就是資安

資料外洩的議題持續成為資訊安全的熱門話題，不但 DLP 相關產品獲得許多的關注，連資料外洩所造成的事件也同樣吸引媒體的報導。以現在企業資訊化的程度，很多資料都是以數位的形式散落於資訊系統的各處。在這些地方中，資料庫 (尤其是關聯資料庫，如 MSSQL) 內所存放的數位資料可能最為大宗，也最容易成為有心分子覬覦的目標。 Imperva 的安全策略長 Brian Contos 發表了一份文章，標題為”Top-10 guide for protecting sensitive data from malicious insiders”。不管標題為合，以 Imperva 的背景來看，所描述的內容自然與該公司的產品 (Database Firewall、Database Activity Monitoring) 有關。所以我們可以將這份內容所講的要項當作是闡述資料庫稽核的重要性，以及如何選擇一個合適的工具。也因此，如果你需要導入資料庫安全的相關產品，這些要項應該可以提供你一些參考的方向。 你必須先了解資料才有辦法保護它 (To secure it you have to know about It)
也就是說必須先知道資料在哪邊，並做好資料分類的動作。 不要相信內建的資料庫工具 (Don’t trust native database tools)
當資料庫遭受攻擊時，資料庫內建的工具也可能同時被成功地加以攻擊，因此需要一個獨立運作的工具以確保資料庫使用紀錄的安全性。 監視合法的使用者以及特權使用者 (Monitoring the good and the privileged)
除了非法的使用者外 (不管是內部或外部)，內部合法的使用者同樣會造成資料庫的危害。尤其在一個正常規劃的架構下，資料庫幾乎都是經由內部合法的使用者加以存取，因此監測的角度必須據此加以思考。此外，特權使用者因為擁有更大的權限，因此其使用記錄必須特別注意。 分析不再只是 FBI 的工作 (Profiling isn’t just for the FBI any more) 你不能逮捕一個 IP 位址 (You can’t arrest an IP address)
各式各樣的資料庫與應用系統擁有不同格式的使用紀錄，必須擁有透過這些紀錄追蹤使用者連線 (Session) 的能力，才能確保事件發生時找到其源頭。 以人為導向的自動分析能力 (Augmenting machine-based analytics with human intuition)
組織內不同角色的人員會從不同角度切入資料庫安全的議題，所以必須具備自動且多樣性的分析能力。 利用稽核紀錄了解犯罪現場的情形 (Forensic crime scene investigation through audit logs)
透過分析的結果讓使用者可以快速了解：發生了甚麼事、事件發生的時間點與持續的時間、甚麼人可能參與了此一事件等重要議題。 機密的資料存放於資料庫內 (Sensitive data resides in databases)
使用 Database Firewall (DBFW) 與 Database Activity Monitoring (DAM) 之類的工具來保護資料庫內重要的數位資產。 使用者透過 Web 應用程式來存取資料庫 (Users get to databases through web applications)
因為使用者大多透過應用程式 (尤其是現今主流的 Web 應用程式) 來存取資料庫內的資料，因此如何確保 Web 應用程式的安全對資料庫本身的安全來說是一個很重要的工作。Web Application Firewall (WAF) 是一個不錯的起點。 大海撈針 (Needles hiding in stacks of needles)
因為現今資訊系統的複雜度很高，所以如果沒有一個完整且全面的防禦機制並搭配上合適的工具，想要有效解決地問題將有如大海撈針般的困難。

三位在密西根大學的學生於日前發表了一份有關破解 RSA 私鑰的論文，在論文中他們採用錯誤為主 (Fault-based) 的攻擊手法，以運行於 FPGA 上的 Linux 系統在 100 個小時之內成功地破解了 1024-bit 的 RSA 私鑰。Fault-based 的攻擊手法簡單來說就是想辦法讓攻擊目標產生錯誤，進而由攻擊目標的行為或輸出結果來找到隱含的秘密。在這次的攻擊手法中，三位學生利用改變系統電壓的方法，造成處理器運算錯誤而產生錯誤的結果。在收集到足夠的錯誤資料後，就可以利用這些資料進行破解私鑰的攻擊。1024-bit 的 RSA 依舊是目前 SSL 常使用的金鑰長度，不過還好這種攻擊手法需要先能夠取得實體環境的控制能力才行。除了硬體式的攻擊手法外，Fault-based 的攻擊方式也可以是軟體式的，亦即不需要取得實體環境的控制就可以進行攻擊。除此之外，許多攻擊手法也都會利用到 Fault-based 的觀念，想辦法讓系統產生錯誤並加以觀察，以找到可能有效的破壞管道。例如在登入頁面輸入一些特殊字元到使用者的帳號欄位中，觀察系統是否會產生錯誤以及相關的錯誤訊息，以便猜測系統是否存有 SQL Injection 之類的安全漏洞。所以如何做好 Fault Protection，不單只是產品穩定性的議題，同時也是安全性的議題。   相關連結： 1024-bit RSA encryption cracked by carefully starving CPU of electricity Fault-Based Attack of RSA Authentication

