2009年11月30日 星期一

[專題] 談網路鑑識與行為分析系統

人生在世,總難免要經歷各種疾病與意外的打擊,這是每個人都會面臨的生活風險,而在資訊網路化的時代,隨著企業的電腦一一連上了開放式的網際網路,也就代表企業已成為惡意人士潛在的攻擊對象,必須面對網路入侵與犯罪事件,所帶來的資安風險。

根據CSI/FBI 2006電腦犯罪與安全調查顯示,企業遭遇惡意攻擊的型態,除了電腦病毒感染以65%排名第一之外,內部不當網路存取與未授權資訊存取也各佔42%和32%。另外,調查中也指出,未來兩年最受重視的前十大資安議題,以資料保護與應用軟體弱點達到73%的比例最高。

由此可知,電腦病毒的感染與不當的資料存取,皆是透過網路這個管道而來,而資料透過網路洩漏的問題,更是企業相當重視的問題。為了降低各種惡意威脅與網路弱點所形成的資安風險,許多企業紛紛投資建置了防火牆、入侵偵測系統等安全設備,不過當企業發生了網路入侵事件,身為管理者的您,如何能在最短的時間內找出問題發生的原因?當企業發生資料洩密事件,老闆詢問您到底是誰、用了什麼方法、外洩了那些機密檔案時,如何能夠馬上找出答案?

入侵偵測系統的盲點

所謂「前事不忘,後事之師」,為了降低可能的風險與損失,企業必須懂得從過往的歷史教訓中,學習正確的防範方法,因此對於企業而言,從網路流量記錄來分析駭客的入侵攻擊手法,或是在網路攻擊或洩密事件發生之後,找出入侵和洩密的管道,並且保全數位證據來進行訴訟,是企業管理階層應該思考的方向。

目前企業所建置的入侵偵測系統,雖然可以依照特徵比對的方式,來警示網路攻擊事件的發生,但是一旦出現了新的病毒或是攻擊手法,在特徵資料庫尚未更新之前,網路仍存在著相當高的安全風險,而且也無法評估究竟有哪些系統已遭受到攻擊,更無法得知可能造成的損害範圍。

舉例而言,當年發生的Nimda病毒攻擊事件,在入侵偵側系統能夠辨識之前,就已經感染了為數眾多的企業網路,並且造成了企業營運中斷,估計損失高達上百萬美元。雖然當時的入侵偵測系統已發出可能危害安全的警報,但是在資訊不足的情況下,卻無法提供管理人員進行調查或即時處理的方法,也無法提供管理人員可用的分析工具,來確認遭受病毒攻擊的網路區段。

換句話說,即使入侵偵測系統在企業中扮演了重要的守門人角色,卻仍然無法提供更進一步的事件調查與事件還原工具,來找出資安事件發生的真正原因,尤其是面對愈來愈多駭客使用了混合式的攻擊手法,此時,唯有運用網路鑑識與行為分析系統(Network Intrusion Forensic System,NIFS),才可以藉由完整的網路使用過程記錄,運用科學化的分析方式將迷團一一地解開。

網路上的監視攝影機

談到安全問題,在傳統安控的設備方面,監視器一直是具有良好嚇阻性與記錄犯罪過程的利器,它能夠事先提醒歹徒不要輕舉妄動,更可以記錄所有監視範圍內的人事物。而網路鑑識與行為分析系統,就像是網路上的一台監視器,能夠針對所有的網路應用程式進行效能與流量進行分析,並且透過資料採擷的技術,快速精準地搜尋並重組關鍵的重要資訊。

不過,網路鑑識與行為分析的目的並不是為了要監視員工在網路上的一舉一動,或是想要侵犯員工的隱私權,而是希望藉由保留各項網路使用記錄,提醒員工以預防不當行為的發生。

由於網路鑑識與行為分析系統可以提供非入侵式(non-intrusive)、持續性流量記錄和即時的流量分析功能,藉由複製所有流經網路的資料來加以分析,並且加入精確的時間戳記(timestamp),因此可以偵測出各種入侵或異常行為,並且完整保存相關記錄以作為法律訴訟的證據。

所以,企業可以事先依據可能面臨的資安問題,像是針對異常流量等事件,或是針對電子郵件內容設定關鍵字過濾,利用主動警告的機制使管理人員可以即時處理,協助企業在資安事件發生之前,即產生嚇阻作用並先行掌握各項徵兆,同時也能在事件發生過程中,即時監控惡意攻擊與不正常的流量,最後再透過網路鑑識方式,來找出駭客入侵與商業機密外洩的管道,作為法律或內部處置的依據。

