SIM 與 PM 大比較,該選擇哪個做為設備安全監控的工具?
完善的資產管理可以清楚了解內網環境中的所有硬體資產的設備資訊與軟體程式的訊息,保護企業內網免於遭受作業系統與軟體安全漏洞所造成的危害。
作業系統與軟體的漏洞經常被駭客當作入侵的管道,因此各開發者不斷地在新漏洞的發現後及時的推出更新來修補。當設備未更新至最新版本時,舊版本所存在的漏洞則很容易被駭客使用,使者個網路環境暴露在極高的資安風險中。UPAS 對於內網設備的作業系統、防毒軟體、一般應用軟體的安全管理提供了兩種不同的解決方案,兩種方案採用了不同的管理方式可是卻都可以保障上述三項系統與軟體的安全性,究竟這兩種方案是如何做到的?兩者之間的差別是什麼?繼續看下去吧!
本文快速指引:
- 永恆之藍漏洞遭利用,WannaCry 肆虐全球
- 完善的資產管理可以減少設備未更新的事件
- SIM 安全整合管理模組 與 PM 補丁管理模組
- 兩者之間的差別?該怎麼選擇?
永恆之藍漏洞遭利用,WannaCry 肆虐全球
2017 年 5 月,WannaCry 勒索軟體於全世界各地大爆發。WannaCry 使用了微軟已發布修補的漏洞 — 「永恆之藍」 — 進行攻擊,看準大部分的使用者沒有更新的習慣,使用漏洞於同一區網內的設備迅速傳播,是一個設計用來針對大公司進行攻擊的勒索軟體。WannaCry 造成損失估計達80億美元,已經影響到金融,能源,醫療等眾多行業
為何此次 WannaCry 事件會如此的嚴重呢?傳統的勒索病毒軟體大部分都是透過點擊惡意連結、郵件附檔或 Adobe Flash Player 等較為被動的方式散播,但是 WannaCry 除了以上的方法之外,還會利用 Windows SMB 的漏洞進行類似蠕蟲的主動式傳播行為,導致只要在區域網路中有一台主機中勒索病毒,會主動掃描區域網路中其他主機是否開啟 445 通訊埠,然後利用先前遭到外洩的美國 NSA 攻擊程式 EternalBlue 進行弱點滲透攻擊。
儘管微軟於 2017 年 3 月 14 日已經發布過 Microsoft Windows 修補程式修補了這個漏洞,然而在 5 月 12 日 WannaCry 勒索軟體利用這個漏洞傳播時,很多使用者仍然因為沒有安裝修補程式而受害。
維持系統更新,避免遭受攻擊
每一次的系統或是軟體更新除了提供新的功能之外,多數的更新都是為了修補已知的漏洞,避免這些漏洞遭到駭客的利用進行攻擊行為,如 WannaCry 就是利用已知的安全漏洞在各個未修補的電腦之間迅速傳播而造成全球至少150個國家、30萬名用戶中招。
確實進行每次系統商推出作業系統或是軟體的更新,可以有效的避免已知的軟體漏洞再度遭到利用,減少潛在的損失。
完善的資產管理可以減少設備未更新的事件
隨著企業網路環境越趨複雜,確保每項設備的作業系統、軟體皆更新最新版本成為一件不容易完成的事情,這時平常有沒有做好資產管理便成為很重要的事情。完善的資產管理可以清楚了解內網環境中的所有硬體資產的設備資訊與軟體程式的訊息,保護企業內網免於遭受作業系統與軟體安全漏洞所造成的危害。
在完善資產管理成功建立內網設備的可視性後,如何確保設備有依照規定進行系統與軟體的更新?是否有更新至最新版本或者重要性較高的版本?這時就需要來認識一下 UPAS NOC 中對於設備安全性管理的兩個重要模組:SIM 安全整合管理模組與 PM 補丁管理模組。
SIM 安全整合管理模組
SIM 能夠介接市面上多款防毒軟體、資產管理軟體、和 WSUS 資料庫,並透過統計圖表呈現 OS 版本、防毒軟體、病毒碼、資產管理軟體等各式軟體更新率與部屬率,達到有效的統一管理,幫助管理者提升合規比率。
SIM 透過對作業系統的檢查,有效的降低因為未更新版本的資訊安全漏洞所造成網路安全危機的發生機會。並且可以配合 IP 管理系統幫助管理人員,迅速鎖定不合規的電腦設備,在發現資訊安全漏洞的當下,立刻將該設備斷網、送出重導頁面告警,並傳送安裝檔/更新補丁,讓違規設備在受管制的狀態下進行漏洞修正。
PM 補丁管理模組
PM 透過在終端設備上安裝的 Agent,能對 Windows、macOS、Linux 設備進行檢查,以取得設備完整軟硬體資訊,嚴加控管 OS 版本、Windows 作業系統版號 / KB、防毒軟體部屬和病毒碼的更新狀況、應裝軟體/禁用軟體是否安裝、軟體合法版權數量等項目。若有違規情形發生,UPAS 系統可立即將其阻斷、送出重導頁面告警,並自動派發更新補丁,引導設備在沒有上網能力的情況下進行修補,確保所有設備都有依照規定更新版本。PM 同時支援 VANS 系統可持續盤點所有軟體資產,自動轉換成 CPE 格式,將資產清單一鍵上傳至 VANS 系統,進行弱點比對。
透過 PM,管理人員就能夠全面地對員工所使用的軟體進行檢查,防止員工使用盜版軟體、未安裝規定軟體等所造成的資訊安全危機發生。
兩者之間的差別? 該怎麼選擇呢?
SIM 與 PM 兩者皆可以對各項設備的作業系統、防毒軟體、病毒碼與軟體進行有效的控管,當未更新的事件發生時及時阻斷設備的連網能力並且同時派送更新檔來避免資安事件的發生。
兩項模組之間的主要區別在於 Agent (代理程式) 的使用與否,並無好壞與否而是根據使用者的環境與需求來搭配使用。SIM 模組雖然非使用 Agent ,但是透過介接 WSUS、防毒軟體主機與資產管理軟體資料庫仍然能蒐集設備與軟體的資訊,並且進行更新狀態的控管,確保作業系統、防毒軟體、病毒碼與軟體始終維持在最新版本。而 PM 模組透過 Agent 的使用同樣能夠達成上述事項,並且能更進一步的實施應裝軟體、禁用軟體、盜版軟體與版權軟體的管理。若政府機關有導入 VANS 系統的相關需求,PM 也支援相關功能,讓各機關不必進行多次採購便可以獲得全方面的功能。
