大型製造業最在意的資安治理之道

製造業是以製造出有價值產品的產業,他與農業或服務業最大的不同是,製造業會有工廠產出產品,從設計研發到生產等一系列具有標準化的產品製造流程,這中間經過詳細的研究、計畫、評估來製造符合標準的產品,而服務業是以服務人,針對人提供各種差異化、客製化的產品為主,雖然現在製造業與服務業之間的界線已經慢慢模糊,但是以下我們還是以傳統金屬製造業來舉例說明。

兼具效率,管控達到平衡點

研發部、生產部、業務部、行政部、企劃部、財務部、工程部各部門的文件可橫向流動,主部門與子部門之間文件也會垂直流動,如何做好兼具效率不改變使用者習慣卻能讓文件正常流通於各部門間又可達到防止資料外洩的目的,對於資訊單位的管理人員來說,可分為兩大項進行規劃。

1. 本機周邊設備管控:外接式儲存裝置(隨身碟、外接硬碟)、智慧手機、藍芽設備、燒錄機、印表機。 

電腦可透過上述周邊設備把公司檔案攜出,基於業務需要各個部門都有可能把檔案寫出到外接儲存設備,提供檔案給政府、廠商或客戶。

以下將針對各個裝置說明控管的方向。

外接式儲存裝置(隨身碟、外接硬碟):預設禁用外接儲存媒體(包含多功能的裝置),有寫出檔案需求者需透過申請流程,再由管理員針對申請人員帳號開放寫出檔案到外接儲存裝置,且會有檔案寫出記錄。

智慧手機:預設禁止使用者把智慧手機透過連接線接到電腦上,只保留充電功能,若有業務需求請透過申請流程申請使用,且會有檔案寫出記錄。

藍芽設備:預設禁用藍芽傳輸檔案功能,但是藍芽設備例如藍芽鍵盤、滑鼠不受此限制。

印表機:控管各部門電腦只能列印到自己部門所屬印表機,無法列印到其他部門印表機,即使自行安裝印表機也無法列印,若有所屬部門外印表機列印需求,請依照申請流程申請列印,無論列印成功失敗均會有記錄可查詢。

2. 網路行為控管:雲端硬碟、IM通訊軟體(如:Line)、網頁控管、無線網路、郵件。

製造業資訊部門基礎建設必備對外防火牆,上述電腦上網行為均可透過公司防火牆達到保護及管制效果。 

資訊部門需考慮的是筆記型電腦在公司外面的網路行為與使用者透過智慧手機上網達到不受公司防火牆控管的資安漏洞。

面對此漏洞提出以下建議參考

對筆記型電腦設定離線政策:一旦筆記型電腦脫離公司網路、更換廠區,電腦資安軟體會自動套用離線政策,建議離線時禁用IM通訊軟體、禁用雲端硬碟(包含雲端硬碟同步程式)、禁用WebMail。若一定要使用,重點就必須放在筆電脫離公司控管環境下,行為仍需要可以被稽核,如先將記錄存放於電腦中,電腦返回公司時,行為記錄自動回傳到資安系統備查。

無線基地台連線限制:為防止使用者透過智慧手機分享的無線網路上網,導致上網行為不受公司防火牆控制,建議把公司無線基地台設定為白名單,公司電腦只能透過白名單無線基地台才能連網。不論是否在公司內外,都可避免使用者私接其他網路,脫離公司管控範圍。

智慧手機連線上網:使用者可透過智慧手機連接線接到電腦透過智慧手機分享的網路卡上網,建議預設禁用外接USB連接線網卡,杜絕此資安漏洞。

只要把網路的源頭控管好,讓大部分的網路行為都在控管的範圍內,筆電外出的網路行為也需要有回公司後,自動回傳網路記錄的功能,讓資安的隱患降到最低。

資訊安全的補強,加強文件的控管與記錄

公司最重要的財產除了營業設備以外我想更重要的就是公司的『營業秘密』文件,這些是公司的無形資產,舉凡設計圖、合成原料,生產技術等這些重要的機密文件除了前述的防護、保護措施,針對產出這些機密文件的部門,建議加強文件操作軌跡的記錄,舉凡文件的新增、刪除、複製、搬移、更名等行為均需要詳細記錄;文件在檔案伺服器與個人電腦之間的軌跡記錄,將更補強資訊安全的強度。

更甚者對於研發部門文件亦可加上文件加密系統,大大強固了公司營業秘密的安全性,讓企業運作保持了安全性與靈活性。


About Version 2

Version 2 Digital is one of the most dynamic IT companies in Asia. The company distributes a wide range of IT products across various areas including cyber security, cloud, data protection, end points, infrastructures, system monitoring, storage, networking, business productivity and communication products. Through an extensive network of channels, point of sales, resellers, and partnership companies, Version 2 offers quality products and services which are highly acclaimed in the market. Its customers cover a wide spectrum which include Global 1000 enterprises, regional listed companies, different vertical industries, public utilities, Government, a vast number of successful SMEs, and consumers in various Asian cities.

