一直想要寫一寫這個主題系列的文章。
其實或許應該更狹隘,或是更精確的說Hacking ISO27001。
台灣的ISO27001通過家數雖然排名全球第四名,但是事實上資安的亂象未減,資安的困境未解,資安產業崩盤洗牌,顧問服務變成「包生子」,驗證服務那把大刀一直砍不下去,兩岸網軍還陷入口水戰!!
我想要談談的還是導入ISO27001的一些亂象,一些問題,一些撇步。ISO27001雖說算是個比較成熟的標準,但是離完全成熟還有段不小的距離,也因此,有些漏洞可以鑽,有些缺陷可以利用,有些vulnerability可以exploit,誰叫ISMS也是個System啊... :>
另一方面,其實我不認為ISO27001是無用的廢物,只能束之高閣或是棄如敝屣,所以也想要談談怎麼利用ISO27001,還要避開ISO27001擾人囉唆的那一面,避免濫用或是誤用了ISO27001。
講這麼多,何時會開始第一篇文章?
我也不知道ㄝ... XD
2007年11月7日 星期三
2007年10月26日 星期五
宣導還是強制?
過去幾年接觸到的工作都是awareness重要,都是training重要,不過最近一年國外的一些資安演講,提出了一個概念就是「不要教育使用者,而是強制(enforce)他們」,理由是緩不濟急,且難以驗證成效。
這樣的論點我同意一半,而且非常同意理由。我認為不是教育使用者不重要而不去做,而是應該投注更多心力在強制資安政策的執行,而在資源有限的情況下,推動強制落實會比教育、認知宣導更為優先。
這點在國內環境似乎並不容易執行,可是,我們不知不覺間其實有在做:我們會教育使用者小心開啟附檔名是.pif的檔案,還是乾脆幫他裝上一套有效的防毒軟體?我們會教育使用者小心不明人士進入機房,還是乾脆刷卡密碼掌型指紋靜脈門禁管制?
沒有強制力,資安都是玩假的;就像幾年前很紅的「執行力」一樣,沒有執行力,什麼願景政策都是畫虎爛。
這點在政府機關尤其重要,很多人都以為政府機關很牛,推不動,錯了!只要你的資安規範寫的是「可以」、「應該」,那很多單位能不動就不動,能少做一點是一點,可是一旦寫的是「必須」、「不得」、「不可」,他們就算幹聲不絕還是會照做的,只是這點,又有多少做政府案子的資安顧問瞭解?
強制力不是蠻幹硬推,而是別交給人做,只要是由「人」來執行的工作,就有怠惰疏忽忘記錯誤造假竄改的問題,能自動化就自動化,能電腦做就電腦做,門禁系統不會怠惰,CCTV不會疏忽,防毒軟體不會忘記,系統稽核不會造假,System Log不會竄改,電子表單不會掉單吃案,系統管理員當然還是有機會上下其手,可是這在某程度上是只能盡力抑制而無法避免的風險,屬於「人」的風險。
至於Budget哪來?這部分就是另外一個問題了,例如如何有效連結到企業經營的核心價值,如何說老闆聽得懂的語言,如何爭取預算,如何管理並展現績效等,有機會再來談這部份。
這樣的論點我同意一半,而且非常同意理由。我認為不是教育使用者不重要而不去做,而是應該投注更多心力在強制資安政策的執行,而在資源有限的情況下,推動強制落實會比教育、認知宣導更為優先。
這點在國內環境似乎並不容易執行,可是,我們不知不覺間其實有在做:我們會教育使用者小心開啟附檔名是.pif的檔案,還是乾脆幫他裝上一套有效的防毒軟體?我們會教育使用者小心不明人士進入機房,還是乾脆刷卡密碼掌型指紋靜脈門禁管制?
沒有強制力,資安都是玩假的;就像幾年前很紅的「執行力」一樣,沒有執行力,什麼願景政策都是畫虎爛。
這點在政府機關尤其重要,很多人都以為政府機關很牛,推不動,錯了!只要你的資安規範寫的是「可以」、「應該」,那很多單位能不動就不動,能少做一點是一點,可是一旦寫的是「必須」、「不得」、「不可」,他們就算幹聲不絕還是會照做的,只是這點,又有多少做政府案子的資安顧問瞭解?
