從調查可以得知,企業最需要的資訊安全設備依序為垃圾郵件過濾(24.8%)、IDS/IPS(17.3%)、資安管理系統(15.0%)、防火牆(9.5%)及多功能網路安全設備(9.3%)。這與本刊在9月所做的採購調查結果相近(垃圾郵件過濾50.9%,防毒系統50.0%,IDS/IPS 20.5%)。垃圾郵件不僅是垃圾,可能危害更甚

雖然垃圾郵件問題浮上檯面只有短短的一年,但是蔓延的速度卻相當驚人,已經成為企業避之唯恐不及的問題,更可怕的是,許多安全報告指出,垃圾郵件已經開始結合病毒、蠕蟲、木馬及後門等威脅,並透過電子郵件迅速散播,我們要對付的不只是垃圾郵件,而是混合式威脅。

我們以「曾發生過的資訊安全威脅」與「最需要的資安設備」進行交叉比對,發現希望採購垃圾郵件過濾產品的企業,除了遭到垃圾郵件(88.0%)威脅,也大多曾受過病毒蠕蟲(81.9%)及木馬後門(48.1%)等攻擊,驗證了上述的說法。

企業總希望投資能夠立即看得到效益,垃圾郵件過濾產品和防毒軟體相同,立即就可以看得出效益。在沒有建置垃圾郵件過濾系統時,高階主管每天都要浪費許多時間刪除垃圾郵件,但建置解決方案之後,至少可以減輕90%左右的垃圾郵件。

為什麼是90%左右,而不是百分百?就像你裝了防毒軟體,也無法保證不會中毒。由於不同的產業及企業型態,對於垃圾郵件的定義也不同,同樣一封廣告信,對金融業而言是垃圾,但對零售通路可能就是寶貝,而且攔截率越高,誤攔率也就越高,這已經算是不錯的數字了。IPS取代防火牆成為新寵兒

經過這幾年前的努力,防火牆已經從資安設備,化身為企業網路基礎建設之一,企業對它的需求度正逐漸趨緩,不過,也有人喊出防火牆換機潮,希望再造防火牆的另一個春天。

相較於防火牆的成長趨緩,IDS/IPS則是成為新寵兒,可見企業需要能夠主動防禦的設備。對管理者而言,透過IPS可以主動攔掉不少攻擊,減少分析記錄檔的時間,並且增強防護能力。

在我們的交叉分析中,想要採購IDS/IPS的企業,多半也常遭受病毒蠕蟲(87.4%)、木馬後門(54.1%)及駭客攻擊/Port Scan(46.5%)等攻擊,由此可見,許多企業可能是因為遭受到傷害,才會想要採購相關設備。

但是,萬幼筠則尚未看出IDS/IPS對企業的必要性,他認為產品再怎麼自動化,還是需要專人負責管理,企業不見得會願意付出這樣的成本。資安管理系統讓大型企業增強管理效能

資安管理系統會排名第3,倒是讓我們蠻訝異的,也許是因為受到mini SOC風潮的影響,讓已經建置相當多資訊安全設備的產業(金融、政府及電信),希望能夠統整並集中管理資安設備,以降低管理人員的負擔,不過,願意立即採購的意願似乎並不高。

多功能網路安全設備排第5,顯示企業對多功能網路安全設備的需求逐漸增加,除了因為中小企業的預算有限,希望能夠一次購足所有產品,它也能夠降低資安人員的工作負擔。

企業對於即時通訊(IM)監控的需求則沒有想像中的高,多半直接禁止員工使用各類即時通訊軟體,而允許使用即時通訊的企業,則仍在評估相關的解決方案。中華數位產品研發部產品經理高銘鍾表示,大型企業對即時通訊監控和網頁內容過濾的需求比較明顯,小型企業則是能不管就不管。

資安設備沒有換機潮,只有合用不合用

在許多資訊設備的調查中,我們時常會聽見「某某設備換機潮」,實際上,資安產品其實很少會出現「換機潮」,因為大多數的企業都會繼續使用原設備,或是移至內部網段使用,藉此達到雙層防護。加上大多數設備都能夠以韌體或資料庫更新的方式延長生命周期。

至於許多廠商喊出的防火牆換機潮,Symantec亞太區技術顧問林育民認為要等到景氣再復甦一些才有機會,或者是等到防火牆升級的價格與每年維護費用差不多,且新的功能比原來的設備好時,企業才會開始更換。

此外,新技術也為市場投入一顆震撼彈,例如今年造成相當大迴響的SSL VPN,雖然大多數防火牆或路由器都有內建IPsec VPN功能,不過由於應用的範圍不同,許多企業已開始評估SSL VPN解決方案。

滲透測試需要了解企業文化的專家

滲透測試能夠告訴企業風險在哪裡,該如何去改,但它可不是萬靈藥,並無法解決所有的問題。勤業眾信副總經理萬幼筠表示,由於企業本身的「資安能量」不足,根本無法一次就解決所有的問題,舉例來說,滲透測試發現的問題點在於資安設備不足,接著又衍生出人手不足和預算不夠等問題,之後發現還要進行風險分析,並且制定資安政策,問題就像滾雪球一樣越來越大,光靠滲透測試根本就不夠。

「每個產業都有自己的文化,必須進入他們的世界,才能了解問題在哪裡。」萬幼筠說,如果你不了解企業的運作模式,可能就無法從中獲取所需的資訊,他舉一個實例,某家公司認為密碼是一個弱點,所以用Token取代密碼,但顧問執行風險分析後,發現當歹徒拿到Token時,將造成另一個資安弱點。

整個滲透測試過程中,顧問開始先破解「暗碼」,發現他們是以客戶編號作為暗碼,但是並未攻擊防守嚴密的客戶資料庫,而是從其他管理鬆散的部門下手,最後在業務部門的資料庫中發現客戶編號,然後再利用社交工程取得Token,兩者組成完整的密碼。我們可以從這個例子發現,資訊安全是需要經驗的,盲目的一直強攻,不一定能夠找得出問題點。

此外,目前大型企業的總部都設在臺北,大部分的資訊安全廠商也都位於北部,資安人才自然也集中在這邊,如果需要廠商到中南部服務,除了基本的服務費用,恐怕還要負擔差勤和人事費用,造成整個專案成本大幅提高,不是一般企業所能負擔。

熱門新聞

Advertisement