保存證據重建現場

我國刑事訴訟法第154條規定:「犯罪事實應依證據認定之,無證據不得推定其犯罪事實。」當犯罪事件發生的時候,企業勢必要面臨相關的民(刑)事訟訴問題,也需要協助相關的司法調查。因此,要如何在過程之中舉證,能夠提出強而有力的犯罪證據,是企業管理階層與法務部門應該要留意的事項,而所謂的資料收集與鑑識分析,並非只是司法單位的工作,若事件發生時的相關人員,能夠協助保持事件紀錄與資料的完整性,將有助於後續的司法調查工作。

一般而言,當企業發生網路攻擊或犯罪事件,應該要記錄的重點有:
  • 發生的日期、時間與地點
  • 事件發生的來源與牽涉的資訊系統
  • 事件發生過程
  • 犯罪所使用的工具、設備
  • 事件所造成的損害
當然,企業內的各項安全設備,也都會存有系統的記錄檔(log),但是現今高手級的駭客都很了解「偷吃要懂得擦嘴」這個掩飾罪行的道理,因此在入侵成功之後,都會試著修改各項log記錄檔,以躲避安全人員的查核。不過,駭客並不能修改網路鑑識系統針對入侵過程的資料記錄,所以仍舊難逃鑑識人員的法眼。

藉由網路鑑識與行為分析系統的協助,在資安事件發生時,可以針對來自內部和外部的入侵來進行調查,透過了特徵比對、異常行為與分析工具,若經過確認這是一種網路犯罪行為,就可以藉由系統所收集保存各項事件記錄,做為事後追捕與檢討工作之用。

而除了偵測攻擊行為與異常流量來發出警示之外,系統還提供了安全事件重現的功能,可藉由長時間完整地儲存原始的封包與連線記錄,回溯至事件發生當時的狀況,一旦企業遭受到網路攻擊,或是懷疑機密資料經由網路傳送出去時,就可以檢視當時所留存的完整記錄,透過現場重建方式來進行完整的鑑識調查,更讓執法機關能夠藉此來進行犯罪事實的認定,並進行下一步的法律行動。

網路鑑識系統的部署建議

今日的企業面對來自內外眾多的威脅,為了防止未經授權的存取、非法入侵與網路攻擊,更應該考慮以多重防禦的方式,來加強網路安全,以便盡快能夠從資安事件中快速復原,因此建議企業採取以下的三層式架構,來保護網路與資訊安全:
  1. 事前避免(Avoidance):建置安全防禦裝置,例如防火牆、VPN、加密裝置和身份認證系統,以預防未經授權的存取或入侵攻擊行為的發生。
  2. 事中偵測(Detection):透過事件記錄檔(log)的稽核與入侵偵測系統,來偵側入侵事件的發生。
  3. 事後調查(Investigation):當資安事件發生之後,利用鑑識分析工具在可能受害的範圍內進行調查,並且收集和記錄與事件相關的各項資訊,以預防事件的再度發生,並提供司法機關必要的協助。
企業想要確保網路安全的第一步,就是必須建置適當的安全設備來避免資安事件的發生,因為只要系統連結上了網際網路,就可能成為惡意攻擊的對象。一般而言,在部署了入侵偵測系統之後,即可透過特徵比對(signature-based)或異常流量(anomaly detection)的偵測方式,來發現警示網路入侵事件,而網路鑑識與行為分析系統除了具備了入侵偵測的功能之外,還能更進一步藉由記錄與分析網路流量,具備了「事件重建還原」的功能,就像一台錄影機一樣,隨時可以回溯時間來呈現事件發生時的原貌。

另外,網路鑑識與行為分析系統更可作為新的安控措施的檢驗工具,藉由重播曾經發生過的入侵手法,來確認新的防禦設備能夠發揮應有的作用,而在事件發生之後,透過鑑識工具的運用,可以找出問題的真正發生原因,並且將網路回復到可信任的安全狀態,能夠大幅縮短弱點修補的時間,也讓系統管理人員能瞭解駭客所運用的入侵手法,以提供網路補強或程式撰寫上的安全建議。(本文刊載於2007年資安人雜誌)

沒有留言: