觀點

當城牆都守不住的時候…防毒、防火牆守成 IDS掘起

2003 / 03 / 05
邱詩琁
當城牆都守不住的時候…防毒、防火牆守成 IDS掘起

提到網路安全,配備了防毒、防火牆產品是否就已足夠?網路專家或資安廠商會告訴你,防火牆與防毒目前已屬基本的網路安全配備,已經無法滿足企業由被動治療到渴望主動預防的需求。防毒軟體要等到病毒爆發,才能偵測得到(也許為時已晚),防火牆雖能阻斷一些來意不明或惡意的封包程式,但是經過巧妙偽裝的惡意程式還是能堂而皇之地進入企業大門、溜進公司的內部網路。這時企業便需要一個經驗豐富、擁有龐大攻擊行為模式資料庫的入侵偵測系統(IDS),依據其資料庫內的行為模式做比對,藉由產生的警訊和報告,查覺出可疑的攻擊行為,並對網管人員發出警訊,以期即時隔離、解決可能造成嚴重災害的攻擊事件。
資安產品市場的明日之星
IDS產品在這一、兩年益受市場矚目,根據資策會市場報告,2001-2002年我國資通安全產品市場規模以入侵偵測及安全評估成長最高,分別為66.5%及84.2%的高成長率,相較之下,市場規模已大的防毒軟體及防火牆,成長率僅有22.0%及22.9%。

入侵偵測及安全評估除了去年表現亮眼外,未來幾年仍然頗受看好,仍有不小的市場成長空間。同時,防毒和防火牆產品在國內市場已漸趨飽合,根據資策會的市場調查報告顯示,防毒產品在整個資通安全產品所佔比例將由2002年的38.3%下降至2005年時的31.8%;防火牆產品在2002年的所佔比例為29.5%,2005年時則會下降至25.8%;相對的,入侵偵測產品會從13.8%成長至15%,成長率為22.4%,相較於防毒的11.7%及防火牆的13.7%成長率,顯然是繼防毒、防火牆產品後的資安市場明日之星。

市場看好,大廠搶攻
目前在台灣的入侵偵測產品市場,以鈺松國際代理的ISS產品最為人所熟知。鈺松業務行銷處協理林大森表示,鈺松三年前便進入此塊市場,在產品及服務上都已有一定的知名度和口碑,相較於這一、兩年極欲進入此市場的廠商,這也正是鈺松的優勢所在。

而資訊安全大廠賽門鐵克於2002年併購了原由鈺松代理的Recourse後,將其入侵偵測網路型的ManHunt及主動誘補的ManTrap納入其產品線內,結合原先收購Essen而擁有的主機型Host IDS,形成了整合主機型、網路型及誘補式的完整入侵偵測系統產品線,並提出了縱深防禦機制的觀念。賽門鐵克將今年企業市場重心放在入侵偵測產品上,賽門鐵克台灣區總經理史秀蓉信心十足地表示,要在一年內成為台灣市場入侵偵測產品的NO.1。其資訊安全事業部行銷經理鄭淑菁亦表示,今年IDS在台的成長率目標為250%,將加強通路的佈局和通路技術人才的培養。其通路商甚至必需去香港接受教育訓練,拿到賽門鐵克的認證。

為了迎戰競爭日益激烈的IDS市場,廠商莫不積極拓展通路點及拓寬不同產業市場。另一個在台灣軍方、政府市場較具知名度的Dragon入侵偵測系統產品,則是由和美國軍方淵源頗深的美商凱創(Enterasys Networks)所研發。去年11月接掌美商凱創台灣區總經理位置的林吳極表示,凱創以往多著墨在軍方、政府市場,因為看好IDS的發展,今年會將觸角延伸至金融、教育等機關,打響其品牌知名度,預估今年IDS產品在台的銷售額也會較去年成長一倍。

