https://www.informationsecurity.com.tw/seminar/2024_Business/
https://www.informationsecurity.com.tw/seminar/2024_Business/

觀點

網路攻擊防禦新趨勢 分析AP、使用者與內容

2012 / 11 / 21
廖珮君
網路攻擊防禦新趨勢  分析AP、使用者與內容

傳統Layer 4控制已經過時,因為port不等於APIP Address不等於使用者、封包不等於內容,網路安全設備要能辨識AP才能管控風險。

傳統資安分成四大領域:網路安全、內容安全、管理安全、應用安全。其中,網路安全一直是企業資安的基本功,就好像學中國功夫要從蹲馬步開始一樣,很多企業都是從網路安全開始建構資安防護網,如今,隨著IT技術進步,網路服務內容變得多元化,資安攻擊形式不同於以往,這種種原因促使網路安全防護有了新的轉變。

 

Palo Alto技術經理藍博彥表示,早期網路服務比較單純、變化不大,上網只是瀏覽網頁或收發電子郵件,而且連線上網管道只有1種(亦即透過電腦),因此使用IPS、頻寬管理器(QoS)、代理伺服器(Proxy)、防火牆等設備,就足以構成一道資安防禦網,抵擋外部來的各種攻擊。

 

如今可以連上網路的管道變多了,如:智慧型手機、平板電腦、電視等都能上網,再加上Web AP興盛,使用者上網不只瀏覽網頁或收發郵件,更多原因是為了使用這些Web AP所提供的服務,如:MSNFacebookP2P下載等。這些Web AP全部都走http port,以便能順利通過防火牆,也因此導致網管人員無法仔細區分網路使用行為,究竟是玩遊戲、看電視、下載檔案、連上社交網站中的哪一種,同時這些Web AP也造成網路流量變大,容易出現網路不順暢的狀況。

 

因此,新一代網路安全設備要能看得懂AP行為,才能做好管控,一來可以讓網路流量配置最佳化,二來則是避免隱藏在應用層中的資安威脅,藍博彥指出,傳統Layer 4控制已經過時,因為port不等於APIP Address不等於使用者、封包不等於內容,如今有太多方式可以規避傳統的資安檢查,如:proxy bypassUltrasurf無界瀏覽器、Hamachi虛擬區域網路軟體、Tor匿名網路傳輸,如果網路安全設備無法辨識應用層內容,就容易有風險。

 

而市場調查機構Garnter也在2009年提出次世代防火牆(NGFW, Next Generation Firewall)的概念,除了傳統防火牆功能外,還要具備封包檢測、IDP、應用程式流量辨識、客製化擴充、阻斷惡意流量等能力,換句話說,NGFW不只是做IPPort的控管,更重要的是分析port上不同行為的應用程式,管控其使用狀況。

APT攻擊難防  透過沙盒模擬執行結果

NGFW在辨識應用程式時,如果遇到不認識的AP,原因可能有2種:一是企業客製化AP,二是駭客所設計的攻擊程式,而後者很可能會演變成APT攻擊。從現今受駭案例來分析,APT攻擊通常可分為4個程序:

1.      引誘使用者:找出使用者有興趣的資訊,並製作出魚叉式釣魚郵件。舉例來說,假若攻擊者發現攻擊目標喜歡高爾夫,他將會寄送一份與之相關的PDF文件或網址連結;

2.      暗藏漏洞/弱點:這份PDF文件或網址通常含有一個未知弱點,當使用者開啟文件或網址時,攻擊者就能獲得使用者電腦的內部連線;

3.      下載後門程式:一旦內部連線建立起來,攻擊者將會下載後門程式至使用者電腦中,這個後門程式讓遠端中繼站享有存取資料的權利;

4.      建立祕密通道:後門程式持續探索使用者電腦並竊取機敏資料,並開啟一個相反連結,將資料傳到攻擊者的外部機器上。

 

綜觀APT攻擊之所以能夠成功,主要原因有兩點:第一是客製化設計釣魚郵件,駭客透過各種管道接觸使用者(如:mail、把惡意程式包在AP裡),並設計出仿真度極高的釣魚郵件,讓使用者不疑有他地開啟惡意文件或連結,第二則是默默建立惡意連線、竊取資料,而不會大張旗鼓,使得資安設備或管理人員難以察覺。

 

目前來看,APT攻擊比較可行的防禦方式是分析惡意程式行為,因為釣魚郵件乃是客製化設計,收件者通常很難分辨真偽,但是當使用者電腦被安裝惡意程式,可能會自動產生遠端控制連線,這是不符合邏輯的行為,因此NGFW需要針對看不懂的流量做分析,如此才能真正避開風險。

 

藍博彥建議使用沙盒技術(sand box),透過沙盒模擬惡意程式的執行結果,換言之,當NGFW遇到看不懂的網路流量(或AP)時,應將其送到Sand Box觀察,看看該程式被執行後會做些什麼事,據此判斷是否為惡意程式,若為惡意程式就立即產生特徵碼並回報給資安設備,如此也能讓檢測資料庫更完整。

 

總結來說,因應新的網路攻擊趨勢,防火牆功能也要有所轉變,至少要具備以下幾點特性:第一、可視性與控制能力,可以看得懂AP在做些什麼,知道這些流量因什麼而來?哪些是被允許的?第二、具備整合威脅預防功能,包括IPS威脅偵測阻擋、反惡意程式下載、URL過濾、及內容分析。從APUser、到Content都要能識別,並透過比對已知惡意檔案、沙箱模擬程式執行結果、特徵碼產生器、被允許的網站入口等技術,有效抵擋未來可能的目標式攻擊惡意程式。

圖說:Palo Alto技術經理藍博彥認為,新一代網路安全設備要能看得懂AP行為,才能做好管控,一來可以讓網路流量配置最佳化。