強制力不是蠻幹硬推,而是別交給人做,只要是由「人」來執行的工作,就有怠惰疏忽忘記錯誤造假竄改的問題,能自動化就自動化,能電腦做就電腦做,門禁系統不會怠惰,CCTV不會疏忽,防毒軟體不會忘記,系統稽核不會造假,System Log不會竄改,電子表單不會掉單吃案,系統管理員當然還是有機會上下其手,可是這在某程度上是只能盡力抑制而無法避免的風險,屬於「人」的風險。
至於Budget哪來?這部分就是另外一個問題了,例如如何有效連結到企業經營的核心價值,如何說老闆聽得懂的語言,如何爭取預算,如何管理並展現績效等,有機會再來談這部份。
2007年9月29日 星期六
雞肋伺服器
資安界有件很轟動的大事。
一位天才駭客,入侵了許多知名網站並竊取個資販賣,然後,被抓。俗話說盜亦有道,既然有不上道的只能說他活該,讓我們在這邊為他默哀一分鐘... XD
其中某家知名但不具名的大公司也在受害者之列,探究其原因後,發現天才駭客原來是從一台荒廢已久的伺服器入手,這台伺服器並沒有擔負營運任務,年久失修,就像是湮沒在荒煙漫草裡的無名塚一樣,為世人所遺忘...
一般資訊化較久又有幾個閒錢的公司,或是有設備報廢年限的公家機關,或是根本在Internet上混飯吃的.com,系統與設備多會有汰換升級的動作,當 系統或設備切換完畢後,多半會同步運行一陣子,以準備突如其來的不穩定狀態影響了系統運行時必須切換回舊系統。當一切穩定上軌道後,運氣好的,會把舊設備 移作他用,砍掉重練,運氣不好的,就變成了雞肋伺服器,挪用嫌慢,砍掉(報廢)嫌煩。
另外像一些資本雄厚的公司,一用一主機,一機一世界,可以為了單一任務搞台主機寫個系統架個站,這樣做其實是沒錯的,可以避免干擾正常營運中的伺服器,不 過這些曇花一現伺服器通常是網管最討厭的,數量又多,繁殖又快,管理權也不在自己手上,而且通常比較緊急,急著架,急著上,急著討打,急著遇駭。什麼時候 任務結束也沒人通知,什麼時候活動結束也沒人知道,網管索性也不管了(事實上也沒法管,管來更費力,其他事都不用做了),放著自生自滅,這些也是雞肋伺服 器。
這種荒廢了的雞肋伺服器很麻煩,它從來沒經過正式程序下線,也不知道是不是要下線,什麼時候要下線。沒有人知道應該怎麼照顧它,因為它已經不再擔負營運任務,所以patch、升級、改密碼、檢查、稽核、Log Review、Monitoring、VA、PT不是跳過它、排除它、輪不到它,就是遺忘它、忽略它、隱藏它,等到日子一久、事情一忙,管理人員來來去去,沒有人記得它的存在時,它就真的變成"無名小站"了....
駭客這時只要不要太招搖重新吸引管理員的目光,就算在上面開會、開Party、開工廠、開私服,跑john、跑Hydra、跑SETI、跑UD,也不會有人注意的。
管理這些雞肋伺服器是一門學問,它們沒有正式下線,所以不能任意砍掉重練,就連關機這種節能環保省錢的事都不能做;決定它們生死的常常根本不是網管,而是其他部門,而負責人可能早就未交接離職了;有的根本已經被各方人馬所遺忘,用途不明,任務不明,負責人不明,架構不明,前途不明,root帳號不明,hostname不明...,網管只負責提供塔位以及出事時背黑鍋扛責任,其餘一概不管。
許多網管選擇撒手不管,出事再說;有的網管則是造冊列管,上面一堆的Unknown、N/A;有些網管選擇在雞肋伺服器外面加上重重防護,監聽監看側錄過濾一應俱全,只是本錢這麼粗可不是每家公司都做得到的;有魄力的就拿飯碗賭一賭,先關機然後看看系統服務是不是都還正常,運氣不好關到不知名的cache server,不知道哪天加上去的authentication server,不知道何時冒出來的Queue Server,甚至搞不清楚怎麼這邊才是Master的DS,那就鼻子摸摸趕快重開,然後洗洗耳朵準備挨罵;如果一兩天都沒人唉唉叫,那運氣不錯,裡面資料備份一份後應該就可以砍掉重練了,如果有人氣急敗壞暴跳如雷衝進來發飆,就是制式回答「我們不小心拔錯插頭,等下就能使用了」,順便記下來人是誰,以後出事好歹知道通知誰。不過,敢賭能賭還賭贏的網管畢竟只是少數.....
