如果說RSA Conference中的各課程與講座是反應資訊安全新的發展趨勢與看法,那麼與其相對應的展場,就是代表最新最先進的技術或產品,所有參展廠商都會在會場中發表今年度最新的資訊安全產品,頗有一較高下之感。
但今年所發表的新產品其實不如去年那樣的多,除了技術本身已經相當成熟之外,另外一項較為明顯的原因,是因為攻擊者已經不再完全依據作業系統、軟體或網頁漏洞入侵,而轉向採用社交攻擊手法盜取個人隱私資料,而這種傾向在包含釣魚網站連結的垃圾郵件,或是藉由USB裝置安裝木馬等攻擊方式中,可以很明顯的察覺如此趨勢。
因此本次在展場中,就有相當多廠商改以資安架構來看整體防禦疆界。對於產品線較多較完整的廠商而言,希望推動的是完整且健全的資安防禦架構,建構如NAC、含集中管理機制的終端防禦或單一登入的身分認證機制等,都是許多大廠力求推動的目標。
而較小的廠商則是著眼於資訊安全中特殊的環節,像今年就有不少新的垃圾郵件過濾廠商,而根據IronPort亞太區Joy Ghosh所言,垃圾郵件市場還有相當大的發展空間,而相關的垃圾郵件機制也是千變萬化,自然吸引了許多新進廠商的目光,但技術的好壞或適用性高低,就需要企業經過嚴謹的測試才有辦法評估。
|
▲合勤今年也參加RSA Conference展覽,展出UTM及多款無線寬頻路由器產品。 |
雖然展覽與研討會是一同舉辦,但實際上是分開管理互不影響的。全程參與研討會的學員可以免費參觀展覽,只想看展覽的也可以單買參展門票,而這也造成報到處每天人潮絡繹不絕,甚至在展覽最後一天還有很多人風塵僕僕的趕到會場,搶看最後一天的展覽。
今年的展覽廠商數高達2,723家,雖然主要為歐美地區廠商,但亞洲地區廠商也不少。在台灣部分也有合勤、立端、研華與瑞傳等廠商以美國分公司為代表參展,不過四家廠商中有三家為工業電腦廠商,獲利模式還是以代工為主。
可以發現雖然台灣在資訊安全部分,有中研院、國科會、中科院及各大專院校等單位不斷研究開發新技術,但產學之間的合作與技術轉移依然不夠密切,導致台灣廠商還是只能在硬體方面著手,而無法跨足至利基與利潤更高的軟體領域。
RSA以加密為體,資安管理為用
既然身為展覽的主辦單位之一,RSA自然很用心經營其展覽攤位,並將最新最好也最廣的資安解決方案展示給與會者瞭解。
|
|
▲身為RSA Conference的主辦單位之一,RSA的攤位不但大,也同步展示多項資安相關產品,從最引以為傲的各項加密週邊產品,到最新推出的enVision資安資訊與事件管理設備,在會場都可以看到。 |
在展覽場中所展覽的產品大多是以USB隨身碟或Token方式展出,不過我們也可以看到,由於SmartCard的技術與容量越來越高,而PCI組織推動智慧型晶片卡,因此也可以看到與SmartCard,甚至是與手機整合的新面貌,而由於個人使用者對於資訊安全的重視程度越來越高,我們也不難想像未來可能連高階設備都會內建加密措施,以避免設備遺失造成的資料外洩。
同時安全資訊與事件管理(SIEM)也是近兩年慢慢受人重視的問題,因為沒有好的管理機制或記錄分析,管理者就沒有辦法真正瞭解企業內部所發生的各種異常狀況,過去雖然有所謂記錄管理等相關功能,但卻沒有辦法看清所有資訊安全事件的全貌,因此需要能夠藉由各個產品上所收集到的資訊,分析整合並歸納出單一事件,這樣才能協助管理者瞭解所發生的狀態,並且能夠更準確的防禦特定攻擊。
「資訊安全不能只是防禦,」RSA北亞區技術顧問黃惠美表示,「除了防止外界入侵之外,更重要的是掌控管理的深度與廣度,這樣才能更精準掌握資訊危害的起點與受波及範圍,並提早因應。」
微軟著重系統安全,並推出Stirling
|
▲微軟以作業系統為基礎,在強化作業系統安全時,也藉此打造整體資訊安全架構,並試圖推廣至「點對點信賴網路(End to End Trust)」。 |
