2008年9月14日 星期日

企業防毒管理 (Enterprise Anti-Virus Management)

這篇延續整理先前的貼文:企業防毒管理,因為先前是有感而發的寫,這次重新整理一下內容。

防毒軟體,這應該有用電腦的都耳熟能詳了,但,你真的了解你正在使用的防毒軟體嗎?你的使用者真的了解使用的防毒軟體?我的標題是用"Anti-Virus",但我是想要用"Anti-Malware"的,怕 Malware 範圍太大了,所以,還是鎖定最基本的"Anti-Virus"部分。
在各種資安防護佈署上,這項是跟使用者最密切的,所以當然也要強化對使用者的教育訓練。但,無奈的是我不見有防毒原廠有在做這樣的事,都只強調"安裝"自家的防毒軟體就能高枕無憂。外面有一堆防毒軟體的討論版,卻不見防毒原廠與使用者直接溝通,不能再說了,不然又離題了...XD。
另外,我經常把惡意程式比喻成彈頭,因為人家都把子彈打到你家裡了,你的網路環境充滿子彈嗎?哪你家裡就是戰場囉!在戰場上救傷兵都來不及了哩;不過大多數的人應該是變戰場而不自知吧,搞不好連傷兵都沒在救的...XD。如果,你已經在做彈道分析了,那得恭賀您,步入開發國家或已開發國家之列囉!

對於防毒軟體,使用者必須要學會的項目:
1.知道防毒軟體是否在正常運作,如何確保其運作。
2.知道病毒碼是否為最新,如何可以使病毒碼更新。
3.知道如何查詢發現惡意程式的記錄,甚至一些警訊或異常記錄。
4.防毒軟體的發現惡意程式訊息、畫面的解讀,知道哪些情況是異常的。
5.當發現無法刪除或持續同樣警訊時,該通報的方式或該如何處置。
6.是否有進階功能可以利用,如用戶端防火牆、反間諜...等。
7.可以自行完成安裝防毒軟體,這是最好的。
以上,如果你的使用者不會,哪相關資訊單位就要負責上述所有工作項目;很多單位會採用年度採購防毒軟體時,另包含工讀生負責上述項目,我只能說這也是很不負責任的做法。我認為它是使用者在網路生存的基本技巧,配合使用者教育訓練,強化基層資安觀念才是上上之策,否則,使用者根本不該上網(瀏覽網際網路網頁)及使用E-Mail,既然享權力當然要盡義務的。

常見企業防毒管理上的問題:
1.伺服器與使用者主機管理需要加以區分,並優先關注伺服器主機群。當伺服器主機群發現惡意程式,等同入侵行為。
2.進行數據化報告產出,並進行統計分析。但防毒系統幾乎不能產出你要的數據,我只能說防毒原廠的報表功能糟透了。這些數據是管理上很重要的指標。
3.系統管理人員有徹底發揮防毒功效嗎?首先你的系統管理者了解防毒觀念嗎?
4.須針對經常性發現惡意程式之主機予以關注,對經常中毒的使用者予以強化資安之教育訓練。
5.防毒管理不能只靠一道防線,除了用戶端的防毒軟體,其他經常使用的 HTTP、FTP、SMTP、POP3...等,應採用適當的防毒閘道建立第二道防線,甚至,多道防線。
6.配套的惡意程式防堵策略,這部分得先了解哪些管道是惡意程是最常入侵的管道,當然,你得先了解自己的網路環境,還有外在的威脅。最簡單或基本的配套,例如禁止執行檔的下載,這有的防火牆就可以做了。
防毒工作不是只有建置,只要是資安防護措施都是需要維護管理的。

企業的防毒管理觀念:
1.多層次、多配套策略來建構防線,而用戶端防毒是最後一道防線。
2.每道防線都需要產出數據化資訊。
3.強化所有防線或策略,需要以最後一道防線數據來觀察其成效。
4.觀察每道防線的數據,注意其變化。
5.有專人檢視每份數據,並進行調整及強化作業。
6.如果沒有好的最後一道防線,將無法發掘真正問題點。
7.未發掘(未知)的惡意程式,是否有找查或抑制的機制。
8.嘗試了解惡意程式滲透之管道,並設法加以阻隔。
以上,簡單的說就是,在你的環境總共發現多少惡意程式呢?分別被哪些防護所偵測發現?惡意程式的類別、運作型態?入侵管道?可能未被發現的惡意程式估計?IR (Incident Response)人員發現多少未知惡意程式?...這些應該都要在你的掌控之中,不是嗎?

以下主要是些奇想,因為,防毒部分還有很多事可以做的。而防毒原廠似乎都不務正業,企業用戶也只能牙癢癢的,不是嗎?我想企業用戶要去要求原廠,這年頭告訴人家用哪家防毒軟體就是一個漏洞,你認為人家不知道你用哪家廠牌的防毒軟體嗎?你也不可能三天兩頭把用戶端的防毒說換就換吧!所以,客製化功能刻不容緩,進階強化功能設定是可以依據不同客戶需求,強化客戶的資安防護作業,這樣,企業用戶才有更多策略來抵禦外在威脅的。因為,每台 PC 都有一套軟體了耶!不能有小雲端的功能嗎?它一定能做更多事情的。

企業防毒中控端的需要功能(強調中控端就可以做,不是要在用戶端進行的):
1.查殺惡意程式可自救。
2.分析用戶端系統的工具或記錄不可少。
3.有客製化的服務功能(依據客戶有量身訂做的特定服務功能)。這問題是,你知道哪些功能是你需要的。
4.報表數據要能符合需要,並能呈現現況。這點比較大的問題是,要產生哪些報表,防毒原廠可不會幫你想的。
5.有惡意程式分析(SandBox)功能。
6.能夠整合其他防禦設備進行協同防護,如與防火牆、入侵偵測、入侵防護...等設備,進行封鎖或阻擋行動。
7.創意,對付創意的有心人士,也只能靠創意了。

我對企業防毒中控端功能的期望:
1.有所有用戶端處於執行中檔案的MD5,SHA-1...等資訊,能第一時間查殺,而不需要等原廠製作病毒碼。
2.能主動查詢用戶端的網路連線、執行程序狀態...等,並可進行檢查或統計分析工作。
3.對於重要主機可以做執行程序、自動啟動(Auto-Start)途徑變更的比對功能,或其變化的紀錄。
4.透過中控端可遠端取得用戶端執行中之檔案複本,進行分析、檢測之用,檢測是否為"未知"惡意程式。
5.各種客製化的門檻或條件設定,做為警示或提醒作用。
6.各種客製化的數據及報表的產出設定,做為分析之用。
7.有惡意程式分析功能,找出特定網路行為,找出其他可能被相同駭客集團控制的主機。
8....

2 則留言:

Daniellee 提到...

Dear Crane Ku
您的文章也讓小弟獲益良多,的確有些防毒廠商會拿著誰誰誰是我們的客戶來說嘴,也間接影響到客戶的安全,他們忘了他們是賣資安產品,不是賣菜,您最後的期望我想也是很多基層MIS和資安人員所想要的,但就您看來真的目前有符合您期望的產品出現嗎?我自己公司導過K及S各有優缺點,當然更不可能符合期望,不知道您對市面上的產品有沒有最符合您期望的呢? :p

Crane_Ku 提到...

Hi, 目前防毒軟體只有很基本的功能,還沒有我想要的客製化功能,很遺憾,防毒軟體原廠並沒有傾聽客戶的聲音,也沒有探究客戶需求,導致防毒防線的大潰敗。現在,該思考的是「為何有這多惡意程式出現在防毒軟體上」,到底問題在哪?如何減量?如何強化防毒防線?...這些都是該深思的。