周峻佑攝
小型企業普遍缺乏資源,面臨當今不得不做資安的嚴峻情勢,負責IT的員工可能就要臨危受命,承接相關的工作,成為一個「資安人」。然而,此時企業的資訊安全,可能必須從零開始打造,能夠因應的預算卻極度有限的情況下,要如何架構起企業的資訊安全呢?博格(Borg)企業資安讀書會創辦人X1在3月19日舉辦的臺灣資安大會中,特別針對需要執行的層面,介紹實用的免費開源工具,指引IT人員踏入資安防護的領域。
X1指出,開源或是免費的工具,與商用產品之間最大的差異,就是「壞了要自己修」。因此,想要導入這些工具來解決資安問題,首先,IT人員必須花時間研究如何使用與部署,而日後軟體更新時,也要自己留意開源工具與其他元件的相容性問題。此外,由於不像商業產品已經將常見應用系統的資料正規化,也沒有背後提供技術服務的團隊,因此,各種設備的事件記錄,勢必也要自己處理、分析。雖然許多開源工具沒有軟體授權的費用,然而IT人員要建構以這類軟體架設的資安防護網,必須要有自己耗費精力深入研究的心理準備。
對於可能剛接觸資安,就要在經費與相關資源極為有限的情況下,築起企業的資訊安全防護,想要知道如何著手的與會者可說是相當多,X1這場議程不只坐無虛席,旁邊走道都站滿了人,後來就連講臺前方也踴入許多聽眾席地而坐。(攝影/周峻佑)
誠如前述開源工具存在上述應用的門檻,但X1表示,其實小型企業所要因應的資安問題,許多免費的開源工具就能做到。因此,找出企業需要解決的難題,並尋求能符合自身需求的軟體,便可在極低的預算之下解決難題。
從攻擊階段歸納企業資安需求
在企業中常見的資安需求,X1指出,可以從攻擊的事前預防、事中偵測,以及事後因應等3大階段來看--從事前的預防措施而言,IT人員首要任務,就是必須盤點網路環境中應該列管的資產,再者,則是網際網路的出入口管制,以及企業的雲端服務整合等。而企業對外提供的服務又有那些,還有公司的伺服器狀態,是否出現異常登入的情形?
一般來說,企業所需因應的攻擊,包含網站可能會面臨分散式阻斷服務(DDoS)攻擊,或是端點電腦遭到入侵,需要留下跡證的情況。再者,IT人員也可能會懷疑,網站是否成為內部環境被入侵的破口。
更進一步,則是有關事件發生之後,資安事件的通報和處理,還有就是尚未收集的應用程式與資料庫事件記錄,日後要怎麼補救等等。
盤點仍是資安的首要任務
不過,在建置資安防護的架構時,還是應該從事前和事中開始著手,而這個部分的落實,企業能夠及早接收有相警示通知,相對的投資效益也比較高。X1指出,第一件事還是要界定需要管理和防禦的範圍,因此他提供的第一套實用工具,便是網管軟體OCS Inventory,IT人員透過這套軟體,進而了解所列管的電腦有多少、執行的作業系統種類,以及搭配的硬體等資訊。
在設備的盤點之外,網路情形的清查也同樣重要,X1推薦The Dude,企業內部網路設備只要有啟用SNMP協定,就能列入管理,並且可自動產生網路拓撲圖。
有了端點裝置和網路環境的盤查結果後,X1說,接下來要歸納資產的重要程度,像是與公司營運相關度極高的設施,其重要性也就較高,他認為企業可以參考新竹市稅務局在2009年制訂的範例Excel表單,藉此權衡每項資產的重要程度。X1舉例,像是含有個資的資料,一旦外洩企業所面臨的罰款極高,因此對於企業而言,也是要謹慎保護的資產。
另外,企業對外部網路開放的連接埠,情況是否也在掌控之中?在這個部分,X1選用了知名的網路偵測軟體Nmap,他說自己在使用時,會讓Nmap每個月排程定期掃描,然後將這個月檢測結果與ACL表格比對,便能得知是否出現不當使用的情況。
而對於伺服器狀態的掌握,X1特別推薦Zabbix,理由是唯一能做叢集式管理的免費解決方案。只是要留意的是,要從Windows事件記錄ID監控是否出現異常登入的情形,並非所有的開機事件ID都是使用者登入的行為,因此要特別小心,以免太多記錄與警示通知,造成自己麻木而失去原來監控的用意。若是自動化防範機器人暴力破解網頁應用程式或是遠端登入的現象,也可以選用Fail2ban(支援Linux作業系統)和Wail2ban(支援Windows作業系統)。
若要防範網站遭受分散式阻斷服務攻擊,X1認為,Imperva Incapsula和Cloudflare等雲端服務,就是資安人員的好朋友,假如資料存放在企業內部,可採用Nginx建置網頁應用程式防火牆。
要是企業無法購置防火牆,X1表示也有免費的可選,像是Endian UTM能夠支援企業環境常見的AD與LDAP。
最後X1提醒一件事,一旦遇到攻擊,企業應該要先保留證據,再恢復電腦到正常狀態,而非馬上重灌。因此,他建議採用Helix數位鑑識包,進行採證。而在運用這些免費工具時,X1也鼓勵IT人員,可以與TDOHacker、UCCU,或是博格企業資安讀書會等社群交流,進而改善自己的做法。
因應10種資安防護需求的免費與開源工具
事前預防
01.資產盤點 OCS Inventory NG
https://www.ocsinventory-ng.org/
02.網路盤點 The Dude
https://mikrotik.com/thedude
03.網路流量管制 Endian UTM
https://www.endian.com/
04.對外服務盤查 Nmap
https://nmap.org/
05.軟體更新管理 WSUS
(Windows Server作業系統的內建功能)
06.伺服器狀態監控 Zabbix
https://www.zabbix.com/
07.暴力登入防治 Fail2ban與Wail2ban
Fail2ban https://www.fail2ban.org/wiki/index.php
Wail2ban https://github.com/glasnt/wail2ban
事中偵察
08.防範DDoS攻擊 Imperva Incapsula或Cloudflare WAF
Imperva Incapsula https://www.incapsula.com/pricing-and-plans.html
選擇網頁右下方的「Free Plan」註冊
Cloudflare WAF https://www.cloudflare.com/zh-tw/waf/
09.強化網站應用程式安全 Nginx
https://nginx.org/en/download.html
10.端點電腦蒐證 E-fense Helix
https://www.e-fense.com/products.php
免費版本為2009R1
熱門新聞
2024-08-14
2024-12-24
2024-12-20
2024-12-22
2024-12-23
2024-12-23