就如同微軟總研究及策略長(Chief Research and Strategy Officer)Craig Mundie與資訊安全長Christopher Leach在專題演講中所述,微軟強調的是點對點的信任網路架構,而這中間最主要的環節當然是作業系統本身。因此微軟在這次展覽中,區隔成三大區塊:用戶端、應用程式與基礎設施,展示企業如果內部各伺服器與應用程式都利用微軟的產品開發建置的話,能夠如何快速並簡單的達到資訊安全的目標,同時搭配上新的作業系統平台Windows Server 2008與Vista SP1,增強了本機的安全性,藉此也確保傳輸的資料健全性與正確性,避免錯誤或有害資料,透過安全保密的通道影響對方電腦。
微軟的資訊安全架構散見於各項產品之中,相較於之前為人所詬病的產品安全性不足,從去年發表的各款產品中,我們也可以發現資訊安全已經成為微軟在開發產品時相當重要的一環,Windows Server 2008也是為了增加其安全性,因而延後上市。而這段時間以來,除了較轟動的雅虎併購案之外,微軟對於資訊安全的重視程度也越來越高,就如同台灣科技大學管理學院院長吳宗成所表示,使用者便利性與安全性乃天平的兩端,廠商需要在這兩端取得一定的平衡,這樣才能確保使用者的資料安全性。
除了作業系統安全之外,微軟另外也發表Forefront的新版本Stirling,整合先前所有資安技術,希望能夠簡化資安架構,並提高可用性。不過相對於使用者關注於Vista SP1的情況,Stirling倒是僅止於觀賞階段,可以想見大多數企業對Forefront的導入難度與能達到的成效,還是持保留態度。
NAC解決方案接受度提高
Cisco與Juniper兩家恩怨糾葛的網路廠商,這次在RSA Conference展出的產品與架構也都是以網路為主的解決方案,其共通的產品包括防火牆、IPS、VPN與NAC解決方案等,而防火牆、IPS與VPN等產品皆屬於網路端防禦設備,其位置在於企業網路邊界上,雖然可以過濾進出企業網路的封包並防禦威脅,但對於在內部流竄的攻擊卻一籌莫展,也因此早在多年前便開發網路存取控制(Network Access Control,NAC)解決方案,確保內部網路上所有單點設備,都能夠遵照企業規章行事,不至於造成資安漏洞。
|
▲Juniper推出EX系列交換器後,補強NAC架構中的遺漏,可建構出更完整的解決方案。 |
|
▲Enterasys在RSA Conference中發表NAC 3.1架構,並推出多項新功能,能夠追蹤並記錄使用者歷程,便於稽核之用。 |
而Enterasys著重於交換器方面的研究與開發,早期便推出Dragon IDS/IPS系統,係以IDS搭配交換器,並透過VLAN架構管理眾多終端設備。而根據Enterasys行銷副總裁Trent Waterhouse表示,最新推出的NAC 3.1架構,可以透過新的管理產品NetSight NAC Manager,自動設定並調控所有相關設備,提供集中化管理及可視度。同時藉由該產品,當企業需要導入NAC架構時,不需要重新設定或修改太多參數,並以802.1x協定為基礎,只要能夠支援該協定的交換器都能夠繼續使用,原有投資不會浪費。
除了建置上的便利性之外,Enterasys也推出IP-to-ID功能,能夠在第一時間得知是誰透過那個IP連線,並可記錄該使用者的所有使用過程,就算採用DHCP方式,也可以做出完整的使用者歷程記錄,能夠有效監控使用者行為,便於事後追蹤。
而Cisco為最早提出NAC的廠商,自然不會在這場盛會中缺席,過去Cisco的NAC有部分都採用自身開發的協定,與其他廠商的解決方案整合性是最為人擔憂的一點,但在本次會議中,Cisco方面表示與微軟推出的NAP標準已經接近整合完成的階段,而該整合最重要的目標,在於用戶端電腦如果已經具備微軟的NAP用戶端程式,就不需要另行安裝CTA或CSA,即可納入Cisco NAC的管轄領域之中,可以大幅簡化企業建置與管理的複雜度。
