者就請自行參考相關連結與其他文件了。這樣的產品立意很好，但是現實是很難達成廠商所宣稱的目標。當然，不用這類產品，光靠人力幾乎沒有辦法產生效果。但是有了產品，問題依然存在。其中最嚴重的問題當屬這麼多事件來源，而且大家又都有自己的格式與意義，要全部收集就已經是不可能的了。所以...第一步就玩不下去了，那後面做得再好也是救不了使用者(產品)。不過，如果我們退一步看，接受所有訊息來源的資料，這點確實本來就是不實際的需求，所以在大部分的情況下，以實務的角度來看，SIM或SIEM還是有相當作用的。

延續之前的熱潮，雲端運算(Cloud Computing)持續成為熱門的話題。之前我們看到在推廣雲端運算時可能遭遇到的問題，其中有多項議題與安全相關。在一份Gartner所發表的研究報告中，特別針對雲端運算所面臨安全上的議題做了一個完整的整理，共包含下列七項：
1. 特權使用者的管理 (Privileged User Access) - 特權使用者(如Windows的Administrator或是*nix的root)因為擁有幾乎絕對的權力，所以在使用上必須經過嚴密的管控。舉例來說，這些人員在進入公司前可能經過較為嚴格的背景調查。但是一旦將運算及資料都交付到服務供應商，這些系統的特權使用者將不再直接受公司管理，如何確保服務供應商能夠有效管理特權使用者將是一個很重要的議題。
2. 法規的遵守 (Regulatory Compliance) - 雖然公司透過服務供應商的服務執行公司營運的活動，但是遵守法規的責任仍舊屬於公司本身，而不是服務供應商。因此必須確保服務供應商的作業方式能夠符合法規要求，甚至在必要時加以稽核。
3. 資料所在的位置 (Data Location) - 這部分其實跟法規的遵守有關係，不過比較著重在有關資訊處理的隱私保護上。事實上，每個國家或地區對於隱私權的保護有不同的規範。所以如何確保資料處理能夠符合資料收集地點的法規以及

Scan 這個網站於日前公布了一份為期兩年 (2006-2007) 的研究報告，這份報告是由美國國土安全局 (U.S. Department of Homeland Security) 贊助 Coverity 這家公司所進行的。這項主要針對Open Source程式碼安全性檢測的研究報告，總共有超過250個Open Source的軟體(超過5千5百萬行的程式碼)參與，並於期間不斷的重複檢測，所以總共做了14,238次檢測(超過一百億行的程式碼)，最後的檢測結果也顯示在這兩年的期間內共有8,500個錯誤已經被修正。
此份報告並不針對單一軟體的檢測結果做出報告，僅針對全面性的數據做出報告分析。因為每個軟體的程式碼行數有很大的差距，所以此研究報告的指標是採用每一千行程式的錯誤數 (static analysis defect density，以下簡稱錯誤率)作為主要憑據。此數據由兩年前的0.3降到0.25，減少了約16%。當然並不是每個軟體都有相同的改進，有些軟體甚至出現該數據上升的情形。
此研究不但希望知道Open Source軟體在安全性的表現，更希望知道這些軟體是否持續改進其安全性，也因此才會維持長時間的研究計畫，並重複對單一軟體進行檢測。為了因應評定軟體持續改進的結果，該研究把這些軟體分成不同的rungs，其中目前已經有十一個軟體達到rung 2的等級，而且這些軟體的檢測結果也被簡單的列在該網站的網頁上。這些軟體包含Amanda、NTP、OpenPAM、OpenVPN、Overdoes、Perl、PHP、Postfix、Python、Samba與TCL。