https://ad.doubleclick.net/ddm/trackclk/N1114924.376585INFORMATIONSECURI/B26202047.309881952;dc_trk_aid=502706469;dc_trk_cid=155369661;dc_lat=;dc_rdid=;tag_for_child_directed_treatment=;tfua=;ltd=
https://ad.doubleclick.net/ddm/trackclk/N1114924.376585INFORMATIONSECURI/B26202047.309881952;dc_trk_aid=502706469;dc_trk_cid=155369661;dc_lat=;dc_rdid=;tag_for_child_directed_treatment=;tfua=;ltd=

觀點

「入侵偵測系統」座談會

2001 / 08 / 22
「入侵偵測系統」座談會

IDS在資訊安全領域的角色定位
朱保全:「如果將資訊安全機制作一粗略的分類,可分為認證機制與系統安全兩部份,認證機制偏重於資料加解密、身份認證方面,應用上包括SSL、VPN、PKI等安全機制;而系統安全則偏重於防護實際運作的網路、作業系統、應用系統、資料庫的安全,也包含網路規劃上使用Router、Switch、Firewall,及程式設計瑕資或系統管理者細部調整不足所暴露的安全弱點。在系統安全的防治上,IDS即是能在第一時間提供緊急應變的機制。」










鈺松國際資訊公司行銷部經理兼資訊安全顧問朱保全。





主題網際資訊副總經理周重餘。



張博勝則從整體資訊安全的角度來看IDS的定位:「完整的資訊安全應包括四道防護:第一道是以數道防火牆進行防治; 第二道必須先進行安全漏洞評估; 第三道才是IDS。第四道則屬資料加解密,(例如財務報表/信用卡資料)以延遲駭客讀出資料正確內容的時間。」張博勝強調,「除非企業完全不對外,否則隨時會有被入侵的風險,重點是企業在清楚可能遭遇的風險後,應進行安全/不安全的平衡,將風險降到最低。而所有的安全防護都必須和時間做競賽,IDS則有助於縮短知道入侵行為的時間。IDS必須與企業安全政策互相結合,企業才能在發生異常行為後,採取行動。」

主題網際資訊副總周重餘:「以網路保全與主機保全的觀念來看,入侵偵測系統並非網路安全的首要建置任務,而應著重在建立多層次防火牆的保護以及將主機系統上的安全漏洞掃描,從這兩方面的加強達到安全防護的效果。絕大多數可能造成入侵的原因都是存在於軟、硬體的bug、網路通訊協定設定與人為設定或管理上的疏失。例如作業系統上的修正程式未更新;密碼為了好記設定太簡單、不當的資源分享、開放不當的protocol,類似這樣的狀況不勝枚舉。像這樣的問題只需作安全漏洞檢測即可得知,偵測出何者具高危險性,中危險性及低危險性。藉由掃描所偵測出得缺點提出完整的修補建議。將可能導致網路入侵危險的機率降到最低,每週更新業界訊息及軟、硬體修正檔。」

IDS技術簡介
IDS包括偵測站(IDS Sensor)與控制站(IDS Director)兩大部份,偵測站置於企業各重要網段,其運作方式係由偵測站負責偵測異常的封包,發現異常封包後將這些紀錄彙整到控制站的資料庫,以方便管理者製作資訊風險的評估報表,並由控制站監看管理各偵測站的狀況,這樣分散式的機制,即使在大型的網路下,也可以保持規劃上的靈活度。



Cisco公司技術支援部經理楊士逸。


Cisco公司技術支援部經理楊士逸以實體監控舉例:「Sensor就像是建築物架設的攝影機,專門負責蒐集資訊;而Director就像監控室的管理人員,負責切換螢幕進行監控。」