根據一份由 Absolute Software 與 Ponemon Institute LLC 在前一陣子所發表的研究報告中顯示，人依舊是筆記型電腦安全的最大危害來源。儘管各式各樣的資安新聞事件已經讓越來越多的人注意到筆記型電腦對於資料外洩所產生的重大危害，甚至也導入了一些防範措施 (如加密技術)，但是問題依舊存在，很多安全的使用規範並沒有被確實地加以了解或是遵守。 在這份長達 24 頁的報告中，提出了下列幾項主要的發現： 高達 95% 的 IT 人員表示在他們的組織中曾經發生過筆記型電腦遺失或遭竊的事情，因而造成資料外洩的比例則為 72%。僅有  44% 的 IT 人員可以確認這些筆記型電腦有使用加密機制保護其中的資料。由這些數字交互比較後可以發現，即使經過加密技術的保護，依舊會導致資料外洩的資安事件發生。 33 % 的 IT 人員相信加密技術就可以完全保護筆記型電腦中的資料，而不再需要其他的防護措施。針對業務經理而言，有這樣錯誤認知的比例更高達 58%。有時候對於一個工具過分的加以信賴，反而會帶來更大的危害。 針對業務經理而言，有 36% 的人仍舊對於加解密的密碼沒有做好足夠的保護措施。像是把密碼寫在便利貼或是與其他人分享密碼，都使得加密技術的保護作用大大地減低。IT 人員在這方便的表現，明顯優於業務經理們。由此可見很多基本的資訊安全概念 (例如如何保護密碼)，不但不可或缺，其重要性更不會因為採用新技術而降低。 60% 的業務經理表示他們關閉了筆記型電腦的加密功能，其中 48% 更明白表示這樣作已經違反了組織的安全政策。顯見政策的規劃一定需要搭配適當的資訊安全教育訓練與查核機制，方能確保政策的有效落實。 高達  55% 的業務經理在外使用筆記型電腦時，會將筆記型電腦留在陌生人附近而離開至其他地方。

Veracode 將它們在近來一年半內所掃描過的程式結果進行分析，於本月初 (2010 年 3 月) 發表了一份報告，標題是 “State of Software Security Report: Volume I”。報告中有下列幾項重要的發現： 大多數的軟體是不安全的。
以 Veracode 自行建立的測試方法而言，有 58% 的軟體是不安全的。如果採用 OWASP Top 10 (2007) 或是 CWE/SANS Top 25 Most Dangerous Programming Errors (2009) 的方式加以檢測，內部開發的系統有高達 88% 的比例無法通過測試。如何建立一個有效的安全軟體開發流程是刻不容緩的任務。 企業軟體架構中採用為數眾多的第三方軟體，而應用程式則使用了許多的第三方元件。
不管是哪種形式的架構或軟體，第三方軟體/元件都佔有相當的比例。因此在評估上必須注意到這些第三方軟體/元件本身的安全性，以及如何與之進行安全的整合。 開放源碼在安全性方面並沒有與其他類型的軟體有太大的差距，但是在修正時間與 (疑似) 後門程式數量上的表現優於商業軟體或是委外開發的軟體。
開放源碼在修正問題上擁有最快速的反應，而商業軟體則需花費最長的時間來修正問題，這個現象應該與商業軟體公司的生態環境較為複雜有關。因為開發源碼的程式碼為可公開取得的資料，所以在疑似後門程式的數量上同樣擁有最好的表現。不過不管是那一種類型的軟體，最好在導入前都能夠進行相關的評估，尤其是針對一些重要的系統，評估動作更是不可省略。 使用 C/C++ 程式語言所開發的軟體依舊佔有相當的比例，而這些軟體所含有的漏洞很容易被攻擊者利用以取得系統的控制權。
C/C++ 是商業軟體中最常見的開發用程式語言，且在樣本中有高達 42% 的 C/C++ 應用程式含有可以引發遠端程式執行 (remote code execution) 的漏洞。對於內部開發的系統而言，C/C++ 程式語言所佔的比例則低了許多。 很多顯而易見且容易修正的錯誤充斥於各個軟體之間，由此可見開發人員欠缺有關如何進行安全程式設計的教育訓練。
包含 Cross-site Scripting (XSS)、SQL Injection  這類存在已久的安全議題，依舊是軟體中最常見的安全性錯誤。目前已經有一些工具可供使用，以減少程式受到這些類型問題的影響。由分析結果可見開發人員對於此類問題與防範方法的認知誠屬不足，應該予以加強。 金融與政府部門的軟體相較於其他產業的軟體而言較為安全。
這兩個產業的軟體雖然同樣還有很多必須加以改進的地方，但是也有不少可供其他產業參考的做法。 在受評估的軟體類型中，委外開發軟體所佔的比例最低，顯見合約通常欠缺有關安全需求的接受標準。
雖然委外開發軟體的比例越來越高，但是在送檢軟體中所佔的比例卻相當低 (2%)。除了委外開發的軟體外，很多自行開發的系統/軟體也包含了這些委外開發的程式碼，因此其影響層面是全面的。針對這類軟體，將安全性需求與驗收標準明載於合約之中是一項很重要的工作。

