安全性

每個 IT 組織必須擁有的 4 項安全性技術

Matt Clapham and Todd Thompson

摘要:

• 風險管理儀表板
• 防惡意程式
• 網路異常偵測

談到 IT 安全性，大部分企業幾乎都面臨相同的問題。Microsoft 也不例外。我們有兩年時間待在

Microsoft® Managed Solutions (MMS) 的風險管理與規範團隊 (如需有關 MMS 的詳細資訊，請參閱 Microsoft 為 Energizer 的 IT 部門充電)。

風險管理與規範團隊負責定義、監視和修正所有 MMS 環境的風險狀況 (包括要面對客戶的服務項目和基礎結構協調)。很早我們的主管 Arjuna Shunn 認為我們需要技術解決方案，以提供所需控制項，並透過集中且一致的方式進行監控。在此討論的技術是我們早年想法的直接結果，加上在作業中使用各種 Microsoft 和協力廠商產品的兩年經驗。

首先，我們需要的安全性技術涵蓋三大控制類型：預防、偵測和修正，並會提供稽核和報告。我們將這些工具分成四大類：風險管理儀表板、防惡意程式、網路異常偵測和目標建構管理。我們嘗試在風險管理作業中至少納入每個類型的一個代表。我們發現，藉由運用這四個領域的技術，IT 安全性團隊可在成本和有效性之間達成合理的平衡。

有兩項主要風險管理作業從這個方法受益良多：安全性事件回應和規範管理，但在達成工具協調方面，我們仍有一段長路要走。一套協調一致的技術集合可以對作業效率貢獻良多，但可惜業界還沒有這種整合系統。

所幸，對於 IT 安全性團隊，這不等於完蛋，遲早這四個系統會開始合作並相互操作，以達成更大的作用。一旦這些系統共同合作，它們不僅能主動監視系統安全性狀況，在稽核或其他例行 IT 作業中還可派上用場。本文將描述每個系統的理想功能，穿插一些執行階段使用的範例。

風險管理儀表板

依我們之見，風險管理儀表板 (RMD) 絕對是必要的。它是 IT 安全性團隊作業中一個最重要的技術。企業中的機密性、完整性、可用性和責任性 (CIA2) 風險通常由不同系統和程序所監視，並沒有一個用於資料彙總、相互關聯和風險修復的整合介面。此外，法規需求也使得企業資料透明化的難度逐漸增加，目前也沒有精簡的系統可立即追蹤從建立到企業執行的原則。我們可以從資料擷取、相互關聯、評估、修復和符合規範等企業共同的難題上，得到佐證 ([圖 1] 所示的 System Center Operations Manager 2007，雖然還不足以成為前述的 RMD 解決方案，但確實提供了單一介面可監視多個資源並收集相關警訊)。

[圖 1]** System Center Operations Manager 2007 提供檢視警訊和管理網路資源的單一介面 **(按影像可放大)

由於無法從不同來源彙總和正規化資料，資料擷取會受阻。資料彙總本身具挑戰性，因為它必須突破普遍的筒倉式資訊儲存 (Siloed) 方法來收集和報告資料。即使完成了資料彙總，正規化更具挑戰，因為建立支援資料正規化所需的通用架構極為困難。沒有正規化，就不可能以有意義的方式比較來自不同系統的安全性和狀態事件。

若要執行必要的自動化，風險管理儀表板必須能存取本文所述安全性技術之外來源的資料摘要。很多非安全性資料可用於判斷整體風險狀況。像是路由器記錄、資產追蹤、修補狀態、目前登入使用者、效能報告和變更管理資料等資訊，都會為事件調查員提供相關資訊。因此，整體系統必須能夠存取上述所有資料。我們知道，即使幾乎以 Microsoft 產品為中心的企業基礎結構都包含非 Microsoft 技術，因此 RMD 必須透過特定通用介面接受來自非 Microsoft 技術的資料摘要。

