我們經常會在網路上看到各種資安的新聞或事件層出不窮,每每遇到這些事件時,就會開始討論防禦方式,今天我們就針對幾個網路上常聽到的資訊安全防禦手法及設備做基本的概念說明.希望可以讓各位以後在聽到這類資安防護討論時,能夠因本篇介紹的概念而對這些名詞不再陌生。而當這些防禦方式在遇到實際情況時,該如何設計及規劃才會形成最好的防護手段,則可以參考資安防護設計面面觀一文。
網路資安防護的基本原則就是層層過濾,就像是我們家裡飲水機裡面的多道過濾器一樣,過濾越多層,則過濾後的水裡面其病毒或者髒東西就越少,所以我們可以假想所有的防護方法也都像飲水機裡面的濾芯一樣,是有針對性地一層層過濾掉特定的病毒或者各式攻擊行為。
以下我們挑選了常聽到的 10 種資訊安全防禦服務來一一介紹:
防火牆 Firewall
Internet 上面的活動基本上是以網路封包的型態進行溝通,而防火牆是最基本的安全防禦方式,就像是城堡外面的城牆,我們可限制只開放某些入口供合法的使用者進入。為什麼要設定這樣的關卡呢?最主要的原因是因為電腦主機本身除了提供基本的網站服務外,可能還有安裝其他的軟體,這些軟體不見得有做良好的安全設定,或者服務本身就是脆弱的,容易被駭客找出漏洞入侵,所以一般的標準做法是只開放固定的入口來讓人進入。防火牆的理念就等於是設定規則,讓網路過來的封包只能依照我們的要求進入或者被丟掉。在 20 年前,這是最有效的防禦工具,透過網路封包的阻斷,阻擋某些對外服務的 port不能輕易被存取,但是新的攻擊往往都是直接針對漏洞進行,所以我們需要防火牆以外的設備。
防毒軟體 Antivirus
防毒軟體基本的概念主要是識別是否有可疑的檔案與活動,如果發現異常則進行病毒的移除或刪除。
掃描的方法大致上有四種,分別為:特徵碼掃描、檔案校驗法、行為監控法、主動偵測防禦,以往網路還不夠成熟的時候,都需要靠自身運算的力量跟大量的特徵碼,現在很多病毒並未真的存在本機上,防毒軟體公司需要進行各種沙盒或者模擬的方式,來誘發病毒執行,而目前最新的防毒軟體會試著把可疑的行為丟到雲端的AI去分析比對,以增加病毒的捕捉率。
入侵偵測與防禦系統 IDS / IPS / IDP
我們把這三個一起講是因為現在設備通常同時可以提供這三種功能,只是差別在看我們如何架設。
IDS,Intrusion Detection System 入侵偵測系統:屬於旁路監聽的設備,也就是流量不直接通過,而是用側錄封包的模式去監聽是否有可疑的活動,主要用於告警,可以搭配防火牆去做實質的過濾。
IPS,Intrusion Prevention System 入侵防禦系統:入侵防禦系統通常能檢查第四到第七層的網路封包內容,可以補足防火牆只對與第二到第四層封包判斷不足的地方,對於可能攻擊的行為可以立即阻斷丟棄有害資料封包,並進行記載以便事後分析。(通常會有部分的特徵碼再搭配異常行為過濾的機制)
IDP,Intrusion Detection and Prevention 入侵偵測與防禦系統:綜合上面兩個系統整合在同一台設備裡面,也就是偵測完以後,同時也進行後續的阻斷處理.也因此我們可以將其某個程度上當作智能設備來看待。
整體來看目前實際部署時,還是會將 IDP 直接部署在防火牆的前面,在判斷出可疑的行為時直接進行阻斷或連動防火牆進行阻斷的動作,這中間的配置就必須評估系統的效能來決定。
分散式阻斷服務攻擊減緩服務 DDoS Mitigation Service
分散式阻斷服務攻擊(distributed denial-of-service attack,簡稱 DDoS 攻擊)是目前網路服務中最難有效預防的,因為這完全是用人海戰術淹沒敵人的一種戰法,假設我們的服務沒有安全上的漏洞,駭客直接發動數百台甚至數千台的機器大量的連線你的服務,大規模占用你服務的正常連線頻寬,造成真正的用戶沒辦法使用服務,這樣就達成了駭客的目的,以破壞服務及品質直接造成你的商譽或者實質訂單的損失。
DDoS 防護通常不會是單一設備可以阻擋的,這必須透過不同機房、不同設備以及真人團隊豐富作戰經驗及應變能力快速針對不同的攻擊行為與手法去做過濾與判斷,也因此市場上真的能提供完整可行的 DDoS 緩解服務的廠商並不多。
