https://newera17031.activehosted.com/index.php?action=social&chash=b5f1e8fb36cd7fbeb7988e8639ac79e9.3134&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=b5f1e8fb36cd7fbeb7988e8639ac79e9.3134&nosocial=1

觀點

從第21屆FIRST年會看趨勢與技術

2009 / 11 / 17
蔡一郎
從第21屆FIRST年會看趨勢與技術

隨著網際網路的普及與Web 2.0時代的來臨,社群文化與人為中心的資訊

傳播方式成為主流,但近年來所發生的資訊安全的事件時有所聞,除了一般的系統遭到入侵的事件外,對於個人資料外洩等隱私權層面的問題,也經常在新聞媒體上看到類似的事件,網際網路打破了國界與地理位置的限制,透過網路的連結,資訊安全事件的影響範圍可能涵蓋全球任何一個網路可以連結的角落,任何一台連上網路的電腦,都可能成為事件的主角,但是目前對於資訊安全事件的處理而言則是一大挑戰,必須透過國際間的交流與合作,才能有效的遏止資訊安全事件的發生或是影響範圍的擴大。以下是今年熱門議程重點:

3大子題:技術、管理、事件

今年的FIRST會議在日本京都舉行,從62873為期6天,第二天起就開始大會的主要議程,分成了三個主要子題同時進行,分別是技術(Technical)、管理(Management)以及事件回應(Incident Response),這些不同的議程都有許多精彩的議題可供討論,許多熱門的資訊安全議題也都出現在各個議程中。

子題1:技術

此議程主要以討論目前在網路或是系統相關領域的偵測技術,例如:NL-GOVCERT所介紹的實務演練“Network Monitoring Special Interest Group (NM SIG):Monitoring & Analyzing Client-side Attacks”,此部份請看【實務課程1】。另外惡意程式的偵測技術也是此次會議的重點議題,主要起因於近年來資訊安全的風險,攻擊者已將目標由提供服務的伺服器,轉移到使用者的身上,廣大的使用者在資訊安全認知上差異很大,因此也成為攻擊者可以利用的對象,大多數的使用者在使用網路存取資訊時,極容易在不知情的情況下,感染到惡意程式而造成資訊的外洩、系統不正常的運作以及成為跳板主機的情況發生,以目前最惱人的殭屍網路(Botnet)所造成的危害,就是最典型的例子。

這次技術子題主要以資訊安全目前最新的分析或檢測技術為主,分成了靜態以及動態分析兩個主軸,其中亦包括了作業系統的異常檢測以及執行階段的記憶體分析,這些對於找出系統異常的原因或是定義惡意程式的行為都是相當重要的專業技術,MyCERT介紹的“Handling Incidents from HoneynetData”針對運用Honeynet技術進行RFI(Remote File Inclusion) Attack的偵測,也有相當重要的成果展現,利用偵測的技術,快速的發覺被攻擊者植入程式的網站,也能夠取得攻擊者用來進行系統弱點利用與權限提昇的程式碼,做為往後分析攻擊者所運作的技術與手法時的重要參考資料。

除了分析與偵測的技術之外,對於全球的CERT以及CRIST而言,如何有效的進行資訊的交換與通報,這是相當重要的一件事,因此其中有一場就以“Information Security Exchange Formats and Standards”為主題,探討資訊交換的標準格式,以建立全球一致的通報機制,這對於事件的處理與回

應而言,可以有效的提昇資訊安全事件處理的效率,以近幾年來全球性資訊安全事件的擴散速度而言,可以在極短的時間內就能夠透過網路影響到大量的電腦,造成主機或是網路的癱瘓,影響的範圍相當的大。

反網釣工作小組(APWG, Anti-Phishing WorkingGroup)“The State of phishing/Fraud and Efforts toDeliver Forensic Tools & Resources for ECrime Fighters”探討目前數位鑑識工具在針對網路釣魚與詐騙上的效益,對於目前許多遭到惡意程式感染的系統,以數位鑑識的技術,找到系統異常的關鍵點。對於目前系統上的弱點檢測,Amirkabir Universityof Technology, IR“Effective Software ulnerabilityDiscovery within a Time Constraint”為議題進行報告,針對目前軟體弱點的偵測,如何在有效的時間內進行處理,這個會成為軟體弱點是否會成為系統風險的重要因素。

除了上述幾個議程之外,“A Method for Detecting Widescale Network Anomolies”“MaliciousWebpage Detection”“How to handle Domain Hijacking Incidents”“Mashup Security & Incident Response Considerations”等,這些都針目前熱門的資訊安全議題,做了相關的研究報告與說明,整體而言,技術子題大多環繞在目前當紅的幾個資訊安全領域的分析與檢測技術,以針對系統、軟體或是惡意程式進行分析,以找到形成的原因與建立未來因應的方針與策略。


子題
2:管理

一個組織的文化與安全政策,往往影響著資訊安全制度的規劃與施行,管理子題著重在管理制度的探討,層面涵蓋了各個不同的領域,從不同的角度針對資訊安全進行制度的規畫,其中定義了資訊安全架構所涵蓋的範圍,以及相對應的改善與預防機制,制度的完善將直接影響到組織的永續經營,是否會因為特定的資訊安全事件,而影響到組織的存亡,除了管理制度外,針對資訊安全發展的趨勢,在管理子題也是一個討論的議題,關於資訊安全趨勢的說明,在下一段的內容將會有詳細的介紹。

對於掌握目前管理範圍的網路與系統架構而言,資訊安全狀況的監測相當重要,透過一些監測的機制,希望能夠早期偵測與進行應變,是目前許多國家的CERT或是CSIRT都在努力的目標,畢竟資安監控技術比網路監控技術高出許多,必須能夠在網路正常的狀況下,找到異常的流量或是惡意程式的行為軌跡,這就是一件相當具有挑戰的工作,在“How to Prevent Critical Gaps in Your Security Monitoring”議程中,就針對目前從網路監控的角度出發,與成熟的資安監控進行比較兩者的不同,除了所使用的軟體或是監控平台不一樣之外,對於執行監控工作的人員,所需要的背景知識也是有相當大的差異,必須透過技能的提昇以及不斷的教育訓練,才能夠縮短兩者之間的落差。

在資訊安全管理上,對於資安事件的管理是相當重要的,SAIC所發表的“The Next Generationof Incident Response”,就提出3個時程的規劃(見表1)及資料生命週期解決方案架構示意圖(見圖2)。

“SCADA Security:Who Is Really In Control of Our Control Systems?”也是此次一再延續的議題,SCADA(Supervisory Control And Data Acquisition)所指的就是具系統監控與資料擷取功能的軟體,在許多基礎設施的系統,例如水力、電力、交通控制、石油、化工控制系統等,皆應用了相當多此類型的軟體進行遠端的資料收集與控制,之前基礎設施在資訊安全管理上的問題,就成為各國政府機關對於基礎建設所使用的資訊系統、網路通訊等架構進行檢測與討論,因為當這些基礎設施一旦發生資訊安全事件時,所造成的影響與危害是相當嚴重的,更有可能重創整個社會安全或是國家的經濟。

子題3:事件回應

資訊安全事件發生後,後續最重要的事件就是進行事件影響範圍的定義與證據搜集,並且發佈資訊安全事件通報給與事件相關的網路管理單位,或是事件的當事人,因為事件的處理過程與「人」的互動是息息相關的,因此如何有效的進行事件的處理,很多從事資訊安全分析的人員,都將其視為一種「藝術」,APWG Internet Policy Committee,針對目前的釣魚網站進行分析與追蹤處理,透過組織的力量提供相關的資訊,以避免一般不知情的使用者連結到這些惡意網站,而造成資訊外洩或是感染惡意程式等問題。Deutche Telekom AG, DE安排了快一天的“Windows Memory Forensics with Volatility”實務課程,介紹如何使用Volatility的工具軟體進行Windows作業系統記憶體的數位鑑識,數位鑑識目前在台灣還算是剛起步的階段,這部份請見【實務課程2】。

去年DNS的弱點遭到攻擊者運作,影響整個網際網路的正常運作,因此ICANN“EstablishingCollaborative Response to Abuse of the Domain NameSystem”為題,探討DNS系統在異常發生時的事件處理問題,並由ICANN的角度思考如何建立DomainName的管理機制,與FIRST各會員之間的共同合作,以避免未來再發生類似的事件。