關於精品科技
精品科技(FineArt Technology) 成立於1989年,由交大實驗室中,一群志同道合的學長學弟所組合而成的團隊,為一家專業的軟體研發公司。從國內第一套中文桌上排版系統開始,到投入手寫辨識領域,憑藉著程式最小、速度最快、辨識最準等優異特性,獲得許多國際大廠的合作與肯定。歷經二十個寒暑,精品科技所推出的產品,無不廣受客戶好評。

Agent-Based 與 Agentless ITAM 資訊資產管理系統,哪一種適合你 ?

資產管理的挑戰

資產管理對於不同規模和業務屬性的組織,帶來了截然不同的挑戰。規模較小的組織,尤其是在新創啟動階段,所擁有資產可能還很少,因此認為沒有必要對其進行正式管理與稽核。如果整個公司的 IT 資產成長到一定規模,或者IT資產(如筆電)會隨員工出門行動;就可能認為需要對資產規畫流程,進行追蹤管理。

隨著公司的發展成長,員工越來越多,會增加使用伺服器,以及更替筆電。在這個時候,引進一個專業的資產管理系統,來追蹤和盤點這些資產,管理替換生命週期,對組織業務運作上都會有實質幫助。

那麼該選哪一種?

IT 資產管理系統依據其收集資料的方式不同,可以分成 Agent-based 以及Agentless。首先定義一下IT 資產管理 (ITAM):一套追蹤和稽核IT設備資產生命週期的實務系統。IT 相關設備的資訊,包括庫存數量,以及授權效期、維護合約等及其相關費用。這些通常包括購買價格、年度維護成本、購買日期以及授權終止/服務終止日期 (EOL/EOS) 日期等詳細資訊。可以通過 IT 資產管理系統,將合約與其申請採購的案例相關聯。軟硬體授權數和實際安裝使用總數比對,清查使用狀況,作為採購、作業管理的依據。ITAM 系統不僅限於這些功能 , 許多系統還可以擴充更多附加、進階功能。但是最基本的IT 資產管理系統,至少能夠自動化盤點 IT 資產的詳細資訊;更有甚者,還可追蹤管理執行中程序,檢視比對機碼、組態設定,關聯主體與配件間或軟體與執行中行程的相依或連接關係。

發展中的公司組織並不會一成不變,資產狀態也會變動。成長超過一定規模,會面臨庫存管理、異動、調用等問題;另一種情況是在合併或收購,其中被收購的組織變更,原有的資產轉移、報銷、併入新組織的異動;ITAM系統能夠核對新收購的資產,並與當前資產資料合併?這些過程可以手動執行,或自動執行。

資產管理的第一件事就是要清查出所有資產(本文中皆稱Asset discovery 資產探索),不論是 agent-based 或agentless  的方案都各有其優點,甚至某些解決方案採取混合架構,舉例比較二者間優缺點:

 

Agentless

Agent-based

 優點 

掃描網路即可盤點資產不需要在端點安裝程式不需事先預估精確的資產數量不需在資產上安裝軟體系統資源耗用最少工具取得容易,不受限特定廠商低維護成本,只需維護中央掃描套件支援跨平台,不受作業系統限制

不需額外開通網路通訊供掃描能夠提供詳細的系統程序執行狀態常駐程式可以取得較詳細的系統資訊不需額外取得執行權限可以執行軟體安裝,移除,控制軟體執行可擴充資安功能,執行強制控管,稽核記錄即時(Real-Time)取得資產異動狀態遠端執行安全有效的Help Desk

 缺點 

被盤點的資產必須在掃描時期,網路上即時回應特定通訊無法掃描獨立 / 隔離網段或電腦設備取得的細節有限,遠低於端點程式被動的資產狀態更新,受限於掃描週期掃描時耗費大量網路頻寬

所有列管資產都必須安裝端點程式維護時需要全面更新端點程式有裝端點程式的資產才能被盤點管理專屬功能工具易受制於廠商端點安裝支援作業系統平台受限

雖然實施流程上存在許多不同細節,但本質上只有三種用於探索及管理追蹤方法。無論最終採用哪種特定方法,最後脫不了下列三種:

手動資產探索/追蹤 (現在沒人想這麼做吧)

Agent 自動探索/追蹤

Agentless資產追蹤和探索。 

什麼是真正的自動化資產探索?

