網路安全威脅新挑戰與診測評估技術趨勢

網路安全威脅不斷演變，企業資安漏洞潛在危機隨時浮現，網路安全已不再是單純消極地保護企業本身網路不受侵犯。

網路安全診測需求趨勢
為了解決Web 2.0時代網路安全威脅所造成的嚴重問題，企業對於應用網路
安全診測系統之資安健檢有如下需求：
． 資安健檢作業：需提供企業資安政策及法規遵循依據、弱點資訊查驗、矯
正及風險管理建議之系統平台，作為企業永續經營保證之重要環節。
． 資安健檢範圍：需涵蓋如下資訊系統及設備，包括企業內部應用系統與資料庫，網路設備，嵌入式裝置，以及面對外界之網頁應用系統。
． 資安健檢重心：需從著重於網路層服務及邊界安全之領域，擴大涵蓋面至 Web應用層及後端資料庫等安全領域。
． 資安健檢模式：需能提供更積極正面的安全模式而非只是回應事件的消極防範，並能提供多面向的預應式(Proactive)網路安全診測服務，以節省企業風險與資安營運成本，並確實保障企業組織內部資訊系統、儲存作業、網路連線及端點存取本質上的安全。

診測評估技術趨勢
為了因應企業對於Web應用及資料庫安全診測系統之需求，網路安全弱點診測評估技術已朝向下列重點發展：
． 自動化掃描滲測整合：自動化整合網路探測、弱點掃描與滲透測試之診測技術，以提供一個可模擬駭客滲透行為之智慧型診測專家系統。
． 診測彈性佈署架構：分散式、安全連通、有效彙整與彈性連結之佈署技術，以因應大型異質網路與虛擬辦公室增加之趨勢。
． 應用層安全檢測：評估個別應用安全 ，包括資料庫及網頁安全之檢測技術，
以挖掘作業系統與網路層未能探測到的弱點及安全威脅。
?診測深度與效能提昇：提供具有駭客智慧的深度診測技術，以植入跳板代理器於目標主機中，例如位於DMZ區的主機，並且藉由這台主機進行跳板滲透，連線到位於防火牆保護下的主機，深入企業網路去挖掘不易查覺的弱點，以了解整體網路是否脆弱，或者一個設備中的弱點會否影響其鄰近設備，避免評估為優先等級較低之單一主機弱點，被駭客作為跳板去滲透網路中其他設備。

新一代診測評估解決方案
在全球資安診測評估技術新趨勢下，新一代診測評估解決方案之目標在於：降低傳統弱點評估的誤判率，加強網頁及資料庫應用層風險評估，深入企業內部網路不易查覺的脆弱點，以提高網路安全診測效能、涵蓋面與深度，主要包括下列3種進階作 法：
1.掃描與滲測驗證
(1) 同步多工分散式弱點掃描與滲測驗證技術
以Client/Server分散式架構，透過控制器與代理器之同步多工即時安全連線，進行企業網路拓樸探測並繪出網路架構圖，再透過弱點分類與滲透手法關連，以自動化之滲透測試結果來過濾先前弱點掃描是否存在誤判情形，並實際驗證可被立即滲透之
嚴重弱點。
(2) 滲透測試腳本產生技術
由於滲透測試的手法越來越複雜，甚至需要串聯多種手法才能模擬出駭客入侵的完整情境，傳統使用特定程式語言撰寫滲透測試腳本的方法有其學習門檻，且建置速度較慢，最新方式係直覺地透過圖形化拖拉元件及關聯線工具，串聯多種手法快
速地完成滲透測試腳本，並將腳本儲存於專家知識庫，去彌補滲透測試技術及專業上隔閡，使得沒有受過專業訓練的使用者，易於測試自己的電腦中是否含有可供攻擊的弱點，專業的滲透測試人員亦可利用這樣一個腳本，減少重覆執行相同動作的滲透 測試時間。