而思科(Cisco)則挾其網路設備大廠之優勢,推出具備有獨立的CPU、記憶體,而不耗整體資源的IDS模組,可插在其網路設備背板上,若需升級或故障維修時都更具彈性,未來將陸續推出朝Gigabit效能邁進的產品。而在企業軟體市場享有盛名的CA組合國際,今年重心亦放在安全(e-Trust)及儲存(BrightStor)產品線上,以強化企業級合作夥伴之專業認證技術與服務來提升競爭力。CA產品行銷經理許佳樹表示,CA產品強調從企業安全管理的角度出發,因此其入侵偵測產品可以說是一個產品同時擁有兩個解決方案。除了做入侵偵測外,還可針對內部人員做控管,包括上了哪些網站,e-mail內容、附件檔等皆可記錄。

政府、軍方、金融、高科技為主要使用單位
去年IDS產品之所以能有如此耀眼的成績,多半是由對資訊安全需求較高也較緊迫的政府、軍方、金融、高科技單位所創造。擁有多家金融客戶的致遠會計事務所資訊安全組經理莊強閔表示,去年有多家金融客戶紛紛採購IDS系統,致遠目前的金融客戶多半都已具備了。

由於目前入侵偵測仍屬高單價位的產品,賽門鐵克推出的ManHunt是以流量計費,每增加100MB,授權費提高50萬元,最高可達2G;而佈署陷阱以引誘駭客自投羅網的ManTrap,則是以佈署的鳥籠數為計價單位,每2個鳥籠增加30萬元。因此政府、金融、軍方、高科技等中大型企業為賽門鐵克入侵偵測產品的主要市場。鈺松林大森亦表示,以往賣給這些大型單位的IDS產品價位平均也在60萬元以上。思科推出的IDS模組一片價格也約為75萬元左右。

賽門鐵克產品加值代理商諮安科技,其行銷經理劉忠瑞表示,諮安明年度的營運重心,除了繼續拓展顧問服務外,另一重心就是主推賽門鐵克的產品,尤其是入侵偵測產品。由於政府、金融、軍方、高科技單位所擁有的資訊資產極多,有些甚至是關乎國家存亡,或其影響的範圍極為龐大,因此這些單位對資訊安全的需求本來就較迫切,因此也正陸續採購入侵偵測系統。

中、小企業市場仍需教育
即便IDS市場看來強強滾,但相關廠商亦表示,目前IDS客戶仍停留在金字塔頂端的客戶群,其他的中小企業市場仍需教育。諮安科技劉忠瑞表示,在推廣入侵偵測產品時所遇到的最大難題就在於有些業主認為有了防火牆網路安全就萬無一失了,因此如何教育用戶防火牆,和入侵偵測的差異是推廣的一大關鍵。

代理Cisco及CA兩家國外大廠入侵偵測產品的零壹科技,其網路整合部協理劉均緯則指出,政府、金融、軍方、高科技對入侵偵測產品都已了解,無需再教育,反而是中小企業市場有待教育、推廣。而客戶會認為擁有防火牆就足夠的觀念,也是過往在推廣防火牆產品時所留給客戶的印象,因為當初和客戶保證防火牆功能有多強大,現在這印象反成推廣入侵偵測的一大阻力。

高昂價位、對產品的不了解是影響入侵偵測產品走入台灣眾多中小企業內的兩大門檻。針對價位門檻,美商凱創系統技術協理鄭可強表示,企業究竟要花多少預算來保護其資訊資產,首先必需衡量其資訊資產的價值,若價值上千萬的資產花個數十萬就能更確保其安全、降低其安全風險,當然就是值得的投資。所以中小企業未必不需要IDS,只要擁有極為重要的資產,如券商、投顧等,就可能有此需求。

主推Cisco入侵偵測產品的代理商聚碩科技,其產品經理江其杰則表示,台灣以中小企業佔多數,只靠金字塔頂端的政府或大型企業,無法更擴大入侵偵測產品的市場,在市場需求量不夠時,產品的價格自然無法快速下降。要如何向認為並無太多機密資訊的中小企業推廣入侵偵測產品?江其杰舉例指出,即便是個人SOHO族,你若上網下載防火牆軟體安裝至個人電腦上,便會發現有許多人對你的電腦虎視眈眈,他們也許未必都是惡意的攻擊者,有些是下載免費的駭客程式的網民,只是出於好奇隨意嚐試、入侵,誰也不知道自己會不會就是那個無辜的受害者。