在探索資產方面實現自動化就如同你認知的其他IT自動化一樣。相較於人工到機房、辦公室現場,用紙筆計算盤點設備,自動化盤點系統需要少許的設定,如伺服器名稱、IP 位址範圍或登入網域。只需要目標電腦在網路上,回應指定的通訊埠,並接受所提供的身分驗證,即可自動掃描和探索的整個網路上的IT資產。

Agentless

掃描主機探訪指定網路範圍內每個伺服器、PC、設備,先嘗試判斷作業系統或製造商特定的協定,從 SNMP 到 SSH,適用於一般的網路硬體及大多數作業系統。更進一步用特定作業平臺 API技術,如 Windows 的 WMI 和 WinRM ,及用於 Linux/BSD/Unix 的 SSH。除此之外,其他方法使用側錄網路設備之間的封包流量,用收集到的資訊來推斷設備的類型。

這些技術都要求將資產掃描軟體,連接到與被探索的端點相同的網路,並且保持此連線。在大多數情況下,這不會是問題;但因為資訊安全上的考量,現實環境大部分的網路通訊協定都被關閉,被監視的服務很可能也關閉。在這種情況下,Agent-based的方案可能是首選,甚至可能是唯一的解決方案。

Agent-Based

Agent-Based資產的探索是在每個標的電腦設備上安裝一個軟體程式。這程式是在目的電腦上是獨立執行運作的程序,而不是被遠端呼叫用的程序(例如RPC)。使用此方法探索資產的優點是,可以在目標上沒有開啟通訊埠(如SNMP)的情況下收集資料;甚至沒有直接連線的獨立網段及主機,也能夠收集並儲存資料。如果在連線的狀態下,agent 可以提供定期回報如,每小時、天、周甚至數月的活動資料。其他有效運用的情境方案,像是筆電經常會外出使用 ,等到回到組織或連接其自己的 VLAN 上,就可以更新及回傳資料。或者在最嚴格的情況下,對隔離和獨立封閉的系統,以手動間接存檔方式,匯資料回到伺服器上。

然而在Agent-Based系統上,要追蹤您的資產,必須先安裝程式;但是,如果尚未安裝程式,管理員應該從何處知道有此項資產呢 ?又如何取得需要安裝的電腦完整清單? 裝了之後,管理人員如何知道是否取得了完整資產名單?然而,這是一個非常現實的問題,因無法確保部署工作是否完成,及剩下那些資產未部署完成,這也是規模大的單位選擇Agentless掃描方法的主要原因之一。

結合 Agentless 及 Agent-based ,並且更優化 ? 

與許多事情一樣,選擇方案面臨的最大挑戰之一是,大多數產品供應商只將開發工作重點放在一種技術上。然而最好的選擇通常是從所有選項中,擷取優勢項目並充分利用。直覺的理解,同時提供Agentless 及 Agent-based的解決方案是比較好的選擇。但有一種方案可能遠優於前述的單純混合方案,考慮以Agent-Based 資產管理為主要架構,外掛獨立資產掃描服務。

在軟體資產管理範疇中,通常包含軟體執行的控制與管理以及其他安全控制。為維持資安防護有效性,agent 本身就需要具備一定強度的自我防護。除了防護之外,Agent-based更可以時時監控,精準掌握資產狀態。這方面適用於大部分Windows 平台,而其他作業平台、設備則以Agentless掃描來補足。即便是由Agent-based 的資安防護系統衍伸而來的,通常也會整合部署工具,內建網路掃描服務,清查未安裝的電腦。

相較之下,只為蒐集資產而設計的agent,功能陽春了許多;也因安全防護強度不足,自身極易受到其他程式干擾,導致傳輸資料缺漏,甚至於完全沒有作用。雖然可以用掃描來補,但資產資訊詳細度,資產異動即時性上面就比不上 Agent-Based 的系統。若是以掃描為主軸搭配 (light) agent 這樣的架構,對資產掌握的精確度跟有效性就不是那麼可靠了。當面臨這樣選擇購時,你會怎麼選呢?不要單單僅參考供應商的書面資訊,要依據你環境狀況評估需要的內容,準備測試計畫,驗證可行性、可靠度等。別忘了考量管理複雜度,這可能會影響未來幾年的工作效率!

 

 

About Version 2

Version 2 Digital is one of the most dynamic IT companies in Asia. The company distributes a wide range of IT products across various areas including cyber security, cloud, data protection, end points, infrastructures, system monitoring, storage, networking, business productivity and communication products. Through an extensive network of channels, point of sales, resellers, and partnership companies, Version 2 offers quality products and services which are highly acclaimed in the market. Its customers cover a wide spectrum which include Global 1000 enterprises, regional listed companies, different vertical industries, public utilities, Government, a vast number of successful SMEs, and consumers in various Asian cities.

關於精品科技
精品科技(FineArt Technology) 成立於1989年,由交大實驗室中,一群志同道合的學長學弟所組合而成的團隊,為一家專業的軟體研發公司。從國內第一套中文桌上排版系統開始,到投入手寫辨識領域,憑藉著程式最小、速度最快、辨識最準等優異特性,獲得許多國際大廠的合作與肯定。歷經二十個寒暑,精品科技所推出的產品,無不廣受客戶好評。