Foundstone Enterprise 3.0

資訊安全風險=資產重要性×漏洞嚴重性×潛在威脅
早期預警，量化企業風險

提到風險管理，自然會想到弱點評估；說到弱點評估產品，Foundstone的產品可說是名列前茅。當大多數廠商的目光還停留在弱點掃描時，Foundstone已經向前跨進風險管理的領域，將產品加入資產（Assets）和威脅（Threats）等2種元素，不單只是掃出漏洞，還要能修補漏洞、預先防範威脅。

分散式架構、Web管理介面、帳號管理、工作排程和線上更新，這些都是一般弱點評估軟體能做到的事，Foundstone Enterprise當然也沒少。

資產管理是Foundstone Enterprise 3.0新增的功能，也是重頭戲之一。你也許會好奇，弱點評估跟資產管理也可以扯得上關係嗎？我們以疾風病毒（W32.Blaster.Worm）來解釋，如果企業內部有100臺電腦需要修補RPC這個漏洞，那麼MIS通常會依照主機的重要性來決定修補的先後順序，ERP、資料庫或Exchange主機會優先修補，然後是其他的主機，最後才輪到一般的個人電腦，所有的主機都是企業的資產，所以Foundstone將企業資產分成5級，從最低的Low到最高的Extensive，當系統掃描完成後，管理者可以很清楚的知道哪些重要主機有漏洞，必須優先進行修補。

我們也可以依需要設定電腦群組，將數百臺的電腦資產分成各種類別，方便清查與管理。此外，系統提供標籤功能，管理者可以任意更改主機的名稱，例如將電子郵件主機標示為iThome Mail Server，不再只是死板的IP位址和電腦名稱。

另一個重頭戲是早期預警模組（Threat Correlation Module），由Foundstone實驗室蒐集相關的安全情報資訊提出預警與建議，讓企業提早因應潛在威脅。最新的安全報告指出，40%的攻擊都是在漏洞預警發布後6個月內爆發，而且病毒和蠕蟲的製造周期越來越短，以疾風病毒為例，它在微軟公布漏洞預警的26天後爆發，如果一個月才執行一次系統更新，那麼後果可想而知。早期預警可以讓你知道哪些漏洞已經出現攻擊程式、哪些主機上面有該漏洞、駭客團體是否針對特定漏洞進行大規模攻擊與破壞。

還有一個不錯的新功能就是自訂安全係數MyFoundScore。 Foundstone Enterprise提供安全係數（FoundScore）功能，滿分是100分，如果存在1個高風險漏洞，立即會被扣掉50分，也就是不及格，雖然系統自動替企業打分數是好事，但每家企業對風險和資產的認知都不同，例如高風險的Sendmail漏洞對使用Exchange的企業而言，可能只是一個小問題。

MyFoundScore可依企業網路環境和組織需求，並結合資產管理所定義的資產重要性，自行定義評分標準與加乘基數，當資產的重要性越高，所加乘的基數也越高，以真實反應出安全風險。我們同樣以高風險的Sendmail漏洞為例，原先的FoundScore分數會扣50分，但如果該伺服器的重要性為5，那麼加乘基數是1.5，MyFoundScore會扣65分（50×1.5）；如果資產重要性是1，那麼加乘基數是0.5，則只會扣25分（50×0.5）。要正確的制定出資產重要性，也是一門蠻深的學問。跨平臺掃描：主機、網路、資料庫
圖型化報表與弱點修復相輔相成

弱點評估產品可概分成主機型及網路型，最常見的是網路型弱點評估產品，包括ISS Internet Scanner、Symantec NetRecon、中華龍網DSS及SECUi.COM secuiSCAN，另外還有廠商推出資料庫及無線網路的弱點評估產品。我們可以將FoundScan（FoundStone Enterprise的前身）歸類為網路型弱點評估產品，但卻無法將Foundstone Enterprise 3.0列為同類產品，因為它不僅能掃描網路型和主機型的安全漏洞，甚至還能偵測網路設備、無線網路及網頁應用程式的安全弱點。

3.0版新增主機型弱點掃描，只要輸入網域管理員或主機管理員的帳號與密碼，就可以檢掃描主機的註冊檔（registry），得知哪些主機未安裝修補程式，哪些主機有安裝P2P程式，並且檢測防毒軟體及病毒碼的版本，或者IE瀏覽器的安全設定疏失，但目前僅限Windows NT/2000/XP/2003作業系統。

我們除了要擔心作業系統和網頁伺服器的漏洞，網頁漏洞也是常見的問題，因為很多網頁製作完成後，未經過安全檢查就直接上傳到網站目錄中，裡面可能暗藏連結資料庫的帳號與密碼，只要駭客取得相關資料，就可以直接更改產品售價、置換頁面，損失的不止是金錢，還賠上公司的商譽。

Foundstone Enterprise能夠針對網站內容進行弱點評估。系統首先會辨識網頁應用程式類別與名稱，透過網頁內容分析，找出網站上可供瀏覽的HTML、ASP、JSP、CGI或其他檔案，並且測試Web登入帳號與密碼的組合強度，針對Basic、NTLM及表單式（Form）認證，進行基本的帳號密碼破解，使用者也可以載入字典檔，甚至執行暴力破解。

另外，系統還能夠檢測網頁原始碼內是否有SQL Injection（資料隱碼）或Input Validation等漏洞，找出網站潛藏的弱點和敏感性資料，避免成為駭客入侵的「後門」。

圖型化報表是Foundstone Enterprise的賣點之一，我們詢問幾位安全專家，他們一致認為Foundstone Enterprise的報表是所有弱點評估軟體之中最好的。好在那裡呢？親和美觀自然不在話下，它也包含最多的資訊，掃描摘要、網路安全架構圖、主機系統分布狀況、網路服務分布狀況、作業系統分布狀況、漏洞分布狀況/修補建議及趨勢比較分析資訊都包含在其中，加上大量的圖形和表格資料，不論是企業高層、IT主管或MIS人員都能很方便的閱讀。新舊版本的報表格式差不多，使用過的管理者應該很快就能上手。

弱點修復管理模組是與圖型化報表相輔相成的工具。系統具備Web和電子郵件通報警訊與追蹤功能，可將發現的漏洞以問題單（ticket）的方式派送給負責人，並利用VulnTrak技術來指派、追蹤和記錄該漏洞的修補進度，如果負責人於指定期限內未修復漏洞，VulnTrak會再進行追蹤與警告，避免因個人疏忽而使網路整體安全能量下降。

許多人關切的一個問題是會推出中文版本嗎？我們得到的消息是肯定的，預計年底前會推出中文模組，不僅只是報表中文化，包括操作介面也都會全部中文化。

另一個問題則是掃描時間，因為完整的弱點掃描至少要花上數個小時，如果要進行破壞型漏洞掃描測試（DoS、Buffer Overflow），對網路所造成的影響更大，時間也更長，除了可利用排程功能在非上班時間進行檢測，Foundstone Enterprise所採用FoundScan Engine邏輯式掃描引擎，也會根據目標的特性自動判斷，辨識出正確的作業系統和網路服務，降低不必要的掃描程序。另外，系統也提供2種解決方法，第一種是模擬伺服器，如果硬體設備不錯，至少可以模擬出5臺，也就是同時有5臺伺服器在進行掃描，另一種方式是調整封包大小（batch size）和送出封包的時間，以加速完成掃描。文⊙陳世煌