就是資安

DLP (Data Loss Prevention) 一詞對於 IT/IS 人員來說，可說是已經朗朗上口，甚至成為茶餘飯後的聊天話題。目前有很多現成的產品宣稱可以全面保護重要的資料，大多數保護的範疇以資料庫為主，但是也有一些產品以非結構性的資料 (如檔案) 為保護對象。然而除了導入技術性的產品之外，要做到更為完整的資料防護就不可以忽略資訊安全政策的重要性。因為很多時候重要資料並不一定只會以數位的形式存在，對於非數位形式 (如紙本) 的重要資料而言，唯有透過良好的安全政策才有辦法加以保護，而技術性的產品對此幾乎可以說是無任何用武之地。而且就算是針對數位形式的資料，同樣需要良好的安全政策才能讓技術性產品發揮應有的功能。舉例來說，如果公司對於資料存取的授權沒有一定的程序而任憑管理者自由心證，那麼就算佈署再好的技術性產品也是枉然。

做到了這些，資料就安全了嗎？很可惜答案還是否定的。以目前的商業環境而言，這些寶貴的資料大多會被具備網路功能的服務所取用。標準的 DLP 產品可以避免寶貴資料透過 Email、HTTP、IM 等方式外洩出去，但是對於客製化的系統 (像是 CRM 或 E-commerce 等) 通常就愛莫能助了。這個議題屬於軟體安全 (Software Security) 與應用程式安全 (Application Security) 的範圍，對許多組織來說是比較不受重視的議題。除了不受重視之外，軟體安全/應用程式安全的負責人員也跟上述 DLP 產品或資訊安全政策負責人員有所不同，因此雙方如何合作以達到無間隙的防護能力，更是需要特別費心的事項。前一陣子沸沸騰䲢的 AT&T iPad 客戶資料外洩事件，據悉並不是因為 iPad 本身設計的問題，而是網站應用系統出現安全漏洞而造成的。以 AT&T 跟 Apple 這麼知名與具備技術能量的公司都尚且出現這麼嚴重的瑕疵，可見得問題的嚴重性與影響層面之大。或許大家可以說 AT&T 跟 Apple 本來就不是以 Web 與 Security 著稱，那麼 Google 呢？這家網路原生的網路巨擘，不斷強調其服務的安全性，但是依舊免不了遭受駭客攻擊成功的下場。舉這些例子並不是為了數落這些公司，因為我相信絕大多數的組織並不見得會做的比他們更好。今天發生在 iPad 上面，或許無法改變 iPad 持續熱賣的事實。但是如果類似的事情發生在其他的組織中，會有多少組織能夠全身而退？既然問題如此嚴重，我們又怎能不認真地面對軟體安全/應用程式安全這些議題，並好好擬定對策呢？

俗話說：『黑貓、白貓，只要能抓到老鼠的就是好貓。』在資訊安全領域中，也有一個跟黑白有關的概念，那就是黑名單 (Blacking listing) 與白名單 (White listing)，兩者多使用於存取控制的機制中。

所謂的黑名單，簡單來說就是列出一堆不被允許的事物，除此之外都是被許可的。常見的黑名單應用包含惡意網址過濾、垃圾郵件黑名單 (如 DNSBL)，以及大家很熟悉的防毒軟體。而白名單與黑名單恰恰相反，應該被許可的事物都必須明確地列出，而所有沒有列出的事物都是不被許可的。最常見的白名單應用就是登入系統，所有想要使用系統的人員，都必須擁有合法的帳號與密碼才能放行。

經過這幾年的發展後，內部員工對於資訊安全的威脅與重要性，已經成為大家無所不知的觀念。很多管制措施只要扯上這個議題，都很容易獲得組織高層的買單。當然，這類措施要成功導入有很多非技術性的問題需要克服，但是基本上這些管制措施所面臨的問題已經不是是否有其必要性的進入門檻。以廣泛的角度來，”人”確實是資訊安全最重要卻往往也是最脆弱的一環。但是這裡所謂的”人”，不應該只是 (基層) 員工，而是組織內的所有組成人員。事實上，如果以重要性而言，高階主管 (尤其是所謂董事會與 Executive 層級的長官) 對資訊安全的影響更甚於一般員工。

延續前一篇的話題，既然 Facebook 不是一個要不要的選擇題，而是要如何面對與管理，那麼有甚麼好的建議嗎？ IDC 於今年中發表了一份 white paper ，主題是如何有效的強化使用 Web 2.0 網站 (如 Facebook) 時的安全性。裡面提到十大需要考量的重點：

1. Dynamic Web 2.0 defenses
2. Real-time content classification
3. Employee access
4. Data loss prevention
5. Application control
6. Remote access
7. Unified policy management
8. Comprehensive reporting and logging
9. Performance and scalability
10. The server side of Web 2.0

而資安廠商 McAfee 則提出了七個需求事項：

Facebook 偷菜引發的爭議至今餘波盪漾，今天最新的相關新聞是台北市的學校也開始禁止使用 Facebook ，因而造成部分教師的反彈。新聞標題下的是”學校禁facebook 被罵管太多”，對此我個人相當不以為然。公私部門想要管理 Facebook ，甚至是所有網路使用行為，並不是管太多，甚至是絕對必要的作為。但是片面性的全面禁止，顯示出的是主管單位對於問題的不瞭解，或者該說是不關心。

Facebook^註 對於工作(效率)的影響是好是壞，至今仍有相當的爭議。甚至一些提出數據的研究報告，正反兩方的意見都有。其實這倒也沒甚麼好奇怪的，就是因為有爭議，才會有這麼多不同的研究報告，不是嗎？我在此不想討論 Facebook 究竟是好是壞這種永遠沒有正確答案的議題。我只能說人不是可以線性預測的”工具”，而且現在大部分的工作也不是線性的工作。工作時間長短跟產出的質與量不是正比的關係，而且短期的工作效率跟長期的工作效率也不全然是正比的關係。更重要的是每個人都不同，每個團隊的文化也不同，所以 Facebook 所產生的影響也會不同。

幾個月前我的 T 牌 MP3 撥放器壞了，因為還在保固期內，所以就送回原廠維修。維修完後去拿取的當下，我因為一時無聊，就問了客服人員故障的原因，他回答我說應該是"中毒"了！我聽了之後，還開玩笑的問他 MP3 播放器也會中毒喔？他給了肯定的答覆，還說有些歌曲會造成中毒的現象，不過很好處理，只要重置就可以恢復正常了。與其說是中毒，我倒更認為是因為設計不夠完善，所以造成在播放特定的歌曲時產生了機器的異常。當然，這是我自己心裡的想法，並沒有說出口。

不管說法是甚麼，MP3 播放器會因為撥放特定歌曲而失效是事實，這在以前的世界中是很難想像的。在數位化的世界裡，每種電子設備跟電腦一樣包含了硬體、韌體、軟體等元素，所以電腦會產生的問題，在這些設備身上也有可能發生。好在 MP3 播放器並不是什麼重要的設備，除非你是一天沒有音樂就會活不下去的人，不然對生活不會有任何負面的影響，頂多就是花錢再買一台就好了。更重要的是，失效的 MP3 播放器並不會攻擊你，所以就算你不想處理也沒關係。但是如果今天發生問題的是居家照顧的電子設備(如清潔或保全用的機器人)、甚至是看護病人用的電子設備，這就是人命關天的議題。尤其是功能越多的設備，如果再加上具備遠端連線的能力(透過無線網路、藍芽、紅外線等)，甚至有可能成為有心分子為惡的工具，成為最難防範的內應。從被動的監視/監聽，到主動的攻擊，都是有可能發生的情況。

雲端運算 (Cloud Computing) 一詞延續之前的熱度，持續成為資訊業界一個大家朗朗上口的名詞。而且這樣的知名度，更因為一些新聞的報導，連非資訊人員也開始”了解”雲端運算強大的威力 (潛力)。

雲端運算於資訊安全的議題主要有兩個面向，一個是使用雲端運算所應該注意的安全議題 (請參考我的另外一篇文章 - 你準備好降落傘了嗎？ - 談雲端運算的安全議題)，另外一個議題則是如何利用雲端運算提供更好的安全性產品/服務。最先”炒”熱後者這個話題應屬趨勢科技這家公司，而現在包含賽門鐵克在內的眾多公司也都不斷強調在產品/服務之中導入雲端運算，而且一定還要同時提到是好多年前就已經開始著手進行。

根據 Trusteer 近日公布的一項報告分析顯示，幾乎所有的防毒軟體都無法有效地阻擋 Zbot 這個用來竊取網路銀行帳號/密碼的惡意程式。比較使用最新的防毒軟體與不使用防毒軟體的結果發現只改進了 23% 的阻擋效果。Zbot 利用了 rootkit 的技術來躲過防毒軟體的偵測。Zbot 除了會竊取資料外，也會讓受感染的電腦成為僵屍網路的一員，並且具有自我更新的能力。