相較於此,Juniper去年便已宣布與微軟NAP架構的合作策略,並且推出相關的解決方案,但NAC架構中的核心設備—交換器,Juniper直到今年2月才推出EX系列交換器。雖然透過802.1x可以與其他交換器整合,但對於部分企業的角度而言,與其用雜牌軍混搭而成的防禦措施,在內網部分不如採用單一廠商所推出的解決方案,如此可以簡化管理難度,並能降低管理人員的學習門檻。也因此在本次會議中,我們也看到有不少企業用戶詢問Juniper有關NAC架構及交換器等相關問題。
NAC從去年開始漸受重視,到今年許多企業開始考慮導入相關解決方案,而在會場中的詢問程度也相當高,可以發現企業已經開始從點的防禦,擴展到面的考量。由於行動裝置與員工機動性的提高,在基礎工作環境的改變之下,相關的防禦邊界也需要重新思考及安排,現實中最大的考量問題就是,如何讓過去的投資延續下去,而這也是企業與廠商不斷努力的目標。
防毒廠商開始各尋出路
|
▲Symantec資訊基礎架構部門副總裁Francis de Souza指出,保護資料外洩並不是將全部資料加密即可,而是如何分析評估應受保護的資料,這樣才能讓投資與風險保護達到平衡。 |
從病毒出現以來,只要有電腦的地方就少不了防毒軟體,但是從去年開始,我們可以發現防毒軟體的作用已經不像過去如此明顯,而各家防毒廠商也不斷增加其中的功能,試圖將產品生命延續,其中最明顯的就是Symantec與趨勢科技兩家廠商,而在RSA Conference中,他們也依據各自的技術發展歷程推出不同的走向與解決方案。
Symantec在去年就已經將原有的防毒系統改名為Endpoint Security,著眼於終端設備防禦,其中包含防毒、個人防火牆、IPS與垃圾郵件過濾等功能,以軟體方式安裝於個人電腦中,提供更強大的防禦功能,而在本次會議中,資訊基礎架構部門(Information Foundation Group)副總裁Francis de Souza便重申資料保護的重要性。
在圓桌會議中他指出,資料保護並非全面性加密或保全,那樣只會造成投資無謂的浪費。相對於此,更重要的是如何做好風險評估及規劃,以重要性區分資料等級,藉由技術保障機密等級的資料,才能保護企業的營運核心不至於受損。
同樣的,在過去強調技術的年代,每個廠商都在競爭彼此的技術領先程度,但今年開始,每個廠商都在重新省思管理的重要性,Symantec方面認為,終端設備行為與資料流向的管理才是未來的資訊安全主軸,所有資訊安全技術應與企業營運流程結合,整合到整體供應鏈上,在正確的地方使用適當的資訊安全技術,這樣才能有效確保投資報酬率。
相對於此,趨勢科技採取另一個不同的走向。他們著重於未來會大量導入的網頁服務及虛擬機器部分,提供能夠有效管理及過濾的機制,確保企業導入及使用這些服務時不會造成任何安全危害。
他們所推出的網頁信譽資料庫,能夠偵測分析網路上的眾多網站,避免瀏覽者點選到惡意網站上。而此相關技術也與Cisco合作,整合至ISR系列產品中,藉由此合作模式部署到企業的網路端點上,確保後端企業網路的安全性。
DLP成為資安防護主力
在差旅過程中,企業員工時常會攜帶部分營運機密資料,但由於使用者貪圖便利,往往只是將這些資料以一般儲存方式保管,一旦遺失或遭竊,資料防護的問題就會浮現出來。
|
▲HP除了常見的資訊安全防護之外,更推出列印管理系統,導入版權管理與身分控管,避免文件因影印或列印而導致資料外洩。 |
在今年年初美國身分竊盜資源中心(Identity Theft Resouce Center,ITRC)發布的調查報告中指出,去年的遺失案件高達446件,總筆數超過上億筆資料,雖然以件數而論,金融、健康與一般商業總計為226件,但資料數卻佔了82.6%的比例,可見商業對於資料保護的概念與導入不足,在使用者未察覺的狀況下造成不小的影響。有鑑於此,從去年開始資料保護解決方案開始受到大眾重視,不可否認的,藝人豔照事件是推動大中華地區開始正視資料保護的主因。
