CA強化eTrust弱點管理服務

新版弱點管理伺服器及協同式弱點管理服務齊出爐

資訊安全是CA World 2004大會的重要議題，著墨在科技層面的兩場主題演講中，就有一場是談論資訊安全。CA的eTrust安全管理解決方案執行副總裁Russ Artzt，在主題演講中討論現今企業所面臨的諸多資安問題，說明CA的資安管理策略，以及發表CA新提出的弱點管理服務。這場演講吸引非常多人，幾千個座位幾乎座無虛席。

「許多企業都已經建置資安產品，但他們仍然不安全，因為缺乏管理。」Russ Artzt在主題演講一開始就強調CA的資訊安全的策略定位，也呼應CA所提倡的管理軟體時代。

Russ Artzt指出，現今許多企業仍在IT專案的末期，才來檢視資安的問題，建立IT系統時就必須同步考慮資訊安全問題，如同建造房子的過程中從設計、建材到施工無不考慮安全，而非等房子快建造好之後，才來檢視安全問題。

要做好資安管理需要事前防範，而不只是事發後的反應。「資安問題要能夠被控制，應用程式也是關鍵。我們必須思考軟體的開發過程，」Russ Artzt說：「在整個軟體開發生命周期中，資訊安全都是很重要的部分，以CA自己開發應用程式為例，我們要確保資安產品夠安全，產品安裝後就是安全的-Secure by default。」

整合也資安管理的重要關鍵，Russ Artzt說，大多數時候，企業不知道該如何有效率地對抗安全威脅。我們有辦法評估安全對企業流程所造成的衝擊嗎？如果遭受到攻擊，我們能夠知道哪些主機是維持企業營運不可或缺的關鍵嗎？我們能夠分辨安全問題的嚴重性與必要處理的優先順序嗎？我們能夠測試資訊安全嗎？能夠對資安提供服務等級（Service Level Agreement）的保障嗎？企業流程的每個環節都必須整合資訊安全才能解決這些問題。

Russ Artzt說：「我看到有些公司的網路部門與資安部門是分開的，重要的是兩個部門能夠共同合作。例如你有個網管中心及資安團隊，當半夜發生了資安問題時，你會希望網管人員能夠發現這個資安問題，網管介面能夠通知管理人員資安訊息，由網管人員按個鍵，就由資安管理系統接收這個訊息，並做出相對應的處理。要有一個自動且有效率的IT系統環境，網路管理與安全管理必須要充分的整合。」協同式弱點管理服務

資安問題不斷發生，資安的狀況也是動態的，無時不在變化。Russ Artzt說：「面對資安問題需要整合專家知識，IT人員沒有那麼多時間去研究所有的軟體漏洞，需要哪些修補檔？到哪裏取得修補檔？最新的資安狀況為如？這就是為何CA要成立資安研究團隊的原因。」CA最近增加了一倍的資安研究團隊的人力，他們有近100位位於美國、德國、以色列、澳洲的資安專家，全天候監控安全狀況，每天發掘最新的病毒、蠕蟲、漏洞等安全威脅，提出最佳的修補做法，並維護大約有7000筆的弱點資訊的資料庫。

針對弱點管理，CA在去年的CA World發表了eTrust Vulnerability Manager弱點管理專用伺服器，今年CA不只推出新的版本，還提出新型態的弱點管理服務（eTrust Managed Vulnerability Service）。eTrust Managed Vulnerability Service有別於一般所說的資訊安全管理服務（Managed Security Service），這項服務並沒有完全接手企業的所有安全管理服務，而是採取「協同管理（co-managed）」的模式。

eTrust管理服務副總裁Marc Camm說：「我們跟客戶談及弱點管理服務，他們感興趣的不是完全委外管理的服務方式，而是協同管理服務。他們希望能夠在整個弱點管理生命周期中更快速地反應，然而他們並不想讓非公司以外的人員，能夠直接存取他們的設備，所以我們就設計出協同管理的模式。在這個模式下，我們跟客戶之間形成夥伴關係。」

eTrust Managed Vulnerability Service採取依年度訂閱的方式計費，CA的資安專家會先與客戶進行諮詢，評估企業的IT環境，勘察IT系統的資產設備，並依據客戶的政策需求，部署相關的弱點管理產品。