IDS的商機及未來
網路上有各式各樣的攻擊行動,有些出於惡意有些純粹好奇,騰蒙行銷經理楊厚仁便提到,根據國外的調查,這些駭客的平均年齡為16歲,精力旺盛。何況網路無國界、無時差,隨時隨地都有風險。以往以為有了防火牆便可高枕無憂,但精力旺盛或是說「道高一尺、魔高一丈」的駭客總能找到漏洞或運用更新的手法,讓人防不勝防。因此比純粹阻擋的防火牆更為主動的入侵偵測系統才應運而生。

相較於防毒、防火牆產品,入侵偵測系統算是一個新生但仍未完全成熟的產品,因此技術有更多成長的空間、價位也有待更進一步的調降、市場也才有從金字塔頂端下落中小企業的可能。針對中小企業客戶,代理ISS產品的鈺松國際,計劃今年會針對中小企業推出更平易近人的解決方案,鈺松林大森表示,價位會訂在三十萬以內。這也是鈺松迎戰競爭益發激烈的入侵偵測市場的另一步棋。

目前IDS要普及除了面臨價位及市場待教育的問題外,還有其產品所需技術門檻較高的問題。由於IDS需在不同網段佈署監視器(Monitor),且產生的相關報表亦要懂得判讀才能發揮IDS的功用所在,因此IDS不是買了產品擺放在那便可高枕無憂,廠商能否提供相關服務格外重要。思科企業事業群技術支援部經理楊士逸認為,使用者在購買產品時,主要需考慮其需求和自身的網路環境。而每家廠牌產品各有其優劣,後續資料庫的定期更新頻率及所提供的服務都更為重要。

凱創鄭可強指出,要如何從報表內的蛛絲馬跡辨別出可疑的攻擊事件,就如同刑事偵察一般,還需要有經驗的人員加以判讀,才不會讓報表流於一堆個別、無關事件,線索擺在面前卻忽略而過。因此IDS所衍生出來的服務商機亦為廠商所看好。代理凱創IDS產品的騰蒙科技,便計劃加強、培養這方面的人才。IDS賣的不只是產品,還有其後續的服務。除了服務外,因為需完整記錄網路上的活動,甚至為了在牽涉訴訟時有憑有據,相關的資料都須要保存,因此會帶來後續儲存設備、甚至數位簽章的需求。 可以預見的是,IDS終有一天會像防火牆、防毒一樣為人熟知,也成為企業必備的網路安全產品。零壹劉東洋認為,IDS遲早會像防毒軟體一樣,每台主機皆會必備;中央警大林宜隆博士也表示,在政府大力推動e化下,未來網路安全的最大漏洞不是在server端,而是在個人電腦端,每個網民都有可能成為駭客的跳板,這時每台電腦都配備有防火牆、入侵偵測系統是必要的。

而目前入侵偵測系統「網路端」和「主機端」產品要如何運用得更為完美?「不當行為」和「異常行為」偵測模式要如何各取其優劣,互補得更為完備?誤判率的下降、及報表分析能力的提升都可望隨著市場的成熟普及而一起成長。
-

何謂IDS入侵偵測系統?
IDS(Intrusion Detection System)入侵偵測系統乃是針對網路上可疑活動進行偵測與分析,可偵測出外部攻擊者及內部人員對未經授權之資訊系統所做的不正當的存取或攻擊行為。可依其建置方式分為:主機端入侵偵測系統(Host-based IDS)及網路端入侵偵測系統(Network-based IDS)。主機端入侵偵測系統是藉由記錄並分析該主機上的各項活動程序來辨別是否有不當的存取行為。網路端入侵偵測系統則是以記錄並分析網路封包的方式來偵測入侵行為,其主要建置在網路的骨幹上。

入侵偵測系統如何判別可疑的或不當的封包及存取行為?
入侵偵測系統可藉由「不當使用」(Misuse Detection)及「異常使用」(Anomaly Detection)的偵測方式來判定。「不當使用」的偵測方式又被稱為「特徵比對」,主要是以比對的方式將偵測到的可疑攻擊行為與系統事先定義的入侵攻擊模式資料庫進行分析比對,一旦比對出相似的攻擊模式,便將其視為是一種入侵攻擊行為。