鈺松國際資訊公司行銷部經理兼資訊安全顧問朱保全也發言:「就像實體保全上,我們會在重要的定點裝設感應器,而統一由監控中心來管理一樣。」

朱保全進一步分析:「IDS可細分為安全知識庫、記錄資料庫、即時回應機制、管理元件等四個部份,其中安全知識庫與即時回應機制整合在偵測站上,而記錄資料庫及管理元件則在控制端上。其中安全知識庫儲存已知的入侵行為模式樣本,包含攻擊性的封包樣本和行為模式的比對設定;記錄資料庫將偵測結果儲存在紀錄資料庫內,以便進一步提供追蹤舉證,製作分析報表;即時回應機制在偵測到入侵行為時,提供第一時間的回應機制,包含及時中斷連線等,以降低入侵損失;管理元件則管理所有偵測站,包含制定偵測原則(Detect Policy),維護紀錄資料庫及接收警訊等。」

市場現況
根據IDC統計資料顯示,即時入侵偵測系統與弱點評估(IDnA)是近年來異軍突起的安全產品,1999年整體IDnA產值為2.76億美元,至2004年可達9.78億美元,年複合成長率為39%。那麼台灣的情況又如何?








凱創業務協理張元正。


朱保全:「根據IDC最新的市場佔有率報告【掌控基礎建設:入侵偵測與弱點評估產品調查】指出,ISS的網路型入侵偵測產品市佔率高達88%,網路端弱點評估市佔率則為61%,整體來看,這兩項產品在全球平均市佔率已達71%。而鈺松在台灣的營業額,2000年為6000萬,預估2001年可達2億。」

諮安科技顧問蔡均璋:「諮安採取的行銷手法是價格區隔,IDS畢竟是新興市場,利潤算理想。今年的目標是2500萬元,不包含教育訓練與服務。」

楊士逸表示,「企業安全意識仍待加強,目前企業認識最深的防火牆產品也經過業者多年的推廣。台灣以中小企業為主,業者初期推動IDS產品以500大/1000大企業為主,以及軍方、銀行、經營全球市場的製造業、特殊研究機構等對安全特別需求的單位。IDS必須待日後價格趨於平價才有可能普其於經費較不足的中小企業。目前市場上IDS產品價格差距很大,Cisco結合原先在網路產品的優勢並走低價行銷策略。」楊士逸透露,「IDS市場大小為500大企業X每一個企業有5-10個網段。」

張博勝:「大企業:85﹪以上有防火牆;30﹪以下採用TOTAL SOLUTION。中小企業:50﹪以上有防火牆;10﹪以下採用TOTAL SOLUTION。在TOTAL SOLUTION比例不高的情況下,企業資訊安全市場看似很大,但是在資訊安全意識不足的情況下,還需要更多的教育或是更多像中美駭客大戰/網路銀行入侵等外在的刺激。眼前最可預期的市場是,隨著ADSL的逐漸普及,個人可能成為駭客入侵企業的跳板,因此個人需要個人防護。目前即有ADSL業者推出買ADSL送防火牆的方案。」
張元正認為:「目前IDS產品價格並未到無法接受的程度,重點是多提供修正、客製化(Customization)功能以及顧問的加值服務;台灣產業結構95﹪以上是中小企業,經費較不足且不一定上Internet,因此凱創主要推行對象以大企業,以及較注重安全的金融機構/政府單位為主。」

未來發展趨勢
蔡均璋:「IDS未來的發展應有如現實環境般,視需求發展出門鎖、防盜、監視與門禁等產品,資訊安全領域亦會循此脈絡,除了Firewall、IDS與加解密軟體外,將會出現針對保護web、mail等單一需求的設計。此外,也會出現集中管理的產品;也就是說資訊安全產品會有兩極化的發展。」

朱保全:「網路安全產品最重要的技術是安全知識庫,而知識庫的建置為一項龐雜的工程,必須長時間蒐集所有系統弱點與駭客入侵手法等相關資料,並投入許多資源從事測試、模擬、比對工作,因此進入障礙相對較高,預期未來仍將是這些既有廠商的市場。而未來發展趨勢應是朝向委外服務(Outsourcing)發展,以美國、歐洲、日本等先進國家為例,美國IT-ISAC組織的成立, 對於安全監控中心(SOC,Security Operation Center) 建置與規劃已經成為資訊安全必然趨勢。」


何謂IDS?
入侵偵測系統,英文全名為Intrusion Detection System,簡稱IDS,簡言之,就是針對網路上可疑活動進行偵測與分析,進而判斷異常行為是否為攻擊手法的系統工具,也是目前資訊安全產品中繼防火牆之後最受矚目的產品。