唉,雞肋伺服器,食之無味,棄之可惜,硬吞還會噎到,實在難搞啊~
一位天才駭客,入侵了許多知名網站並竊取個資販賣,然後,被抓。俗話說盜亦有道,既然有不上道的只能說他活該,讓我們在這邊為他默哀一分鐘... XD
其中某家知名但不具名的大公司也在受害者之列,探究其原因後,發現天才駭客原來是從一台荒廢已久的伺服器入手,這台伺服器並沒有擔負營運任務,年久失修,就像是湮沒在荒煙漫草裡的無名塚一樣,為世人所遺忘...
一般資訊化較久又有幾個閒錢的公司,或是有設備報廢年限的公家機關,或是根本在Internet上混飯吃的.com,系統與設備多會有汰換升級的動作,當 系統或設備切換完畢後,多半會同步運行一陣子,以準備突如其來的不穩定狀態影響了系統運行時必須切換回舊系統。當一切穩定上軌道後,運氣好的,會把舊設備 移作他用,砍掉重練,運氣不好的,就變成了雞肋伺服器,挪用嫌慢,砍掉(報廢)嫌煩。
另外像一些資本雄厚的公司,一用一主機,一機一世界,可以為了單一任務搞台主機寫個系統架個站,這樣做其實是沒錯的,可以避免干擾正常營運中的伺服器,不 過這些曇花一現伺服器通常是網管最討厭的,數量又多,繁殖又快,管理權也不在自己手上,而且通常比較緊急,急著架,急著上,急著討打,急著遇駭。什麼時候 任務結束也沒人通知,什麼時候活動結束也沒人知道,網管索性也不管了(事實上也沒法管,管來更費力,其他事都不用做了),放著自生自滅,這些也是雞肋伺服 器。
這種荒廢了的雞肋伺服器很麻煩,它從來沒經過正式程序下線,也不知道是不是要下線,什麼時候要下線。沒有人知道應該怎麼照顧它,因為它已經不再擔負營運任務,所以patch、升級、改密碼、檢查、稽核、Log Review、Monitoring、VA、PT不是跳過它、排除它、輪不到它,就是遺忘它、忽略它、隱藏它,等到日子一久、事情一忙,管理人員來來去去,沒有人記得它的存在時,它就真的變成"無名小站"了....
駭客這時只要不要太招搖重新吸引管理員的目光,就算在上面開會、開Party、開工廠、開私服,跑john、跑Hydra、跑SETI、跑UD,也不會有人注意的。
管理這些雞肋伺服器是一門學問,它們沒有正式下線,所以不能任意砍掉重練,就連關機這種節能環保省錢的事都不能做;決定它們生死的常常根本不是網管,而是其他部門,而負責人可能早就未交接離職了;有的根本已經被各方人馬所遺忘,用途不明,任務不明,負責人不明,架構不明,前途不明,root帳號不明,hostname不明...,網管只負責提供塔位以及出事時背黑鍋扛責任,其餘一概不管。
許多網管選擇撒手不管,出事再說;有的網管則是造冊列管,上面一堆的Unknown、N/A;有些網管選擇在雞肋伺服器外面加上重重防護,監聽監看側錄過濾一應俱全,只是本錢這麼粗可不是每家公司都做得到的;有魄力的就拿飯碗賭一賭,先關機然後看看系統服務是不是都還正常,運氣不好關到不知名的cache server,不知道哪天加上去的authentication server,不知道何時冒出來的Queue Server,甚至搞不清楚怎麼這邊才是Master的DS,那就鼻子摸摸趕快重開,然後洗洗耳朵準備挨罵;如果一兩天都沒人唉唉叫,那運氣不錯,裡面資料備份一份後應該就可以砍掉重練了,如果有人氣急敗壞暴跳如雷衝進來發飆,就是制式回答「我們不小心拔錯插頭,等下就能使用了」,順便記下來人是誰,以後出事好歹知道通知誰。不過,敢賭能賭還賭贏的網管畢竟只是少數.....
唉,雞肋伺服器,食之無味,棄之可惜,硬吞還會噎到,實在難搞啊~
2007年8月10日 星期五
IT Security Configuration Guides and Checklists
簡單的隨手札記...關於IT的Security Configuration Guides and Checklists...