DDoS 的攻擊量有越來越大的趨勢,根據 2018 年的公開資訊,GitHub 在 2018年時曾遭遇大規模的 DDoS 攻擊,該次攻擊在短時間內同時間一起湧入,攻擊來自數萬個端點的上千個不同的自治系統,每秒傳送 1.27 億個封包,尖峰攻擊流量達到 1.35 Tbps,一度使 GitHub 至少斷線 5 分鐘,而此次攻擊亦被當時媒體形容為史上最大的 DDoS 攻擊。
應用程式防火牆 Web Application Firewall
應用程式防火牆簡稱 WAF,網路服務有各式各樣的應用,根據網頁的服務不同攻擊也越來越多,而傳統的防禦機制很難針對個別的漏洞去阻擋,也因此應用程式防火牆被設計用來處理個別網頁或網站的漏洞防禦。簡單來說,高階的 WAF 服務大多可以針對某種使用者的惡意登入行為做偵測,或者用來辨識 SQL Injection 以及跨站指令碼攻擊(Cross-Site Scripting;XSS)等特殊針對應用程式弱點的攻擊並直接進行阻擋或刪除。
通常我們會建議有大量個資以及牽涉到金錢交易的系統,前端一定要設置這樣的防火牆,並且定期針對網站進行弱點掃描,將可能的攻擊行為透過 WAF 的設定進行阻攔。
資料庫防火牆 Database Application Firewall
資料庫裡面儲存的資料至關重要,以往因為資料庫隱藏在內部網路,安全性的部分往往容易忽略,但因為木馬的盛行,被植入至內部潛伏的木馬程式,在無預期的時間從內部發動攻擊的機會也比以前大增,所以針對資料庫存取行為的過濾與偵測系統應運而生.這種資料庫防火牆同樣有硬體與軟體的形式。
資料庫防火牆可以透過規則驗證、二次驗證、安全行為設計、權限限縮等設定來保護資料庫的安全。
黑箱測試 Black-box testing
系統剛完成時會建議先進行黑箱測試,透過相對應的掃描軟體或者聘請白帽駭客,在不知道後端主機與系統架構的情況下,嘗試進行各種攻擊。通常會需要先掃描對外有提供哪些服務,然後針對這些有對外打開通訊管道的服務器進行模擬攻擊,通常測試完以後廠商會提供基本的報告,告知有哪些可疑的漏洞,使用者在針對這些漏洞修補與阻擋後,進行後續的再測試與改正。
透過一次一次的測試與改正讓主機保持較為安全的狀態,若測試標的本身基礎設施或程式等…較為脆弱,或無法承擔因測試引起的故障,則建議不要對真實上線的機器進行黑箱測試。
白箱測試 White-box testing
相對於黑箱,白箱測試指的是在任何資料都是透明的狀態下進行測試.所以通常我們的白箱測試指的是對系統的原始檔案進行原碼掃描.確保開發程式的時候沒有使用到不安全的語法。
白箱測試通常也包括撰寫測試程式,確認原本規劃的輸入與輸出是否都在計畫的測試範圍內、確保不會因為使用者輸入不正確的參數,造成不可預期的結果。
社交工程攻擊防護 Social Engineering Attack Protection
駭客透過 Email 或 FB 等社交平台,模仿遭入侵者本人或熟識者的行為,透過傳送有問題的連結與檔案給公司員工,來達成入侵公司內部電腦的工作,通常這樣的行為我們稱為社交工程攻擊。
APT進階持續性威脅防護 Advanced Persistent Threat
駭客透過各種攻擊手法,包含社交攻擊,潛伏入公司內部電腦或伺服器,駭客可以好整以暇的慢慢觀察與側錄,看是否能夠藉機竊得可以存取機密的帳號密碼資料,或者感染其他權限更大的員工個人電腦,以取得更多有價值的資料。
根據經驗,駭客在竊取資料前,平均潛伏至少半年到一年的時間.所以如何針對這樣的攻擊行為進行防護,是必須要有資深資安人員進行全面的規劃與設計,這也需要公司投入充足的資源才有辦法執行。
結論:
駭客從以往的單純攻擊取得樂趣,到現在已是計畫性、目標性的在竊取有價值的機密資料以換得金錢收入。作為一個專業的主機服務及各式網路服務供應商,我們會隨時針對客戶的需求與預算,替客戶進行最適切的資訊安全規劃,而一個好的規劃,還是必須要每季或每半年定時檢討與改進,才能確保自己在與時俱進的同時能處於一個相對安全的環境。
圖片來源:PhotoAC/acworks