諮安科技技術顧問蔡均璋。



建置IDS應注意事項
張博勝指出,「重要觀念:沒有絕對的安全,只有安全的平衡。錯誤觀念:以為買了防火牆就不會被入侵;正確觀念:和時間賽跑,延遲入侵時間。單有防火牆是不夠的,必須再搭配安全漏洞評估、IDS、加密/安全政策。」








CA諮詢顧問經理黃龍波。


黃龍波:「1.考慮企業內網路架構:企業網路對外連接的缺口要先定義清楚並逐一防堵。2.考慮網路流量:若太大需考慮用兩套以上過濾網路封包。3.針對特殊網路服務要做控制:防止網路使用者透過 eMAIL/ BROWSER WEB/ CLIENT下載病毒。4.需與公司內其他安全產品做全盤/整體考量。」

楊士逸:「IDS的迷思:是不是每一個企業都需要IDS?當企業連上網都沒有時,如何談到資訊安全?企業資訊安全產品應有建構的階段性,企業應視其需求與使用比例進行選購,而不必一次購足。」

朱保全指出,「在入侵事件中,蒐證是一項重要的機制,在入侵事件的法律訴訟中,最難認定的部分在於舉證的困難,好的入侵偵測系統,可以提供交談錄製的功能,也就是將主機連線期間,所有交談的過程錄製下來,以確定入侵的時間、主機的IP位址、所做的動作、取得的資料檔名等予以錄製後重播。」

張元正:「談到資訊安全若只談Firewall及IDS是不夠的,企業尚須針對企業需求制定安全政策,找尋專業顧問掃描IDS、防火牆和企業主機與網路整合後,是否有安全漏洞,才能確保安全。」

周重餘:「建立安全政策規則並依循規則來防堵可能的危險,是比較正確的做法。完整的安全解決方案的優先順序應是:第一、先做好網路保全,架設防火牆,訂定正確的網路安全政策規則,禁止所有可能的違規、不當的存取。並且架設多層防火牆,因為一旦第一層防火牆被攻破,還有第二道、第三道防線。採用不同廠牌的防火牆,藉由複雜的網路安全架構阻斷入侵者的破壞。第二、由防火牆的流水帳般的日誌檔無法在第一時間內立即得知防火牆究竟發揮了多大的功效?這時就需由公正的第三者出具其Firewall的流量分析報告來證明網路系統是否安全無虞。第三、前二項完成網路保全後,針對網路內的主機進行漏洞掃描的工作,漏洞掃瞄分析可以大幅降低系統管理者的工作負擔,協助管理者發現最新的系統漏洞或未更新修正檔程式,並對所發現的系統漏洞提出修補建議。將隱藏性風險降至最低。第四道防線就是入侵偵測系統了。假使上述幾道防線破功之後,還有入侵偵測的最後一道防線,可以提出警告。因此完整的安全解決方案的優先順序是Firewall良好的安全政策與設定,Firewall Report的驗證,網路內主機的漏洞掃描, 最後再加上入侵偵測。」

網路偵測與主機偵測
IDS又可分為網路端偵測(Network-base)與主機端偵測(Host-base)兩種,這是由於入侵的手法各有不同,單純從網路上偵測,仍不足以完整偵測違規的存取的緣故。








衛道科技產品副處長張博勝。


衛道科技產品副處長張博勝指出,「網路端偵測與主機端偵測二者相輔相成,前者主要負責網路上資料流的偵測,由於資料流量大時容易產生失誤或誤判的情況,就需要後者的輔助;當入侵者不經由主機(Sever),而是經由員工PC,前者就會起效用。」

朱保全也舉例說明:「以使用者的帳戶密碼為例,網路上偵測會判定這是正常的現象,然而唯有在認證主機上,才能發覺同一帳戶在一分鐘內,被嘗試超過一百次的密碼,而判定是一種字典檔攻擊。又如網頁竄改牽涉到檔案權限的問題,就可以由主機端入侵偵測系統,提供較完整安全防護。」