CA為此建立了弱點管理營運中心（Vulnerability Operation Center），有資安專家全天候監控客戶的弱點管理系統所涵蓋的IT系統。

當CA的資安研究團隊偵測到新的軟體漏點後，如果這個軟體漏洞需要修正，CA會比對客戶的IT系統，評估是否有必要執行修正，經過測試後，把修正檔及執行程序打包好成一個修正檔，通知客戶軟體漏洞的訊息，並透過Unicenter的軟體派送技術，將包裝好的修正檔派送至客戶端，由客戶自己進入系統執行修正。

CA認為弱點管理生命周期包括：監控、分析、通報、判斷優先順序、規畫執行方式、測試、修正、結果報告。在CA所提的新服務模式下，除了最後的修正之外，CA負責其他所有的弱點管理工作。客戶也可以登入弱點管理服務的入口網站，以取得弱點管理的資訊，或直接詢問線上的資安專家。

CA資安研究團隊的素質是這項服務的品質關鍵。相較於在業界頗有知名度的ISS的X-Force團隊，eTrust資深副總裁Toby Weiss說：「CA的資安研究團隊絕對不比X-Force團隊差，而且我們涵蓋的層面更廣，包括病毒、入侵偵測、政策管理及弱點掃描。」

一家健康食品製造廠商Neways的通訊技術資深副總裁Rick Evans在發表會上表示，他們採用eTrust Managed Vulnerability Service服務後，IT人員不必再每天緊盯著最新的資訊安全訊息，可以把IT人員的人力運用在真正對企業營運有幫助的IT工作上。

美國空中大學的技術分析師Jamie Slee指出，要時常注意微軟、昇陽、思科這些公司的資安通報，確實有點困難，而使用弱點管理服務後，可以讓這些事情變得容易多了。

eTrust Managed Vulnerability Service的報價是以5000個監控節點的環境來計算，平均每個節點每年的費用是80美元。CA目前先在北美地區提供這項服務，Toby Weiss表示，CA計畫即將在亞洲提供eTrust Managed Vulnerability Service服務。

隨著軟體漏洞越來越多，弱點管理日益重要，有些廠商如Foundstone已經提供相關的弱點服務，Foundstone亞太區總監陳彥銘表示，弱點管理很重要，因為90%的安全問題肇因於已知的軟體漏洞；不過，自動修正不見得那麼完美，在現實世界中，不是所有的系統都能立即套用修正檔，有些生產線上的系統不能停機，然而套用修正檔通常得重開機，生產線即會停擺。因此，要結合其他的措施，例如針對無法停機的系統，建置入侵偵測或入侵防禦系統來補強。CA將增加資安專用伺服器

CA同時也發表eTrust Vulnerability Manager r8弱點管理專用伺服器，在同一臺伺服器內，整合弱點掃描、自動執行修正檔、設定組態管理以及自動執行修正工作，將弱點管理生命周期中所需要的多項功能，整合在單一臺伺服器。

eTrust Vulnerability Manager r8新增的功能包括自動更新修正檔、自動設定系統組態，並可與Unicenter、eTrust產品整合，支援Unix、Linux及Windows作業系統，建議售價為9500美元起。

雖然CA二十幾年來一直以軟體公司自居，不過從去年開始就陸續推出幾款直接安裝好資安軟體的專用硬體伺服器（appliance）。資安專用硬體伺服器顯然是個趨勢，出貨時基本組態都已經設定好，方便安裝部署，微軟的TechEd開發者論壇的會議現場，就是使用CA的資安專用伺服器。Russ Artzt說：「資安專用伺服器的市場才剛開始，未來有更大的發展空間。CA也將推出其他類型的資安專用硬體伺服器。」文⊙吳其勳