如果可擷取和正規化資料，下一步是相互關聯。目標是將一連串事件 (例如網路異常事件、防毒報告事件和目標建構變化事件) 相互關聯為一項可執行動作的風險相關資料。這需要密集的人力，以便建立相互關聯邏輯，來產生有意義、以風險為基礎的警訊。根據目前可用技術，這項相互關聯邏輯可能是難以達成的。

評估資料也需要密集的人力。在發生相互關聯時，分析師必須檢視相關聯的資料，決定其效力。相關聯資料的效力只與其依據規則之效力一樣強。因此，相關聯資料的分析也需要人力，以評估 IT 環境風險。明確、編碼化的風險管理架構有助於達成分級，並可降低所需的人力介入。如果沒有這個架構，在實作中將難以開發一組實用的相互關聯規則。

假設系統已達成評估風險，下一步是自動化修復。目前，這只在企業中使用，而且只有少數技術，例如修補管理或防毒。由 RMD 系統前導的自動化修復會提供 IT 管理員絕佳的能力，將 IT 風險維持在可接受的程度。同時識別多個風險時，相互關聯邏輯應該能根據資產分類資料來排列事件回應的優先順序。

最後，提供符合各種法規需求之證明，對 IT 部門也是大挑戰，如先前提及的，此系統應該支援此功能。結合原則的集中式風險管理系統，會成為產生報告和符合規範之證明的絕佳資產。但原則必須不僅是有關位置和原因。為促進自動化修復，原則必須轉換成儀表板可監視、強制執行和提供回應的一組標準。

因此，我們可以總結如下：理想的風險管理儀表板應該為企業狀態評估、規範和原則的符合度以及風險管理流程提供一致的介面。這是藉由將不同安全性產品、狀態相關產品和來源的資訊組合成一個協調一致的顯示方式來達成的。良好的 RMD 解決方案必須執行下列動作：

• 從不同來源彙總、正規化和相互關聯資料
• 提供自動化資訊收集和風險評估
• 將法規需求對應至原則，並且支援稽核和報告
• 提供統一、可修改以符合企業需要的架構

儀表板應該能以有意義的方式整理和顯示資料，例如依類型或來源系統依序顯示重大事件、擱置事件、已解決事件等等。它也應該讓您切入每個報告項目，以取得詳細資料。檢視事件時，使用者應該能輕鬆存取所有相關資料。這會改善並加速決策過程。

我們要指出，RMD 對安全性團隊之外的管理員也有幫助。因為儀表板涵蓋整體環境的檢視，所以 RMD 可做為所有員工檢視目前狀態的中心點。例如，儀表板可提示訊息團隊，在 SMTP 閘道發生拒絕服務攻擊。對風險管理團隊而言，這是安全性事件，但訊息團隊會將它視為可用性事件。雖然訊息團隊可能不必負責解決這種事件，但他們至少會想要知道類似事件對該團隊所管理資產的影響。

防惡意程式技術

完善的防惡意程式系統可保護基礎結構，避免隱藏在程式碼和使用者動作中的非預期威脅。目前，有兩大類型的工具可防禦惡意程式：防毒軟體和防間諜軟體 (例如，如 [圖 2] 所示的 Windows® Defender 落在第二類)。這兩種工具都會有效防止、偵測和修正不同類型的感染。不過，這兩種類型的保護遲早會整合為一個解決方案，系統上將會只有一個防惡意程式堆疊。

[圖 2]** Windows Defender 有助於保護用戶端，預防間諜軟體入侵 **(按影像可放大)

縝密的防惡意程式解決方案必須即時監視並定期掃描。它應該根據一般風險行為，以集中方式報告已知惡意程式 (包括病毒、間諜軟體和 Rootkit) 和未知的惡意程式。健全的防惡意程式技術會透過與 OS 和應用程式的緊密整合，監控所有典型的進入點 (包括檔案系統、登錄、殼層、瀏覽器、電子郵件和連接的應用程式)。

此外，防惡意程式解決方案不僅要涵蓋主機安全性，它還需要監控受感染檔案經常通過的一般訊息和協同作業服務，例如 SharePoint® 和即時訊息。它也必須提供自動化預防，藉由停止作業 (已知的和可疑的)，並且仔細掃描使用者資料，以移除隱藏在使用者文件、尚未傳染給系統的巨集病毒之類的東西。

沒有保持更新的防惡意程式當然是無用的。系統必須更新病毒碼和移除系統，以保持搶先最新威脅一步。如果出現新威脅，廠商應該在下一個零時差威脅發作之前設定其他適當保護措施。容易管理的防惡意程式解決方案應該也是可集中設定和更新的。

當然，這種保護不能犧牲效能。如果犧牲效能，生產力也會受害。使用者甚至可能嘗試停用防惡意程式解決方案，導致毫無保護。

最後，不要忽視輔助技術在協助防惡意程式系統的重要性。防火牆、限制使用者權限和其他策略都會加強保護，免於惡意程式碼和使用者動作的入侵。

網路異常偵測

防惡意程式會注意系統，網路異常偵測 (NAD) 則會監視一般路徑，監控可疑行為的已知指標，並會向 RMD 報告此資訊以進行修復 (例如，如 [圖 3] 所示的防火牆即屬於此類別)。可疑行為可能是透過電子郵件傳送的已知攻擊流量 (例如蠕蟲或拒絕服務攻擊) 或是符合特定模式的資料 (例如美國社會福利編號)。

[圖 3]** 防火牆是網路異常偵測解決方案的重要部分 **(按影像可放大)

儘管 IT 管理單位已盡力而為，任何大型企業網路仍難免遇到偶發的惡意程式事件。NAD 可以提供初期警告系統，有助於加速修復。而且，NAD 資料監視功能，以及識別和停止機密資訊外洩的能力，對於關心資料外洩和法規符合的環境，是保護資訊的有用工具。

如同反惡意程式技術，NAD 也必須經常根據最新威脅和機密資料類型進行更新，否則價值會大為降低。此外，良好的 NAD 系統應該瞭解哪些情形才是屬於實際異常，以將誤報數目降至最低。否則，管理員可能認為每個 NAD 報告都是誤報，開始忽略報告。

在微調或訓練之後，NAD 系統應該知道並監視一般流量使用模式。這點很重要，因為新類型的惡意程式和其他攻擊可能會變更使用模式而暴露自身。網路設備在整體 NAD 系統中扮演重要角色，因為解決方案必須處理來自路由器、交換機和防火牆的資料。接著 NAD 警訊會由 RMD 的相互關聯引擎處理。

一個有趣的可能性是將網路異常偵測器建置在主機的防惡意程式軟體或防火牆，形成一個保護網，使範圍內的電腦都會協助監視，並可能會在攻擊散佈之前停止攻擊。

目標建構管理

在大型企業中，IT 部門面對的最大挑戰之一是保持系統適當設定。有很多動機想要維護系統設定，包括容易管理、簡化延展性、確保符合規範、鎖定各種形式的入侵、提高生產力等等。許多原因都是安全性的重要因素。

由於複雜性和開創成本，目標建構管理在大部分企業中多為未開發的領域。但研究顯示，長期來看，維護系統可節省成本並改善可靠性。目標建構監控 (DCM) 解決方案會有幫助。

良好的 DCM 系統應該自動掃描網路，確定新系統適當部署，並驗證已建立的系統保持符合規範。不論是確保最新修補程式已部署，還是減少具有網域權限的使用者數目，完整的 DCM 解決方案必須設定系統、分析系統，並且報告每個設定與理想的接近程度。修正可以是很簡單的動作 (例如修補網路上已部署的新系統) 也可以是強制的 (例如為使用者強制執行電子郵件用戶端設定)。關鍵是將它們與組織的原則和法規立場相結合 (DCM 也有助於識別惡意程式的感染並加以移除，因為從掃描結果即可直接辨識出簡單的惡意程式)。

