不用左右為難:法規遵循和安全性更新

發佈日期: 2006 年 6 月 12 日


作者:Christopher Budd (Microsoft Corporation 安全性計畫經理)

「我需要部署安全性更新 MS06-001 來保護系統,但這樣做會讓我們的 HIPAA 相容設定無效。我應該要怎麼做?」

上面這段引文是我最近幾年經常從客戶那邊聽到的其中一個疑問。而這代表許多系統管理員發現他們面臨既需要遵循法規,又需要安裝安全性更新來保護其系統的兩難狀況。

本頁內容

背景
查看目前狀況
結論

背景

1996 年通過了健康保險可攜性與責任性法案 (HIPAA),而 2002 年又通過了沙氏法案 (SOX)。雖然還有其他許多適用於美國及其境內的資訊技術 (IT) 管理作法法規,但這兩個法案所造成的影響最大。新的法規是在過去幾年才開始對 IT 世界的每日作業有實際的影響。當法規逐漸從抽象概念轉化成對實際作業的具體循規要求時,我們會發現法規正在對某個領域造成無法預期且負面的影響,這個領域就是安全性更新的範圍。

這些法規的許多原則與目的都是正向的;在過去,它們通常會強制不願意照做的組織採用業界最佳作法。某些情況下,法規遵循的需求順利協助網路管理員達成商務案例,製造出實作最佳作法所需之工具和資源,而這是之前無法做到的。因此,SOX 與 HIPAA 對於設定管理和變更控制等作法而言,一直是強大的驅動者。

在安全性部分,許多人應該都會同意下列這些明顯的優點:保護環境安全的能力與您對環境的管理和控制程度有直接的關聯。然而,在法規遵循愈顯重要且普遍的這段期間,另一個同樣會影響 IT 管理的變更也一直在進行。過去幾年來,電腦安全性威脅環境已逐步形成而且變化地十分快速。有一些不尋常的狀況是 (例如,2005 年的 Zotob 攻擊),安全性更新才發行幾天後就出現了主動攻擊。如果組織想要有效降低這個變化劇烈之威脅環境所造成的風險,就必須能夠十分快速地將安全性更新部署至自己的系統。

查看目前狀況

一般而言,法規遵循強制產業採用的最佳作法類型就是協助組織保護自己免於現有和潛在威脅的作法。強大的管理控制與設定管理 (例如 NIST Special Publication Series 800 和 ISO 17799 中建議的項目) 可以快速變更和更新生產系統的作業設定。一般人可能會期望組織只要已實作支援 HIPAA、SOX 或其他法規的作法,就可以透過即時套用安全性更新有力地對抗此威脅環境。但不幸地是,現在這不一定適用。

我們愈來愈常看到在許多組織的環境中,法規遵循不但沒有協助即時套用安全性更新,反而一直積極地妨礙安全性更新的套用,更遑論即時套用。系統管理員漸漸會發現他們處於兩難的狀況 (要讓系統維持在容易受到攻擊的狀態,或是變更系統但對法規遵循產生負面影響)。

在大部分情況下,問題的根本原因在於組織選擇實作法規遵循的方式。具體地說,部分組織已實作設定管理和變更控制系統,而這些系統只符合法規遵循的需求,但未考慮到持續系統維護需求。因此,在設定管理和變更控制系統目標只著重在單一一套需求的環境中,變更的彈性就十分地小。從法規遵循的觀點來看,系統的變更會增加成本並造成額外負荷。在許多情況下,這些為了支援法規遵循所開發的原則與程序其實是由未實際參與管理作業工作 (例如套用安全性更新) 的人員來制定,而這項事實使得此問題更加嚴重。最後,法規遵循的大部分文獻和資訊,都無法闡明維持更新環境的彈性來對抗安全性威脅的重要性。例如,NIST Special Publication 800-66<實作健康保險可攜性與責任性法案 (HIPAA) 安全性規則的介紹性資源指南>是個對 HIPAA 法規遵循有益的指南,它僅僅製作一個附帶的安全性更新參考。

雖然這點看似不重要,但持續安全性維護的需求最終會支援而不是防礙法規遵循。因系統沒有相關安全性更新而危害系統的攻擊,會直接威脅組織的法規遵循。因此,未能解決持續安全性維護需求的法規遵循體制就不算是全面或完整的體制。要成為全面或完整的體制,法規遵循體制必須包含持續安全性維護的需求,而且作法必須實際考慮到系統作業的威脅環境。

重點是雖然法規 (如 HIPAA 和 SOX) 以及管理架構 (例如 CoBIT) 並未特別指出持續安全性維護的重要性,但是它們也沒有禁止該維護的需求。法規遵循之所以具挑戰性在於每個組織都需要實作本身的原則和程序,以符合適用法規所產生的需求。然而,這也讓組織具有調整其原則和程序的彈性 (包含如何管理安全性更新),進而支援和增強本身的安全性策略。換句話說,法規保留給實作者的自由,應該足以讓您發展出能執行並協助持續安全性維護的法規遵循體制。

結論

在許多方面,實作法規遵循都仍算是新的作法。既然是新的作法,就應該會有一段學習曲線。任何學習曲線的重點在於能夠認清需要學到的教訓,並將那些學到的資訊併入未來的作法中。在過去幾年,浮現的一個重要教訓就是法規遵循必須要確實考慮到持續安全性維護的需求。

而現在才開始實作遵循 SOX、HIPAA 或其他法規之解決方案的組織,則可以向已有經驗的組織學習。這些組織有能力且應該讓它們的安全性和管理小組進行原則和程序的建立,來支援本身的法規遵循。而已經具有原則與程序的組織,則應該花一些時間,讓安全性和管理小組重新評估這些原則與程序,以確保這些原則與程序已確實考慮到威脅環境,並讓系統管理員擁有對抗威脅時必要的彈性。這樣一來,您將能改善整體安全性,進而改善法規遵循。

顯示: