這幾天看了一篇文章,有個老兄 (Chris Goggans) 利用6小時的時間,成功進入了FBI的犯罪紀錄資料庫。這個問題是這個老兄在進行所謂的Pen-Testing (入侵測試,Penetration Testing)時所發現的,而所謂的Pen-Testing簡單來說就是請第三者模擬駭客攻擊自己的系統。Pen-Testing有很多方式,可分為從組織內部或是從外部發動,另外也可以根據組織主動提供資訊的詳細程度與組織人員對測試計畫的被告知程度加以區分。為了達到最真實的情形,組織不應該提供任何非公開的資訊給進行測試的人員,而且組織內所有的人員不應該被告知測試的進行。但是為了達到比較嚴格的測試,有時候組織會提供較多的資訊給測試人員,以期望他們能夠發現更多的問題。另外組織內的部分人員也會被告知測試的進行,以便進行監視,甚至同時測試其他安全機制。
Goggans指出這次主要是因為安全架構設計不良以及Patch的管理不完整,才讓他有可趁之機。Patch的管理,我想對很多安全人員或IT人員都是聽到不想再聽的觀念,也通常已經包含在日常的工作之中。但是或許也就是因為太過熟悉,所以讓大家對於這件事漸漸麻痺?又或許是因為大部分的系統(尤其是作業系統)強調具備自動更新的機制,使得管理者不再關心Patch這件事?又或是因為需要Patch的東西太多,所以管理者被許許多多的Patch所掩埋了。還是因為現在廠商與市場的主流產品不是Patch管理,所以無法吸引組織的注意(資源)。這些老生常談的問題依舊存在,或許原因真的僅是管理者一時的疏失。但是對於組織而言,把資訊系統交由專家(有些人甚至可能不是專家)處理後,是不是就可以高枕無憂?當然不是,所以才會有所謂的稽核機制的出現。但是稽核機制通常比較像是抽查的方式,運氣夠"好"的話,問題好多年不被發現也是很有可能。
另外現在也很流行ISMS或是一些資訊安全相關的法規。但是符合這些規範,就確保資訊能夠永保安康了嗎?這些規範通常在制定時,就已經有些妥協,其中最主要的原因是確保實施的可行性與彈性。所以符合規範,只不過表示組織通過這些規範要求的稽核項目,同樣並不保證真的毫無問題。當然,規範與及對應的稽核有其效果,不過在目前日益複雜的環境下,需要更全面、更即時且有效率的作法。可以採用的方式就是Pen-Testing,利用第三者的入侵測試找出環境內的安全風險,並利用自動化的工具進行資訊系統安全的平日"維護"工作。這兩者的費用都不低,以長期來說,自動化的工具當然是比較划算的作法,不過需要具備設定軟體與解讀報告的人力,同樣也是一件困難且花費寶貴資源的事情。
雖然Pen-Testing可以找出環境中存在的安全問題以便組織去解決,但是Pen-Testing同樣不是萬靈丹。Pen-Testing主要針對資訊系統的漏洞進行攻擊(尤其是自動化的工具),對於組織運作流程安全、實體安全等其他議題,是沒有太大幫助的。另外,對於組織人員在資訊安全的角色與義務的規範與執行,也通常是無能為力的。不過有些入侵測試會搭配社交工程的方式進行,對於組織人員的安全落實與否倒也算是包含在內。
總結來說,以資訊安全市場而言,每過一陣子就會有新的議題與新的產品。這些新的玩意兒吸引了媒體、廠商與使用者的眼光,也吸引了企業資源的投入。的確,因為環境的不斷變遷,會有許多新的安全議題引爆。但是這並不表示原先的安全議題已經不重要,或是所有組織都已經有了相對應的機制去防範。更不能因為某些議題已經被大家所熟悉,就假設組織有足夠的機制與能力去防護(例如病毒的問題)。資訊安全是全面性的議題,而不是趕流行。所以,組織如何找出自己最需要的安全需求並據此建立制度,然後落實監測機制以確保制度被正確地執行,才是獲得保障的方法。
原文出處:
Six hours to hack the FBI (and other pen-testing adventures)
沒有留言:
張貼留言