「異常使用」的偵測方式又可稱為「政策比對」方式(Policy-based),以識別不尋常的主機或網路運作行為的方式來偵測是否有攻擊行為發生。目前各家產品以採用「不當使用」偵測方式居多。 但兩種方式各有其優缺點:「不當使用」可藉由手動微調設定來減少過多誤判警訊,但網路上的攻擊模式日新月益,因此其攻擊特徵資料庫亦須不斷更新,如同防毒程式病毒碼須不斷更新一樣。

「異常使用」偵測方式需事先建立正常使用狀態下的基準線(baseline),再對網路上的各種活動行為進行比對,但使用者行為及網路活動非常難以掌握,因此會產生過多的誤判警訊。但也因此被認為具備有偵測未知攻擊方式的能力;而比對已知攻擊特徵的「不當使用」偵測方式,便無此能力。

選購入侵偵測系統產品前的評估、考量:
網路端的入侵偵測系統,必需在重要的節點上佈署感應器(Sensor),而主機型的入侵偵測系統則需裝置在重要主機(Server)上,再加上一個統一的中央控管平台,因此佈署企業入侵偵測系統是一個複雜及龐大的工程,當然仍需視企業的需求及網路規模而定,因此佈署、建置前有些要點必需先行考慮:

* 是否相容於企業現存的網路架構
* 是否符合其企業內部政策
* 是否有足夠的資源或人力來進行建置以及事後的管理維護 進入建置、佈署入侵偵測系統時,可以考慮採用混合「網路端」、「主機端」的方式來建置,以達到保護企業網路的最佳效果。第一步先在重要網路節點建置「網路端」入侵偵測系統,接著在具有特定任務的重要伺服器上建置「主機端」入侵偵測系統。 也唯有建置在最適宜的網段及主機上,才能讓入侵偵測系統發揮最大的功效,讓網路風險更為下降。而後續的資料庫更新、報表判讀、及若發現入侵事件該如何處理、因應,企業要將此委外或是尋找一個能提供後續服務的專業廠商,都是企業在選擇並建置入侵偵測系統前應通盤考慮的。

IDS v.s. 弱點評估系統
提到IDS,常令人聯想到弱點評估產品,弱點評估或稱弱點掃描,可掃描出網路系統的安全漏洞以做為補強,弱點評估是協助系統管理者發現系統漏洞或未更新的修正檔程式,IDS則是針對不當行為予以攔截、阻斷。因此企業可先藉由弱點評估產品或服務,發現漏洞所在並加以補強,以降低其風險。即便漏動做了修補,仍會有最新或未知的攻擊行為到來,這時就有賴IDS予以偵測並攔截。而SI及服務廠商也可藉由此產品,來協助客戶發現其系統漏洞,對企業來個資訊安全大健診,再針對漏洞提供修補的服務。

IDS v.s. Firewall
IDS是用來補強Firewall的不足,兩者可達相輔相成之效,Firewall是採取「檢查是否合法,然後決定是否授權」的思考模式,IDS則是針對可疑的活動進行偵測,IDS可協助Firewall建立更嚴謹的第二道防線,也就是所謂的多層次防禦、縱深式防禦機制,抓到Firewall可能遺漏的漏網之魚。 如果將Firewall比做企業的大門守門員的話,IDS便可以說是進入企業大門後各樓層或是在重要的庫房前的守衛,降低可疑人員藉由偽裝或冒充而躲過大門的控管,進入企業內部所帶來的風險。 「網路端」IDS可建置佈署在外部防火牆之後,可偵測到由外部對內部網路主要進入點而來的供擊行為;因此也可對其前的防火牆的政策、效能做評估。IDS亦可佈署在外部防火牆之前,以檢測網際網路而來對內部網路的攻擊頻率和手法。另外,IDS亦可佈署在主要的網路骨幹或重要的內部網段上,可偵測到內部網路的攻擊行為和監聽流量。而「主機端」入侵偵測系統,可帶來更進一步的保障,在重要的伺服器上安裝「主機端」入侵偵測系統,除了防外賊外,所謂內賊難防,更能對內部員工的不當存取行為做防範。