根據 Sophos 於日前發表的 2010 安全威脅報告 中指出， 除了有越來越多的惡意程式被發現外，發展中國家連網電腦數量的劇增，更讓駭客有了更多的攻擊目標。這些地區的電腦，或許性能不好，而且內部也沒有多少重要的資料，但是因為安全防護能力相對較差，所以是成為殭屍網路一員的極佳目標。 而社交網站的崛起，迅速成為使用者遭受攻擊的主要管道之一。而原本企業採用的封鎖政策，也因為業務遂行的需要，已經被迫必須採用更細微的控制方法。事實上，很多企業都已經採用部落格、社交網站來推行業務，所以社交網站的安全已經是一個不得不面對的議題。這個議題其實是多面向的，包含如何管理內部使用者的使用情形、如何避免成為資料外洩的管道、如何避免成為惡意程式入侵內部使用者的管道等課題，再再挑戰著企業的安全狀態。 另外一個熱門的話題，則是有關雲端運算的趨勢。報告中認為雲端運算的大量運用，將會讓資料外洩的問題更加嚴重，不但發生的頻率可能變高，其所危害的資料量也將更為龐大。而攻擊目的的趨勢則是已經從商業利益延伸到政治、經濟、甚至是軍事的層級。也就是除了 Cybercrime、 Cyberterror之外，Cyberwar 亦是不遠矣。這些安全的問題，都需要政府單位統一統籌才能有效加以防範。而除了政府之外，所有系統的開發商也都負有相當程度的責任。畢竟這些廠商才是真正執行的單位，有再好的法規與基礎措施，依舊需要能夠真正落實才能發揮作用。 完整的報告可以在相關連結加以下載。

布魯斯威利在 終極警探 4.0 裡，又不小心遇上了恐怖分子。這次恐怖分子攻擊的目標是發電廠，一旦攻擊成功後不但會造成大停電，更會造成人民的恐慌。在經過一番追查與巧合後，老布發現恐怖分子的真正目標不是配電場，而是美國的財政資料。相當然爾，老布絕對不會讓壞人好過，在一番激烈戰鬥後老布再次拯救了世界 (美國)。 真要命，通訊網路被中斷。 有影嘸？基本上兩者的頻率完全不同，不過看電影不用這麼計較。  應該不會毀了全世界，頂多毀了美國。但是這確實是恐怖行動。

WHID 針對 2009 年上半年發表了一份研究報告，在報告中顯示網頁置換  (Defacements) 依舊是網站攻擊事件中最常見的損失 (28%)，其次才是機密資料的洩漏 (26%)。 而在攻擊者所使用的手法中，SQL Injection 依舊是主要的攻擊手法 (19%)，其他像是不夠充分的驗證、內容假造、Brute Force等手法，也常被用來作為攻擊的方法。在攻擊手法中，需要特別注意的是有 11% 表示並不知情，一個原因在於組織對於網站的監控/稽核制度的不足，另外一個可能的原因則在於組織不願意將這樣的資訊加以公開。 至於受攻擊的目標，社交/Web 2.0 類型的網站為主要對象 (19%)。其他依序為媒體 (16%)、零售業 (12%)、科技 (12%)，網際網路 (12%)、政府 (12%)等。 這份報告是根據 WHID 在 2009 年上半年所收集的 44 個攻擊事件所產生，或許不能代表所有的攻擊事件，但是依舊具有一定的參考價值。  