|
▲SanDisk以CMC 3.0軟體管理Cruzer Enterprise加密隨身碟,強化資料遺失保護解決方案,透過集中化的管理與控制,可集中備份還原檔案,或終止遠端隨身碟的運作。 |
在本次展覽中,我們可以發現資料保護已經成為各家廠商的發展方向,不管是防毒、網路或是周邊設備廠商,都開始利用各種方式加入資料保護功能,其中SanDisk便針對企業端推出可提供集中管理的CMC 3.0管理軟體。
先前SanDisk便已推出相關的加密隨身碟與集中管理軟體,但對企業而言,還有許多不足之處,這次發表的新版本中,不但可以做到應用程式配發、版權管理與密碼管理之外,還能做到用戶活動的詳細報告,任何使用隨身碟的活動都會被記錄下來,並且隨時回報,除了消極的以加密方式防止資料遺失之外,更以積極的方式防範使用者的不當行為。
不同於SanDisk著重於隨身碟等快閃記憶體,Check Point則是在併購Pointsec後推出主機型的資料保護方案。主要的軟體程式安裝於電腦中,進而管理硬碟中的資料,並以其為媒介延伸至各行動裝置上。同時也提供集中管理的功能,讓公司政策可以落實到個人上。
資安考量應由點延伸至面
過去在員工機動性低的時候,企業主要的安全防護措施都集中在閘道器端,利用防火牆、IPS、VPN及其他內容過濾設備,大多數的資安想法都是以單點防護為主。但是隨著員工機動性越來越高,企業的資安防禦疆界也隨之模糊,當員工透過網路可以在任何地方工作並存取內部網路上的資料時,傳統的資安防禦架構已然崩解,最重要的原因是因為所有的資安規範與政策,沒有辦法跨越網路而遍及所有行動工作者。
為了因應這項改變,各家資安廠商重新定義並規劃其本身的資安架構,從閘道器端延伸至企業內部的各伺服器與端點設備,無論是NAC、身分認證整合、端對端防護或是資料保全,都是為了解決企業會面臨的資安難題。
在企業方面,也應該重新審視目前的企業營運流程及員工工作方式,依據自身型態分析出較為適合的資安解決方案。「資訊安全並非光是導入成功就代表可以防範未然,」黃惠美認為,「如果不能與企業營運流程整合,導入再多的資安設備或方案,也只是浪費預算。」
在建構資訊安全體系上,TCO或ROI並不是絕對的評估指標,相反地應該要從風險係數著手,根據營運流程甚至是其中傳遞的資料,評估流程遭破壞或資料遺失時對企業可能的損失或危害,並據此評估導入相關安全系統的價值與重要性,才能真正讓資訊安全投資得到應有的回報。
垃圾郵件捲土重來
過去的垃圾郵件大多是廣告信件或是病毒信件,廣告信件的模式大多是包裝特定字詞,例如國外常見的壯陽藥或是熱門商品等廣告,這種信件雖然會浪費許多收件者的時間,但除此之外並沒有太大危害。
病毒信件的模式則是以附件方式夾帶病毒檔案,這些病毒檔案從執行檔、壓縮檔到螢幕保護程式不等,目的在於讓收件者感染病毒或木馬程式,藉此破壞或竊取使用者資料。但由於防毒廠商與信件過濾機制的提升,這些有明顯類型與特徵的信件,有超過90%以上都會被過濾設備阻擋,不會浪費收件者的時間。
但到目前為止,主要的垃圾郵件過濾廠商都發現到目前透過郵件的資安攻擊已然變形,目前我們看到的都是藉由郵件發送看似合法的網址或是通告信,大多數都假冒成銀行或是公家機關,內容則是關於個人隱私資料更新,或是財務上有問題需要收件者更正。其實反觀國內詐騙集團,其操作手法與內容模式幾乎大同小異,唯一的差別是國內詐騙集團仰賴的是電話,而此類垃圾信件則是依靠電子郵件。
Joy Ghosh便表示目前垃圾郵件過濾不單只是檢查信件本身的安全性與正確性,還需要協同網頁評等與過濾機制,建立信譽資料庫,避免收件者因為類似易混淆的網址,而貿然點選並輸入重要的個人資料,而導致隱私洩漏的問題。