而另外一份由 Trend Micro 所發布的研究報告中顯示，大多數的電腦一旦被惡意程式感染後，將會持續一段相當長的時間，其中超過 50% 的電腦在被感染 10 個月後依舊沒能將之移除。其實這也難怪，因為如果使用者已經安裝了最新的防毒軟體，通常就不會去考量系統被入侵的可能性。事實上，真要考量也可能無從下手。對於沒有安裝防毒軟體的電腦而言就更不用說了，被持續感染也只是”順理成章”。

既然是資安的論壇，我們在這系列的最後一篇文章中就來看看資怎麼下手解決複雜的資安問題。我會用一個假想的例子來加以說明。

假設今天有一個抽獎系統，原本的設計是在每次抽獎時會從所有會員中隨機抽出特定數目的會員致贈出豪華獎品。因為每次抽獎的獎品數量、種類都不盡相同，所以順帶提供了一個後台介面讓有權限的人可以設定獎品的數量、種類、以及抽獎的時間。在一次的抽獎結果中，事後卻意外發現頭獎(百萬獎金)的中獎人與該系統的系統管理員竟是一家人，而此系統管理員已於此次抽獎後的隔天無故離職，而得獎者也已經把獎金領走了。進一步的追蹤發現，此系統管理員到職僅約半年的時間，而且之前的工作經驗都在別的地區。

在理想的世界中，我們只要想辦法找出最有效率的解法就天下太平了。但是在現實的環境中，除非問題本身很單純(不一定是簡單)，否則真正”問題”才剛開始。最大的可能性在於，邏輯性的問題變成了非邏輯性的問題，而背後的因素幾乎都跟”人”有關。

舉例來說，如果你是一個工程師，正在解決電腦主機板所造成的當機問題。經過一番努力後，你發現原來是主機板上的音效晶片在播放特定訊號時，會因為處理不當而造成當機。而且你也已經證明是晶片本身設計的問題，而不是主機板設計或相關軟體的問題。更糟的是，這種錯誤沒有辦法經由主機板或軟體的修改加以修正。正常來說，除非修改主機板的功能，否則唯一的(最佳)解法就是換一組晶片。但是很不幸的是此一音效晶片的上游廠商，是公司很重要的夥伴。所以要不要換，能不能換，已經不是單純技術性(邏輯性)的問題，而是政治性(非邏輯性)的問題。相關團體彼此之間的利害關係，成了左右問題解決方案的重要因素。

在前一篇文章中，我們看到解決一個問題的基本做法。但是有一個必須注意的事項就是，通常原因背後還有其發生的原因，或者換個角度說問題後面還有問題(QBQ - Question behind Question)。所以我們必須發現的可能不是一個原因，而是一堆(可參考 Root Cause Analysis)或一連串的原因(可參考 Fault Tree Analysis)。既然如此，我們怎麼知道是不是該往下繼續找出原因背後的原因呢？除非發生問題的事物有明確的邊界，否則這個問題並沒有很明確的分界點，往往得靠自己的直覺加以判斷。不過，基本的準則是至少要把原因分析到你無法掌握或改變的事項。至於解決方法是不是一定要斬草除根呢？我認為倒是不一定，理由後述。

再以程式開發為例。當我們發現交付給客戶的產品 (軟體)有一個程式寫作的錯誤時，除了修改程式外，我們更可以(應該)分析為何這樣的錯誤沒有在交付客戶之前就被發現。所以問題變成了品管的問題，甚至是品質保證、流程管控等議題。這些議題涵蓋範圍之廣，已經足以影響整個工作的流程，而不僅僅是修改程式那麼單純。

在我自己軟體與資安產品開發的工作經驗中，經常需要解決所謂的”問題”。雖然問題種類有各種形式，但是在面對這類問題時通常都有一定的方法可以遵守。很可惜的是，大部分的人都憑著直覺在解決問題，而直覺很多時候其實也並不是那麼直覺。甚至有人說，解決問題是一門藝術。真的是如此嗎？不只在工作上，其實在日常生活中我們也常常需要面對問題、解決問題。一個看似簡單的動作，往往卻存在了很多必須小心應付的陷阱。稍有不慎，輕則問題依舊，重則問題一發不可收拾。