資安圈有一句很有名的話，那就是「方便與安全不可能同時滿足」。在政府法規方面，有另外一句話很有名的話，那就是「自由與安全不可能同時滿足」。電影 全民公敵 嘗試探討政府監督人民日常生活作息的嚴肅議題，著實是一部經典的好片。而 獵殺代理人 這部影片，主要內容是描述未來的科學家研發出代理機器人的機制，使得人類因為過於依賴代理人，而忘了身為人類的感覺。雖是完全不同的話題，但是同樣發人省思。 在片中政府部門對於這些滿街跑的代理機器人，當然不可能放任不管，所以在每個代理人中埋下了一個沒有人知道的功能，那就是可以遠端切斷控制者與代理人的連結。為了繼續銷售產品，廠商自然也得配合這樣的法規要求。這種機制的存在，一旦被有心分子濫用之後，結果可想而知。在電影的結局中，因為病毒感染了這個系統，所以所有代理人在一瞬間被中斷連結、停止運作。 可以遠端監視所有代理人的活動。

經過這幾年的發展後，內部員工對於資訊安全的威脅與重要性，已經成為大家無所不知的觀念。很多管制措施只要扯上這個議題，都很容易獲得組織高層的買單。當然，這類措施要成功導入有很多非技術性的問題需要克服，但是基本上這些管制措施所面臨的問題已經不是是否有其必要性的進入門檻。以廣泛的角度來，”人”確實是資訊安全最重要卻往往也是最脆弱的一環。但是這裡所謂的”人”，不應該只是 (基層) 員工，而是組織內的所有組成人員。事實上，如果以重要性而言，高階主管 (尤其是所謂董事會與 Executive 層級的長官) 對資訊安全的影響更甚於一般員工。 這句話包含兩個基本的層面。以積極面來說，所有資訊安全措施的實施都需要組織所提供的資源。資源包含人員與預算等有形的事物，以及組織制度與文化支持等無形的事物。有形資源與無形資源之間或許互有關聯，但是如果連無形的資源都不願提供，直接將資安問題推託給組織預算不足，可真得是很不負責任的說法。在實務上錢少有少的作法，只要保持正確的觀念與心態，一樣可以獲得適當的保護。反之，如果只想砸錢了事，那麼想要真正增進資訊安全就跟緣木求魚沒甚麼兩樣。不管是有形或無形的資源，說到頭來都需要組織的高階長官支持才有可能實現。所以說，高階長官才是組織資訊安全成敗最重要的因素。事實上，如果高階長官對於資訊安全沒有展現出足夠的支持，當遇到資安事件時將無法免除法律上的責任。另外一個消極面則是當組織開始執行措施時，高階長官如果不願意遵守這些規範而要求例外處理，那麼這些高階主管就造成了機制的漏洞。再加上高階主管所經手的重要與機密資料較多，一旦發生問題時所產生的危害自然也大於一般員工。所以高階長官的支持不但在於口頭上，更在於行動上。高階長官確實遵守公司的資訊安全政策，不但能夠免除資訊安全管理上的困擾與漏洞，更能達到帶領員工一同遵守的目的。

孤兒怨 這部電影講的是一對夫妻領養了一位小女孩，這位原本看似完美的小女孩卻在進入主角們的家庭後，漸漸的露出了真面目。小女孩不但個性暴戾，骨子裡更是個殺人不眨眼的女魔頭。 良好的氣質，當然是裝的。 彬彬有禮，當然也是裝的。 幹壞事 (殺人) 絕對是真的。 一般家庭要領養小孩的比例或許不是那麼高，但是在組織運作的過程中，卻一定都需要從外面引進人才。如何才能避免踩到地雷，成為下一個犧牲者呢？答案就是所謂的背景調查。背景調查的歷史相當悠久，絕對不只是侷限於資訊安全的領域。背景調查不但是公司用來確認員工背景資料的手法，同時也是有心分子用來研究目標的手法 (如之前描述過的社交工程攻擊)。手法本身沒有善惡之分，端看使用者的心態來決定。