為何資安軟體系統需要定期維護?
先談談軟體維護,也許你會認為,為什麼應該把成本再花在已經購買的東西上,而且可能已支付過客製費用。軟體維護的概念聽起來並非十分容易被人接納,但身為專業資安從業人員,應該理解維護的必要性。這並不是因為軟體開發出來一年後就會改變,而是資訊科技世界一直在改變。
對開發廠商而言,維護軟體與軟體開發同樣重要,在應對業務環境變遷中的挑戰和變化,常規性地維護系統以時保持合乎時宜。眾所周知,IT是新興的行業領域之一,幾乎每天都會引入更先進技術,來提高解決方案效率和簡化業務運營。系統更新維護分為以下幾類:
- 適應調整:面對快速變異的網路世界,及作業系統環境,系統進行一些適應性修改,以保持它與不斷變化的環境相容。
- 追求完整:發現新技術或對功能的微調,提高系統有效性。
- 修正已知問題:檢測現有方案中的瑕疵,或功能不夠完整詳盡的地方,修復並提高系統工作效率。
- 預防性維護:面對已知的漏洞,進行預防性修補,防止系統受任何即將出現的漏洞的影響。
對資安系統用戶而言,定期維護更新的重要性,比一般軟體考慮要更多。基於下列理由,資安系統有更強的動機需要更新維護:
- 補足傳統技術不足,開發新技術
有鑒於資訊流通軟體、方法都在精進,外泄資訊,檔案傳輸行為也愈來愈多變;非典型正規的傳輸協定,傳統監控方法可能力不從心。考慮同時利用多種不同手段,或者需要開發更新控管的技術,才能因應。 - 作業系統、防毒軟體相容性
端點防護軟體會用到各種防護技術,包含Driver、Hook等,與作業系統、防毒軟體等可能發生相容性問題。適度更新的作業系統、防毒軟體和資安系統,可以獲得較充足的支援資源,以解決問題。 - 控管技術更新
舉IM軟體監管支援為例,IM軟體每2~3周就會改版。雖然小改版可能不影響側錄效能;但大改版可能會調整介面、通訊協定等,監控的細節就可能大相逕庭。此時,資安系統有可能必須更新監控技術,以即時的調整因應。 - 系統管理物件及屬性功更新
以應用程式控管技術來說,有很多屬性是作業系統相關的,需要跟進維持有效性。例如微軟鑑於 SHA-1 演算法中的弱點,以及為符合作業規範,使用更安全的 SHA-2 演算法來簽署 Windows 更新。其他如應用程式簽章、憑證等這些都會影響運作。最嚴重甚至於讓應用程式無法執行。另外,像是系統管理物件,也需要定期換新清單,更新屬性定義等。 - 刪除過時的功能
不再使用、不合時宜以及不必要的功能,不需佔用解決方案的空間,實際上反而會妨礙系統的效率。因此,必須刪除過時的功能,並使用最新有效工具和技術替換。 - End Of Service 作業系統,資料庫版本
作業系統、資料庫版本過舊,可能導致新發現的漏洞無法修補或無法使用新功能。建議在原廠不支援更新時,需考慮升級版本。
稽核並依現況調整安全政策之有效性
使用了資安系統,除了IT定期需要處理的問題,其實還有一項稽核工作也是在資安系統裡面必須要定期實施--安系統政策定期審視(Policy Review)
- 制訂之資訊安全政策,應定期進行獨立及客觀的評估,以反應公司資訊安全管理政策、法令、技術及機關業務之最新狀況,確保資訊安全之實務作業,確實遵守資訊安全政策,以及確保資訊安全實務作業。
- 資訊安全政策評估作業,可藉由內部稽核單位、獨立客觀的資深主管人員,進行資訊記錄執行成果之評估。
- 應定期對所屬單位及人員進行資訊系統及技術應用之安全評估,以確保其遵守資訊安全政策及規定。應列入資訊安全評估的對象如下:
- X-FORT系統管理者管理記錄。
- END USER操作記錄。
- 稽核人員稽核記錄。
- 資訊安全政策及規定之宣達
- 資訊安全政策及人員在資訊安全應扮演之角色及責任等有關規定,應在工作說明書或有關作業手冊中載明。
- 工作說明書或作業手冊規定之資訊安全政策、說明及規定,應包括執行及維護資訊安全政策的一般性責任規定、保護特定資訊資產的特別責任規定,以及執行特別安全程序及作為的特別責任規定。
- 員工如違反資訊安全相關規定,應依紀律程序處理。
商場瞬息萬變,營運目標或經營方式改變,資安政策也必須針對性的檢討。破壞的手法也會與時俱進,一成不變的政策手段,可能造成疏漏遺憾。以X-FORT為例,並非設定強硬控管及大量的操作記錄,就可以確保內部人員行為控管及外洩防護有效。我們建議最少每季要對系統實施一次體檢,並且檢討審視資安政策,以維持統統工作的有效性。