CA eTrust Security Command Center

委外服務靠自已，打造專屬資訊安全控管中心
量身打造個人安控中心， 視覺化呈現
eTrust Audit收集各種資料
過濾雜訊，反應問題

根據深度防禦（Defense in Depth，DiD）學說，企業需要建置大量的安全裝置，包括防毒系統、防火牆、入侵偵測系統、內容過濾及實體安全設備，才能保障整體安全。當所有系統建置完成後，企業就真的安全嗎？肯定不是，因為當企業建置越多的安全系統和裝置，每個系統各自收集和報告安全事件，雖然產生大量的日誌檔（log），但資料格式和報表卻都不同，反而又面臨「安全資訊過載」的挑戰。CA認為安全資訊超載就如同安全資訊不足一樣地危險。

假如能從眾多的管理介面中，只獲得重要關鍵訊息，而不是所有的事件，那麼就需要整合機制。企業有需求，資訊安全廠商自然紛紛推出安全事件管理系統（Security Event Management，SCM），包括Symantec的Security Management System、ISS的RealSecure SiteProtector、趨勢科技的Trend Micro Control Manager及CA所推出的eTrust Security Command Center（eSCC）。

eTrust Security Command Center透過收集、標準化、過濾、簡化及分析等步驟，整合龐大且多樣的安全資料，協助企業集中控管所有安全設備，降低管理人力，並能更有效的保護資訊基礎架構。

Security Command Center就如同字面的意思，為企業量身訂做專屬的安全控管中心，不僅是處理防毒、防火牆、路由器、入侵偵測、弱點評估及風險管理等資訊，還要能整合資產管理、身分認證和主機控管等機制。CA技術顧問林宏嘉表示，大多數的SCM並沒有整合資產管理、身分認證和主機控管，即使偵測到被攻擊的主機IP和MAC位址，卻可能是偽造的；同時，當掃描到漏洞後，如果管理員要修補漏洞，也無法知道該主機安裝哪些應用程式，是否可以更新？更重要的是，企業可將安全管理與作業流程整合，保護重要的關鍵資產，才能更快地從災難中復原。

既然是量身訂做，產品自然不是套裝軟體，而是以專案建置，適合大型或擁有許多異質環境的企業，至於建置時間與費用就視所需的資訊而定。系統建置的順序是在防火牆、防毒系統或入侵偵測等系統之後，最好是在已經建置多種安全裝置後，才能發揮功效。

我們先從管理介面談起，Security Command Center可將不同的「安全戰場」，整合到單一的Web介面，而且是以個人為基礎，可依照每個人的工作需求客製化，納入所需的資料、報表及執行政策的工具。舉例來說，網管人員負責維護防火牆和路由器，資安專家則負責入侵偵測和弱點評估系統，兩者所需的資料和工具都不同，個人化介面能以最少的資源進行管理，並符合特定的需求。配合以入口網站技術（Portal）為基礎的管理介面，不論何時何地都可以安全存取，改善事件回應時間。

隨著技術演進，CA進一步推出視覺化介面。我們之前看過類似技術，是弱點評估廠商Foundstone的3D報表，當點選某個IP位置，就可以知道該主機的狀況、有那些弱點和解決方式；CA運用隨選運算技術，更直接的告訴管理者問題所在，例如管理者監控臺灣所有據點的安全狀況，那麼可依地理位置標示安全狀態，當臺北分公司的郵件主機遭到攻擊，控制介面的臺北分公司會顯示紅色燈號，代表危急狀態，以滑鼠點選之後會出現樓層平面圖，讓你知道哪一臺主機發生問題，再點選則列出是何種狀況，宛如電影般的情節，也可以運用在資安管理。

在資料收集方面，Security Command Center使用eTrust Audit元件，能從不同的應用程式、設備和作業系統收集相關資料，除了整合CA的eTrust和Unicenter產品線，還擴及其他協力廠商的產品，包括防火牆（NetScreen、Check Point、Cisco）、網路設備（Cisco、Nortel）、入侵偵測（Symantec、ISS、Enterasys、Snort）、防毒（Symantec、Trend Micro、McAfee）、弱點評估（Foundstone）及資料庫與系統供應商（Microsoft、Oracle、Sybase）等。

系統會依照所設定的時間，自動收集各個裝置的系統日誌檔，然後將所有的資料儲存到資料庫中，以便日後的存取、檢視、歷史分析和報表製作。上述廠商的產品都有內建的樣版，可以直接套用，如果企業使用自行開發的產品或本土產品，CA也有提供軟體開發套件（SDK），方便企業自行客製化。所有的事件會被儲存成相同的格式，方便管理者集中檢視，更容易發現可疑的攻擊行為，及早採取行動預防可能的破壞。

企業每天可能會收到上千條的安全警訊，甚至是上百萬條，在這樣的環境中，我們常常只聽到「噪音」，而忽略真正的關鍵訊息，以病毒為例，若是一般使用者中毒，也許沒什麼大不了，防毒軟體會自動掃毒，我們可以視這些警訊為噪音，但若是最近超級熱門的Blaster病毒，那就要特別留意，訊息也就不該被忽略，而該立即處理。

Security Command Center內建基本的安全政策樣版，可由管理者設定哪些該過濾，哪些該保留，但最保險的方法還是自訂過濾條件，因每家企業的安全政策都不同，系統只能協助你找出該保存與處理的關鍵事件。當然，由於系統是採專案建置，所以可先與資安顧問討論或直接尋求專家協助，是最快的方法。

當偵測到重要的事件，系統可透過電子郵件或呼叫器即時通知管理者，並依照事件的優先順序，自動執行指示的動作，例如中斷該連線或重新啟動主機，不需管理員介入，可降低事件管理的成本與複雜度。特別的是Security Command Center結合資產管理軟體之後，還可以偵測到主機的異常狀況，如硬碟空間不足、處理器過熱及安裝非法程式等狀況，都可以設定後續該執行的動作。Security Command Center結合剛發表的eTrust Vulnerability Manager，可在偵測出安全漏洞的同時，立即採取回應措施。

在報表方面，針對協力廠商的產品或稽核資料都有預設的報表，並可根據稽核和管理的需要客製化，方便管理者進行分析及評估。另外，報表可儲存成HTML、TXT、CSV及XML等格式。

大多數廠商的安全控管中心只能整合跟安全相關的領域，但CA的eTrust Security Command Center則能夠結合資訊安全與企業管理這兩個領域，不僅只是資訊安全，還包含企業流程和經營管理，也是它獨特的地方。文⊙陳世煌管理你的風險，從收集資料開始

根據Information Delivery Maturity Level（IDML，資料傳送成熟度量表），資料和資訊階段是算是「安全監控」，必須經過分析、定義及排序等步驟，才能轉換成有用的知識，本身的價值也有限。到了知識階段，依照企業的需求定義企業安全的優先順序，然後產生相對的反應，價值才獲得提升。

大多數的人都知道電腦存在許多安全漏洞，如果你只負責自己的電腦，也許會下載更新檔，馬上就把資料（知道漏洞）轉換成反應（修補漏洞）；但若是負責數十臺主機安全的管理員，除了系統的漏洞，還要提防駭客入侵、內部非法存取，以及病毒攻擊，每天由入侵偵測系統和防火牆發出的警示更是數以萬計，要把這些資料轉換成可以採取反應的知識，就需要工具協助，例如防毒系統回報Windows主機遭受Blaster病毒攻擊，轉換成有用的知識就是Blaster病毒利用RPC漏洞進行攻擊，那麼最直接的反應就是關閉該服務，並且立即修補漏洞。文⊙陳世煌