觀點

最堅硬的防護

2009 / 07 / 21
NEIL ROITER 譯 ■ Jenny
最堅硬的防護
主機型入侵防禦可增加對重要伺服器與桌上型/可攜式電腦的保護等級。你有足夠的經費來佈署嗎?還是你能承擔不去佈署的風險?

 
 對於其所控管的1,000個DMZ伺服器、資料庫以及應用程式伺服器,Patty Long有數千個佈署HIPS(主機型入侵防禦系統,Host-based intrusion prevention system)的理由。「我們對整個組織進行檢視並試著對每一個單一應用、每一資料遍佈公司環境的伺服器,如企業夥伴資料、供應商資料、計畫資料等,來確保我們已掌握所有端點,」ING安全與風險管理部門主管Long說。

  大多數人的觀念還停留在舊式HIPS的相關技術上,這些技術會監視作業系統以找出異常的行為。最為人所知的就是Okena的StormWatch,這個技術後來也發展為Cisco Systems的CSA,而Entercept Security Technologies的產品最後則演變成McAfee HostIntrusion Prevention。

  今時今日,HIPS結合了許多技術來保護伺服器、桌上型電腦以及可攜式電腦。許多專家和分析師都會使用這個名詞來統稱,從傳統特徵碼為主防毒軟體/反間諜程式軟體和主機型防火牆到行為分析等所有的技術整合。「HIPS對他們來說還是一個新的領域。我們必須向他們解釋它是什麼,能做什麼,」 Intelguardians的共同創辦人與資深安全顧問Ed Skoudis說。「大多數人的印象都還停留在Okena以及Entercept;而那只是一部分的HIPS,今日的發展已經遠超過他們的印象。」

  企業系統與資料在面對抗特徵碼的惡意程式與要求加強控管的遵循需求下,防毒軟體廠商難以再擴充HIPS的功能。HIPS廠商卻反而很容易透過OEM的方式結合防毒。

  因此以下是你的狀況:你擁有著開放所有HTTP流量並存在弱點的伺服器群,以及會四處移動、難以控制的可攜式電腦,並且要決定該使用哪一種主機保護方案。特徵碼已經無法再滿足需求。「這些壞份子已經完全征服了以特徵碼為主的防毒軟體,」Skoudis說。因此,今日我們才會開發許多的防禦技術,讓各家廠商可以提供不同的整合性產品。為了做出聰明的購買決策,了解這些技術是如何偵測攻擊是很重要的。每一個技術有其效果、限制及風險。

  主機型入侵防禦系統的集成任何程式都可以在你的伺服器或個人電腦上執行,不論它是已知的惡意程式、已知的正常程式或是更常出現的未知程式。傳統的特徵碼防毒軟體對於已知的惡意程式的處理非常有效。已知的程式就是被認可過的應用程式。不屬於標準安裝下的程式,你可以透過政策設定來阻擋或限制這個程式的使用。那些未知的程式-零時差攻擊、大量的變種與變形的惡意程式,正是目前罪犯賴以維生的手法。

  早期的HIPS模組是等待程式開始執行,並檢查這個程式是否進行合法的系統呼叫,如果不是就將之阻擋。今日,你可以在攻擊嘗試滲透系統的時候就偵測到它,不管存在系統中的惡意程式是否被執行起來。這樣的應用方式很適合套用在遠端網路攻擊,或者是那些網頁重度使用者的下載或點取電子郵件中超連結或附件的行為上。

  因此,HIPS技術可以很輕易的依照它能檢視什麼、如何檢視及能夠偵測的階段進行分類。Gartner副總裁Neil MacDonald將HIPS劃分為9種形式的保護。他交叉參考上述3種程式類型(已知的惡意程式、已知的正常程式、未知的程式)及程式可被偵測到的3階段:網路為主,當程式嘗試滲透系統的時候;應用程式為主,當程式存在系統中;以及行為模式,當程式執行時,他稱呼最後的行為模式為「防禦的最後防線」,因為該程式碼已經在執行中。某些解決方案透過讓程式碼在sandbox中執行來降低風險,因此這個程式的行為可以在不讓系統承受風險的狀況下被分析,或者是在允許程式不受執行限制的條件下使用模擬器的方式來追蹤它的行為。

  某些行為模式為主的偵測是評估未知程式的主要關鍵。有些技術使用行為「特徵」,能辨識常見的惡意行為,像是記憶體的濫用或是作業系統檔案的修改,而不是依靠特定的惡意程式特徵碼,或者會去檢視對已知弱點的攻擊行為。其他的技術則會監視行為並建立正常活動的基準值。

  除了允許程式碼執行的先天性風險,行為分析技術比較容易產生誤判及消耗更多的系統資源。最糟的狀況來說,這些技術可能會造成系統不穩定或者是整個的毀壞。MacDonald認為對系統來說,行為分析技術可能會帶來潛在的阻斷服務影響。

  「雖然行為模式為主的技術可以偵測到防毒軟體所無法偵測的未知攻擊,但缺點是這些技術和系統API呼叫太緊密的結合」,銷售Proventia解決方案的IBM首席安全分析師Josh Corman說。對伺服器來說更是如此,「在伺服器上可用性就是一切。」他說。

  Intelguardians的Skoudis表示,「如果你的環境是備受限制的,如果你可採取強硬的手段,如果不需要讓你的使用者去執行各種瘋狂的程式,那麼白名單的解決方案會是一項好提議。對那些需要較大彈性的環境,行為模式為主的方式會是較好的方案,比起特徵碼而言。」

  以上技術並不是二選一,不是使用了其中一個就無法使用其他技術。關鍵是在最省錢的前提下,為你的環境挑選對的技術。防毒軟體廠商已經透過自行開發、收購或者OEM的方式在特徵碼偵測之外增加了許多額外技術;同時,某些HIPS廠商也內建了特徵碼為主的防毒功能。「防毒軟體廠商了解只單獨使用特徵碼為主的保護機制是不夠的,因此它們開始擴增防毒軟體,擁有更多保護機制。單點解決方案和Symantec或McAfee這些防毒公司的界線其實很模糊。」MacDonald說。

伺服器或者是桌上型電腦?

  HIPS在過去歷史中都是以伺服器為主的解決方案。使用的技術都是相同的,但是使用案例卻是非常不同。伺服器通常都被認定為攻擊的重要目標。

  在伺服器環境中可以很簡單的偵測出主機上哪些是不應該執行的程式,伺服器的目的會很清楚的被定義,而且會執行比傳統的桌上型電腦或可攜式電腦更少的應用程式。伺服器通常都是被鎖住的。企業通常會針對伺服器使用嚴謹的變更控制政策以及程序;對於桌上型電腦來說這樣的限制會寬鬆許多。

  「主機型入侵防禦技術在伺服器上被採用的數量遠超過在桌上型電腦上採用的數量,」 McDonald說。「這些技術在伺服器上較為成熟。許多原因造成此結果;但最重要原因是伺服器發生問題的話,造成的傷害會大於桌上型電腦。」

  桌上型電腦的環境是有挑戰性的。麻煩的使用者們瀏覽網頁、下載東西、開啟電子郵件、插入USB裝置等動作。「有時候你沒有在伺服器上執行程式的能力,」MacDonald說,「所以HIPS就比較傾向於保護某些伺服器,尤其像是內嵌系統、SCADA系統。」

  在選擇安裝於伺服器上的產品時,需考量效能和穩定性;一台伺服器毀損了可是一場災難。舉例來說,白名單在高度受控制的伺服器上是可行的方案。一般來說,可能會執行IIS、資料庫、或者是一個客製化的應用程式;但是反觀可攜式電腦中可能被安裝的程式,從MS Office應用程式,到Adobereader、Java Runtime、專用的商業應用程式以及任何使用者自己安裝的程式。

  在未來的幾年內廠商開始增加HIPS到它們的終端點安全產品中。廠商還有一段很長的時間會改良整合、穩定性與中央管理機制。所以,你就應該將HIPS計劃的焦點都放在伺服器上嗎?這也未必。

  Skoudis表示,你的桌上型電腦和可攜式電腦應該是你的第一優先,主要的原因是以下的事情都會讓終端點安全風險提高:暴露於外面的程式中、移動性、不受控制的使用者等。伺服器通常都受到嚴謹保護並且放置在防火牆之後。而用戶端則是連線到這些伺服器。「根據我們所進行的滲透測試,我們經常都是透過攻擊用戶端然後控制用戶端來取得伺服器的存取權,這方式總是可以一用再用。」Skoudis說。

額外的價值

  中止攻擊並不是HIPS唯一的作用。其中的一個好處是來自於減低星期二修補症候群,由於必須盡快測試與佈署安全更新程式所造成的壓力。當組織進行弱點管理生命週期,這是會一個非常耗費資源的過程,評估各個系統、測試和採用修補程式、驗證修補是否成功及解決和矯正失敗的修補。HIPS技術中的偵測特定弱點攻擊模式可讓組織獲益良多。

  「一旦你將端點給保護起來,它讓你有足夠時間在將修補程式安裝到正式上線機器之前,去你的測試環境和開發環境中測試修補程式。」Cisco Systems CSA的用戶美國德拉威州的WSFS銀行的作業風險副總裁Robert Eastwood說。這並不表示你可以不用修補,這個概念是你買到進行測試和佈署的時間。「你可以降低進行修補的頻率,將每個月修補一次變成每隔幾個月進行修補,」CSA的產品線經理Ted Doty說。