以我個人從事軟體開發的經驗而言，因為軟體是大多數使用者接觸系統的”介面”，所以通常一遇到問題就認為是軟體的問題。更不幸的是，程式設計師通常又是軟體的最直接關係人，所以問題不用考慮就是丟到程式設計師的身上。而此時，程式設計師就必須具備良好的問題分析能力，才能將問題的責任歸屬釐清，甚至是解決問題。此外因為軟體是架構在硬體、作業系統、相關協定(如網路協定)之上，如果對這些底層的技術沒有一定的了解，往往除了啞巴吃黃蓮外，更無法解決問題。

雖然我有好一陣子因為私人的原因沒有更新部落格，但是對於前一陣子熱門的話題之一 – Conficker - 倒也是略有耳聞。相關的報導與分析已經多如過江之鯽，而且其真相到現在也還沒個譜，所以 Conficker 本身並不是我這篇文章的重點。我剛好看到另外一篇報導，內容是有關 RSA 與 IDC 分析師針對這類問題提出來的看法與見解。每個人本來就有自己不同的立場與看法，所以也不是說因為看法不同就提出質疑，我要探討的是文章中提到所謂”治本”這件事。

兩者都試著說明自己的意見才是治本的方法，因為治本感覺比治標好，而且大家通常對於治本也比較不會要求立即性的效果。再加上治本往往給人的感覺也比較有學問，所以不管對廠商或分析師而言都是很重要的一件事。有這麼好康的事情，大家當然是卯足勁證明(說服)自己的方法就是治本之道，只是基本上我認為對使用者而言這是沒有多大意義的事情。理由如下：

近幾年很熱門的一類網站，就是所謂的社群網站。從一般性的MySpace、Facebook，到專業人士使用的LinkedIn，以及現在熱門的微網誌之翹楚 - Twitter，可以說幾乎每個人都聽過，甚至接觸過。網路技術的發達，將工作與私人生活的界線漸漸變得模糊，而這類社群網站正是最新的推手。所以，Facebook上不但有私人的朋友，也有工作上認識的夥伴。所以，在家時可以跟工作的夥伴聯絡感情，在公司的時候也可以順帶培養個人關係。

社群網站不只影響到個人，也影響到了企業本身。企業現在不但知道利用這些公開的社群網站進行業務(這裡的業務泛指所以商業上必須從事的行為)可以事半功倍，也知道可以將這些概念與工具導入企業內部，進一步提升執行業務的效率。在一份針對小型企業的研究報告中指出，超過一半(55%)的受訪者認為社群網站可以幫助他們業務的進行。除了小公司外，電腦界的龍頭 – Dell - 也宣稱他們去年透過 Twitter 取得了超過一百萬美元的收益。

有設計過資訊系統的人都知道，如果該系統的使用者稍具規模，存取控管往往是一個最頭痛的問題。在存取控管的設計中，我們通常會先區分為主體(Subject)與物件(Object)兩個部分。主體通常是指使用系統的”人”，這裡的人可能包含員工、主管、甚至是其它的系統。而物件就是被存取的”東西”，包含資料、檔案、或是系統的功能。而存取控管簡單來說就是決定哪些主體對哪些物件有哪些權限。

存取控管有各種不同的形式，包含Access Control List、Access Control Matrix、Role-based Access Control (RBAC)等…其中RBAC因為將主體區分為不同的角色(Role)，所以不但方便對應到現實組織的架構以管理所需權限，而且因為通常角色的數量遠小於主體，所以管理的複雜度更是大幅縮小。也因此許多系統的存取控管，其實都是使用RBAC的觀念來加以設計。但是我們都知道，現實中的故事都沒有這麼美滿。通常會使用到權限控管的系統，都是稍具使用者規模的系統，而且有更多是從原先不敷使用的系統要升級到新的系統。這種系統有一個很重要的特性，就是規畫的人一定很重視”彈性”。所以就會同時出現

在我之前的文章-Metasploit 初體驗-中，我們看到一個未經更新的系統，多麼容易就遭受到惡意份子的入侵。又在一份由Secunia所發表的報告中，顯示只有不到2%的電腦，是處於”完整”更新的狀態。更新，更新，更新！這個已經喊了多年，而且已經擁有許多自動化機制執行的功能，為什麼還是有這麼多電腦沒有辦法落實呢？