資訊安全趨勢


以廣大使用者為攻擊對象的
Botnet
今年會議中所發佈的資訊安全趨勢,仍然延續去年Botnet的議題,在FIRST有許多的議程都針對Botnet提出一些偵測與分析技術的分享,以及針對惡意程式所衍生出來的資訊安全問題進行討論,許多資訊安全專家都一致認為,目前Botnet改變了以往的防禦思維模式,不再以提供應用服務的伺服器為目標,而改以廣大的使用者族群為攻擊的對象,而惡意程式發展(變種)的速度相當的快速,而且平均每隔兩個星期,就有新世代的惡意程式問世,透過誘捕網路的偵測,雖然能夠快速的掌握這些在網路上散播的惡意程式,但是在資源有限的前提下,想要快速與完整的進行惡意程式的行為分析,並且找到相對應的行為特徵,對於資訊安全分析人員而言是一大挑戰。


目前資訊安全事件的主角,已由早期因為作業系統轉為一般的使用者,不再是作業系統、網路服務或是應用程式所造成的事件,因此在資訊安全的防範策略,或是規劃解決方案時,與以往傳統的防禦觀念是有很大差異的,因此以目前的資訊安全的防範而言,加強對於使用者的資訊認知教育,某方面而言可能效益會大於採購網路或是系統的防護設備(見圖
4)。

讓受害主機不斷變更DNS記錄的Fast Flux技術
目前資訊安全的發展趨勢,包括了地下經濟的崛起、惡意程式的泛濫、殭屍網路的橫行、
Fast Flux的現形以及Web 2.0時代的資訊外洩等,這些都是令目前許多資訊安全分析人員擔憂的問題。


其中特別值得一提的,就是
Fast-Flux新形態攻擊手法的出現,一般正常的網路中的服務存取,大多屬於Client-Server的架構,而Fast-Flux技術的出現,可讓攻擊者順利的建立操作Botnet的基礎建設,能夠將受害的主機,變成網路通訊上的Proxies,這些電腦會不斷的變更本身的DNS記錄,以減少被追蹤到的機會,可能會讓受害主機隱藏起來,也會增加追蹤上的困難度,對於目前以黑名單為阻絕機制的防禦架構,頓時之間而失去了防禦的能力。

以目前Honeynet Project台灣支會所分析出來的資料顯示,收集到的惡意程式,使用此Fast-Flux技術隱藏本身行為的比例,已經高達57%,未來更有往上增多的趨勢。

7成惡意程式讓防護機制失效

目前新型態的惡意程式,絕大多數都能夠避免使用者端防毒軟體的偵測,在使用者不知情下感染使用者的主機。目前使用者端的安全防護,不外乎有兩種方式,其一是安裝防毒軟體,透過特徵碼的更新,以具備對於惡意程式(包括病毒、木馬等)的偵測能力,因此當新形態的惡意程式出現時,經常都會存在空窗期,在這段期間就是惡意程式最活躍的階段,能夠在使用者不知情的情況下,快速的感染與複製到其它的受害主機;另一種防護的機制為主機端的防火牆,透過防火牆進行連線的控管,掌握建立連線的來源與遠端的目的地後,就能夠有效的遏止連線的建立,不過此種機制對於惡意程式防禦的困難點,主要在於當惡意程式感染了使用者的主機之後,由使用者端所主動發起的連線要求,大多無法有效的進行阻擋,另外對於避免使用者連線到有問題的網站或是攻擊者的中控站,這些網站或是IP位址的黑名單,在取得與建立上是不容易的,因此很容易讓防火牆的機制形同虛設。

目前大多數的惡意程式並無法被先前所介紹的這兩種機制有效的偵測與防禦,因此也造成殭屍網路危害資訊安全的主要原因,未知的惡意程式能夠有效的避開使用者主機端的防護機制,也能夠避開網路上的入侵偵測與防禦系統等相關設備的檢測,使用者往往處於弱勢的一群,無法有效的避免惡意程式的侵襲,依目前許多的研究機構所提出的報告而言,大約只有30%左右的惡意程式能夠被檢測出來,而其它高達70%左右的惡意程式,往往就在使用者不知情的情況下,進入到使用者的系統。

結論

經過這幾天的會議,除了瞭解目前最新的資訊安全研究趨勢外,也掌握了目前所使用的偵測技術,以及資訊安全在政策方向與處理機制上的管理方式,透過每年一年的FRIST年會,最重要的是與其它國家的資訊安全組織進行交流,也可以做為未來處理資訊安全事件時,能夠透過國際之間的互助合作,順利監控與處理事件本身所造成的影響,目前在Taiwan Honeynet Project亦正積極進行惡意程式的搜捕與分析,也成立針對資訊安全事件的反應小組(TWHP-CSIRT),希望與各界進行資訊交換與分享。