少了 ITSM企業該如何管理風險?

您或許已經從 SolarWinds 那邊收到將其 ITSM 產品下線的建議。此一情況非常特殊,因為絕大多數的漏洞在修補之前,企業都會先透過某種防護機制 (如 IPS 偵測規則) 來爭取一些時間,等待廠商釋出修補更新,然後再進行測試和安裝,以盡可能減少對業務的衝擊。
所以,廠商會建議立即將產品下線是相當不尋常的事,這意味著使用該產品的風險非常之高。只不過,當您將該產品下線時,您將面臨沒有 ITSM 的風險 (儘管較小)。

企業內部有許多風險管理都是仰賴非資安產品來執行。
目前最能有效管理企業資安風險以提升企業安全的兩項措施,就是系統修補與資料備份。

企業已從勒索病毒 Ransomware (勒索軟體/綁架病毒)身上學會資料備份的重要性,至於系統修補則是為了維持營運及安全。系統修補的工作跟資料備份一樣,都是由非資安團隊負責,歸在 IT 系統管理 (ITSM:Information Technology Service Management) 底下。

系統修補牽動著網路資安的兩股力量:營運與安全性。營運是最重要的事,沒有了營運,企業也就沒有什麼東西需要保護。

針對這點,網路資安在某種程度上已經調適得很好,因此更有能力在兼顧安全的情況下維持營運。DevOps 的核心資安理念就是:安全必須一開始就內建在營運當中,無法亡羊補牢。

但在系統修補方面,資安的重要性與業務的需求之間存在著極大鴻溝:從資安角度來看,系統必須立即修補才能有效防堵漏洞,但從營運的角度來看,系統修補必須盡可能不造成干擾。

這其中牽涉到的不光只有套用修補更新而已,更重要的是要保證修補了之後不會中斷營運。一直以來,營運團隊都是靠著 ITSM 產品來達成這項要求。

您或許已經從 SolarWinds 那邊收到將其 ITSM 產品下線的建議。此一情況非常特殊,因為絕大多數的漏洞在修補之前,企業都會先透過某種防護機制 (如 IPS 偵測規則) 來爭取一些時間,等待廠商釋出修補更新,然後再進行測試和安裝,以盡可能減少對業務的衝擊。

所以,廠商會建議立即將產品下線是相當不尋常的事,這意味著使用該產品的風險非常之高。只不過,當您將該產品下線時,您將面臨沒有 ITSM 的風險 (儘管較小)。

SolarWinds所發出的建議包含:將其產品下線、調查是否遭到駭客入侵、重灌主機,然後再將確定安全的 ITSM 上線,這些動作不太可能在短時間內完成。

在此我們並非要建議企業忽略這項建議,而是希望企業能了解這樣作的風險並妥善因應:

  1. 諷刺的是,目前最大的問題就是系統修補,因為您原本可能就是透過 ITSM 來執行系統修補。所以,您可能要檢查一下自己是否有任何與您 ITSM 不相關的重大修補等待部署,然後決定一下這些是否應該先加以修補。但不管怎樣,至少要確保這些漏洞都已設置了 IPS 偵測規則來加以防堵。
  2. 系統與網路效能監控很可能會暫時無法用。若您的資安營運中心 (SOC) 使用 ITSM 監控畫面來追蹤威脅,那麼他們將必須尋求其他替代方案 (例如交換器提供的監控畫面) 或者使用較不理想或間接的監控方式。
  3. 並非所有系統斷線都會造成效能問題。切勿假設效能的改變是因為 ITSM 下線使得某些功能無法使用所造成。也有可能是因為駭客或惡意程式正趁著 ITSM 下線的時候入侵企業。

企業若能預先想好上述問題,就能在 ITSM 下線、受害機構威脅調查人員等候進一步消息的這段期間,預先防範可能的其他威脅。當企業將駭客的所有攻擊痕跡從網路清除時,接下來的工作將更加困難。

目前我們所能提供的最好建議就是:這段期間,資安團隊與營運團隊應該多好好溝通,切勿互相指責,在沒有 ITSM 可以掌握 IT 情況的這段期間,努力維持 IT 基礎架構的營運與安全。

如欲進一步了解趨勢科技如何支援及保護客戶以防範 SolarWinds 事件所帶來的衝擊,請參閱

原文出處:Managing Risk While Your ITSM Is Down 作者:Greg Young