「Windows XP安全強化18招」
「讓網頁伺服器安全的七武器」
「電子郵件安全必殺五式」
這類的新聞、專欄、文摘實在看煩也看膩了,雖然其內容多半有其重要性,或是特別強調了某部分,以與當時的熱門資訊安全事件相呼應,但是這類文章多半「以偏 蓋全」、「掛一漏萬」、「斷簡殘篇」,長長見識,增加點認知倒是可以,想要照著實作就有難度了,不僅不清楚怎麼做,甚至做完了還不清楚這樣算不算安全。
要實作,最好的方法還是要比較完整的安全指引或是實作指引。雖然現在資安變成了某種「顯學」,大廠多半會提供自身產品的安全強化指引,但是散落各處查閱耗 時不說,文件品質也良莠不齊,一些比較中性,比較非產品面的安全考量也不會在這類指引中出現,最好的方法,還是一些比較中立,或是超然於產品面外的政府機 關提供的安全實作指引會更容易遵循些。
下面就列了幾個比較好用的安全檢查與實作指引的網站,這些網站多半蒐羅了各式各類的安全檢查清單與設定指引,更好的是,有的還有Benchmark tool,可以用來安全檢查或是稽核用,讚!
NSA(美國國家安全局) Security Configuration Guide:
http://www.nsa.gov/snac/index.cfm?MenuID=scg10.3.1
NIST(美國國家標準局) Security Configuration Checklists Repository:
http://checklists.nist.gov/repository/category.html
DISA(美國資訊系統保護局) Security Checklists:
http://iase.disa.mil/stigs/checklist/index.html
SANS S.C.O.R.E. Checklists:
http://www.sans.org/score/checklists.php
CIS(Center of Internet Security) Benchmarks/Scoring Tools:
http://www.cisecurity.org/
另外關於Windows/IIS/SQL,微軟也提供了一套MBSA的自動檢查工具,可以做一些基本的安全檢查,這應該是對一般人來說最簡單也最懶惰的工具了。
想知道自己管的系統有多安全(或多不安全)嗎?檢查一下吧,保證會嚇一跳 :P
「Windows XP安全強化18招」
「讓網頁伺服器安全的七武器」
「電子郵件安全必殺五式」
這類的新聞、專欄、文摘實在看煩也看膩了,雖然其內容多半有其重要性,或是特別強調了某部分,以與當時的熱門資訊安全事件相呼應,但是這類文章多半「以偏 蓋全」、「掛一漏萬」、「斷簡殘篇」,長長見識,增加點認知倒是可以,想要照著實作就有難度了,不僅不清楚怎麼做,甚至做完了還不清楚這樣算不算安全。
要實作,最好的方法還是要比較完整的安全指引或是實作指引。雖然現在資安變成了某種「顯學」,大廠多半會提供自身產品的安全強化指引,但是散落各處查閱耗 時不說,文件品質也良莠不齊,一些比較中性,比較非產品面的安全考量也不會在這類指引中出現,最好的方法,還是一些比較中立,或是超然於產品面外的政府機 關提供的安全實作指引會更容易遵循些。
下面就列了幾個比較好用的安全檢查與實作指引的網站,這些網站多半蒐羅了各式各類的安全檢查清單與設定指引,更好的是,有的還有Benchmark tool,可以用來安全檢查或是稽核用,讚!
NSA(美國國家安全局) Security Configuration Guide:
http://www.nsa.gov/snac/index.cfm?MenuID=scg10.3.1
NIST(美國國家標準局) Security Configuration Checklists Repository:
http://checklists.nist.gov/repository/category.html
DISA(美國資訊系統保護局) Security Checklists:
http://iase.disa.mil/stigs/checklist/index.html
SANS S.C.O.R.E. Checklists:
http://www.sans.org/score/checklists.php
CIS(Center of Internet Security) Benchmarks/Scoring Tools:
http://www.cisecurity.org/
另外關於Windows/IIS/SQL,微軟也提供了一套MBSA的自動檢查工具,可以做一些基本的安全檢查,這應該是對一般人來說最簡單也最懶惰的工具了。
想知道自己管的系統有多安全(或多不安全)嗎?檢查一下吧,保證會嚇一跳 :P
CSIRT Starter Kit
http://www.terena.nl/tech/task-forces/tf-csirt/starter-kit.html
什麼是CSIRT? CSIRT的全名是Computer Security Incident Response Team, 也就是類似CERT的組織.
CSIRT通常是一個企業或是組織統一執行資訊安全事件應變處理的小組, 很多企業或組織希望成立一個內部的CSIRT, 可是卻不知道從何下手, 從哪裡開始, 因此, 有了這個網頁的誕生... 這個網頁內包含了CSIRT的FAQ, 與CERT, IRT等的差別, 需要準備什麼文件, 要執行什麼工作, 要準備哪些Tool, 還有, 很重要的, 怎麼訓練CSIRT的成員, 這邊都提供了不錯的資訊. 想在自己公司內搞個CSIRT嗎? 來看看吧...
訂閱:
文章 (Atom)