2.網頁應用動態滲透測試
以各種網頁滲透手法對網頁應用伺服器進行動態地滲透測試，以在網頁應用系統的平行測試及營運階段使用，使得弱點在網頁進入產品前，及對外部連線開放前後，可及早被偵測到並矯正。除了優先聚焦於對外開放之企業關鍵網頁應用外，也不能
忽視企業內部重要網頁應用系統之滲透測試。包含以下設計：
(1) 提供Cross Site Script、SQL Injection、Command I n j e c t i o n、B u f f e r O v e r f l o w及D a t a b a s e A c c e s s Disclosure等網頁入侵滲透測試手法。
(2) 使用間接網頁驅動技術，來測試隱藏網頁，或是需要特殊權限才能存取的網頁。 (3) 使用元件化分析技術分析網頁中的元件，以節省不必要之重覆測試動作，增強網頁弱點診測效率。
(4) 提供網頁掛馬檢視器，透過診測使用者瀏覽器網頁是否被浸染木馬攻擊方式，適時提出可靠的警訊，除了可保護企業本身網路不受侵犯，更可保護企業以外其他系統亦不致遭受源自本身網路的攻擊。

3.跳板滲透測試
為了協助企業對於外部及內部威脅作更積極正面的預應式(Pro-active)診測，跳板滲透測試需達到下述目標：
1. 跳板滲透測試只需要在記憶體中執行，不需儲存於硬碟，以免消耗跳板主機的資源，並可執行複雜的測試。
2.可針對不同跳板主機作業系統，執行跨平台之跳板滲透測試，以模擬複雜的測試及判斷行為。
3. 能大量減少跳板代理器與控制器過於頻繁的網路傳輸，以成功迴避IDS之偵測。
高效能跳板滲透測試涵蓋以下5種設計：
(1) 封包重新導向：在發出針對目標主機的測試封包時，控制器上的網路資訊蒐集模組(Network Mapping)，會透過控制器及跳板代理器的Packet Manipulator，將控制器產生的測試封包加殼後傳輸給跳板代理器，經由跳板代理器將此封包去殼後傳輸給目標主機。
(2) 封包聚集傳送：為避免每一台目標主機之測試封包都要分開傳送給跳板代理器，會造成控制器及代理器間過度頻繁的封包傳輸，控制器會透過Trace Collector蒐集測試模組產生所有測試封包，組合成Trace格式後再傳送至跳板代理器，由跳板代理器分別傳送給各個目標主機。
(3) 封包重製及回應統整：為避免測試多台目標主機時，多次傳輸相同測試封包組之過度頻繁傳輸，控制器上網路資訊蒐集模組及弱點診測模組只傳輸一組測試封包至跳板代理器，再由跳板代理器重製成多個測試封包，並傳輸給目標網路中所有
主機。受測主機回應跳板代理器時，跳板代理器將透過Response Recorder蒐集一定量的回應封包，組成Trace格式後再回傳控制器之Trace Data Replayer，由控制器上的網路資訊蒐集模組及弱點診測模組來判斷測試結果。
(4) 跳板代理器內建滲透測試驗證：利用跳板代理器上的滲透測試模組，包括主動連線驗證模組(Connection Validation)及被動連線驗證模組(Listener Validation)，來驗證目標主機中植入的程式是否已經執行。
(5) 整合掃描滲測與驗證：將自動化掃描與滲測驗證系統整合於跳板滲透測試平台上，提供全面且深入的資安診測功能。

結語
由於Web 2.0網頁應用蓬勃發展，造成資安潛在弱點大幅增加，加上駭客攻擊目標亦移轉至可盜取非法利益之網站及企業資料庫，甚至經由跳板主機散佈攻擊程式，在如此防不勝防且有財務損失的網路安全新挑戰威脅下，新一代診測評估技術提供
掃描與滲測驗證、網頁應用動態滲透測試，及跳板滲透測試等高效能、全方位之深度資安健檢解決方案，以達到共存共榮的資安聯防目標。