首先，我們必須知道目前的攻擊手法，已經從早期的作業系統，延伸到應用程式本身。當然，目前的趨勢是繼續朝攻擊應用系統的方向衍伸，但是這個部分產生的議題遠不只於更新而已。而目前自動更新機制，大多是作業系統自己的更新。以微軟來說，它可以更新作業系統，也可以更新它銷售的其他程式工具。但是對於電腦內所安裝的非微軟牌軟體，可就沒有任何更新的機制可以加以保護。而對於Linux而言，如果你是透過套件(RPM)的方式加以安裝，可以使用自動更新的方式。而自行下載安裝的程式，同樣無法提供保護。

從去年爆發的經濟風暴，至今依舊看不到底。雖然有少數人樂觀的預測到今年第二或第三季就可以好轉，但是也有人認為需要兩到三年後才會開始復甦。不管未來如何，在可見的這段時日，狀況只會越來越差。越來越多的公司經營困難，而大幅裁員的結果造成更多的社會問題。

但是在這百業蕭條的時日，仍舊有一些所謂逆勢成長的產業，其中一個是補教業。因為大家都擔心失去工作，所以想要利用加強自我的方式提升就業競爭力。那麼對於平常就處於”揀”預算的資安產業呢？連IT預算都大幅刪減了，IS的預算能夠倖免嗎？相當然爾，正反意見都有，有人預測會下降，有人則說會上升。

這幾天一個很夯的新聞，就是號稱國內最大的代管主機服務商戰國策，發生了客戶資料在Google的查詢結果中被一覽無遺(請參見-戰國策爆發客戶資料外洩事件)的個資外洩事件。各式各樣的報導與批評，迅速散布於各大大小小的網站。內容不外乎是發生這類事件太過離譜，戰國策處理的方式不夠積極有效，也沒有負責的態度。另外也有人提到，如果事情發生在某某國家，戰國策會被告到倒閉。而對於受到影響的客戶，一致的說法都是覺得不可思議、沒想到。是的，戰國策有很多需要改進的地方。但是今天我要從一個完全不同的角度去看這個事件，那就是那些直呼不可思議的受害客戶，你想過你有甚麼錯嗎？或者換個溫和的方式，你知道你有哪些該盡的義務沒有盡到嗎？

針對戰國策這家公司，我個人在104人力銀行的網站觀察他們求職的資訊接近一年的時間。人力的需求一直以來都不少，但是實際觀看求才的內容，技術方面的人力都還是IT/網路相關的技能。最近，更轉換成以業務人力需求為主。有關資訊安全人力的需求，根據我的觀察，一直以來都是0。有的話，也是屬於工作內容的一小部分。看看他們對於技術長的需求就可以了解我所說的。

今天在跟多年前的一個主管聊天時，他告訴我一個有關資安的笑話。

他說有一家推廣SaaS (Software as a Service)的公司到一家醫療機構去推銷。大家都知道，醫療院所有很多患者的個人資料，而這些資料都是相當的機密。如果不能善加保護，不但會受到處罰，而且對院所的形象影響很大。而SaaS在安全上的一個問題，就是資料本身如何受到保護。又資料儲存地點對於資料保護的法規可能跟資料擁有者所在地的法規不同，所以使用者要確認的是符不符合自己的(保護)需求，而不單是聽廠商自己的說法。所以這個客戶的承辦人員就回了：「我們的資料都很重要，我怎麼知道資料送到你們那邊會不會發生甚麼事。」姑且不論這個是阻擋廠商繼續糾纏下去的藉口，還是真的有所擔心，我個人覺得並不算過分。但是…奇妙的事情馬上就隨即發生了。就是有一個年輕人，利用旁邊的電腦，並在兩人的見證下，透過隨身碟帶走了一些資料。廠商覺得很不解，就問說那個人是誰，他在做甚麼？結果承辦人員回答得還真妙，他說他也不認識那個人，更別說知道他到底幹了甚麼？

去年在一次的機會中，我看到一家正在推動ISMS(ISO 27001)認證的公司，在會議室的桌上放了一個小立牌。上面寫了一些有關資安的標語，以及其資安的目標。其中一個目標是「每個員工每年至少接受30小時的資安相關訓練」(時間我忘記了，不過那不是重點)。看到這句，我當下的反應是笑了出來，這家公司找的顧問是不是太混了點。

首先，這句話應該是評量的指標，而不是目標。目標指的是你的目的，但是我實在不知道哪一家公司的目的會是讓員工受訓。所有公司進行員工訓練，就算不是希望透過加強本質技能以有效進行工作上的任務，至少也是滿足遠足員工追求成長的心態。如果真是為了受訓而受訓，那公司倒不如把錢拿去丟在許願池還可以許不少願望。