DCM 是 RMD 相互關聯引擎的主要資料報告器之一，而且會提供有關主機偏離正常值的程度。資料即時性可區別零到五等級警報安全性事件，根據資產的價值決定掃描的頻率，例如低安全性資產可以每月掃描一次、中度安全性資產每週掃描一次，高安全性資產至少每天檢查一次。

DCM 設定也是良好網路存取保護 (NAP) 機制的一部分。如此，系統會驗證所有連接的系統是否都已適當設定，並會在新的、未知系統通過驗證前先加以封鎖。此外，DCM 應該檢查設定漏洞 (例如，某共用項目上不夠紥實的存取控制清單)，讓管理員採取適當動作。

請不要認為 DCM 只適合套用於用戶端或伺服器等主機。網路裝置和核心目錄本身也適合加入 DCM。如果有熟知的網路設計，理想的 DCM 系統要執行相關裝置標準，應該是微不足道。想像可能性！DCM 可以控制實作，而不需要手動調整路由器設定。或者，假設一組標準群組原則設定與一組特定伺服器或用戶端相關聯。DCM 應該監視它們，並在網域設定變更時傳送警訊。

DCM 收集的資料應該夠健全，可用於 IT 稽核。良好的 DCM 也應該成為變更管理和法規符合性控制的一部分，以便即時、近乎不間斷地處理稽核問題。例如，我們例行的控制檢查工作之一，就是驗證 MMS 伺服器上的本機系統管理員成員資格有無變更。強制執行此規則正是 DCM 的設計目的！

即使 IT 部門尚未準備好部署自我修正的 DCM 系統，仍然可以部署另一種型式的目標建構監控，從而得到不錯的結果。它也會提供有關設定問題的報告和警訊，但未必達成相同的規模經濟，因為修復多為手動的。不過，重要的是，RMD 需要的通知和資料將可用於相互關聯。

不過，有一點要請您注意：DCM (不論是先前描述的任一形式) 必須符合最小的重要設定項目範圍，加上標準資產收集資料。否則，可能會影響 IT 團隊需要的彈性。如果 DCM 設定手冊過時，DCM 很快便會被視為作業負擔，而非有用的工具。因此，隨時瞭解如何最佳設定資產的最新想法很重要。此外，我們也建議 DCM 系統根據相關資產或應用程式最佳作法，將設定手冊的更新定期納入。

結論

不論您在公司內部建立或向知名廠商購買，儀表板是很重要的，它可以擔任團隊中用於事件回應的主要工具。防惡意程式也是重要的，有助於防止每日倍增的威脅。網路異常偵測正在變化之際，從單單只是偵測惡意程式的簽章和主機入侵前進到探查資料外洩，而後者有助於預防新的網路漏洞再次成為頭條新聞。目標建構管理雖然還很新，但不久將會成為監控和維護設定的支柱。不論由誰提供這些工具，這四種類型的工具，您應該至少各有一個！

根據我們目前所見，沒有廠商 (包括 Microsoft) 提供一個會處理全部四個領域的全面解決方案。如何選擇適合您特定需求的產品，由您作主。我們只希望本文提供的見解能幫助您思考目標並瞭解理想的解決方案應具備的功能。

Matt Clapham是 Microsoft IT 部門基礎結構和安全性群組的安全性工程師。之前，他曾在 Microsoft Managed Solutions 風險管理與規範團隊工作兩年。

Todd Thompson是 Microsoft IT 部門基礎結構和安全性群組的安全性工程師。之前，他曾在 Microsoft Managed Solutions 風險管理與規範團隊工作兩年。

© 2008 Microsoft Corporation and CMP Media, LLC. 保留所有權利；未經允許，嚴禁部分或全部複製.