  Skoudis認為,將那些沒有被HIPS保護的伺服器視為優先是挺好的作法,但是要快速對這些系統進行修補。「我還是很緊張,它可以幫你在短期內專注於修補,我指的短期是1天。只要你有足夠的資源,修補完所有地方。」他說。

  因為把HIPS放在端點上,HIPS會了解你的網路發生什麼事。它會產出能告訴你有誰或哪樣的活動嘗試對伺服器進行存取、有誰使用USB來複製資訊或改變系統組態設定的日誌。這些日誌可以由HIPS自行分析,或是送給SIEM工具去和其他資源來進行關聯並產生警訊。「當我接手安全專案時,我得到許多資料,而不是資訊,」ING的Long說。「現在我們使用SIM,它會收集我們的防火牆、網路型入侵防禦系統、HIPS、某些伺服器日誌與應用程式的日誌。我們能將多重來源的資料整合,以產出有用的資訊。」

  而且,如果HIPS是橫跨伺服器和桌上型電腦都安裝,你可以用它來管理安全政策。「當你想要將政策佈署到端點,HIPS就像是一把萬用瑞士小刀,」WSFS銀行的Eastwood說。「我們可以派送一個禁止使用USB或者光碟燒錄器來複製資料的政策。我們可以建立網路存取控制規則,也可以監視各種活動來發現誰正在嘗試違反政策,或是直接禁止違反政策的行為。」

  HIPS也可以幫助增加稽核和報表的能力。依據HIPS產品的技術,你可以產生直接報表和稽核資訊,或派送日誌資料到其他的工具。Eastwood舉例說他利用CSA的控制台來進行SOX以及GLBA法規所需報表的工作,Long也是。「我們可以在伺服器層級和檔案層級施行額外的特殊控制,」她說。

  事實上,HIPS技術甚至也會影響變更管理。有的產品還會提供功能簡單的變更管理工具,也許這個工具僅是勉強好用。

HIPS實例

  HIPS是很吸引人,但是必要的嗎?安全經費已經佔據IT預算越來越大的比例,而且通常企業對新安全技術的投資非常困難。你已經擁有基本的防禦系統。還有容納其他機制的空間嗎?

  「HIPS是很難用成本去估算的,」Skoudis說。「最好是你現有廠商的產品擁有整合HIPS的功能。」你可以舉實例,雖然實例很難被量化。例如,如果你佈署了HIPS就可縮減修補計畫資源。就可以算出因為每隔幾個月的修補計畫,而取代每個月修補計畫所節省的人力工時。你的支援服務台費用偏高嗎?HIPS可以節省維修系統的時間和費用。Eastwood表示這就是重要的價值。「會這樣說是因為我經常看見病毒在主機上肆虐的狀況。整個清除程序可能會嚴重影響你企業營運,而且大部分公司的IT資源都很有限。」

  選擇性佈署會比較簡單,先佈署到會產生最大風險的重要伺服器上。如果管理者不願意全面性佈署的話,找出商業風險最大的重要伺服器,讓管理者難以拒絕對其進行強力的額外保護。「並非每個伺服器都會得到風險降低和管理成本減少的好處,」Gartner的MacDonald說。「每一個伺服器的使用狀況不同、儲存的資料不同、所面臨的威脅也不同。對於某些伺服器來說,使用本機的HIPS是有意義的。」

  和其他許多安全技術一樣,最好的作法就是搭上法規遵循的順風車。例如,PCI要求某些形式的入侵防禦以及擁有可驗證的資料保護功能的HIPS。甚至某些適用在網際網路上對外服務伺服器的HIPS,能夠滿足網頁應用防火牆的需求。

  毫無疑問的HIPS會監視和報告受保護系統上的任何事件,這將可滿足你遵循上的責任。某些HIPS還會提供變更/組態管理的功能吸引更多的購買意願。「許多企業為了通過稽核而監視檔案完整性、進行日誌/使用者監視。它們正透過法規遵循預算來取得某種安全。」IBM的Corman說。

  檢視自己最重要的是什麼。決定哪個HIPS所使用的整合安全技術、管理功能和報表/稽核功能可以滿足你的需求。會有越來越多的HIPS和防毒廠商增加更多的東西到他們的產品。例如,防毒巨人Symantec和McAfee包裝了更多的保護技術到他們的終端點安全產品;Trend Micro將Third Brigade的主機型入侵防禦系統OEM到它的防毒套件中;而IBM則整合了BitDefender的防毒/反間諜軟體。

  「我會檢視我現有的防毒供應商所銷售的所有產品,並看看是否有符合需求的,」MacDonald說,「並且和端點安全解決方案的功能進行比對。也許我們所需要的東西就在那裡而且還不需要增加成本。大型供應商會有較多功能的保護,然後我會選擇這些東西看哪個能滿足伺服器的要求。我的挑選方式不是看廠商的名字而是看這些產品的保護形式。」