https://newera17031.activehosted.com/index.php?action=social&chash=0245952ecff55018e2a459517fdb40e3.2287&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=0245952ecff55018e2a459517fdb40e3.2287&nosocial=1

觀點

【解決方案-3】APT因應重點 做好主機監控稽核及早發現可疑異常

2013 / 06 / 10
張維君
【解決方案-3】APT因應重點  做好主機監控稽核及早發現可疑異常

最近攻擊事件頻傳,不管是南韓DarkSeoul事件或電子公文系統被入侵,都顯示出此類精心設計的攻擊幾乎讓受害企業無法招架。正如《黑街駭客》一書所言,『如果有人真的想取得你的資料,最後一定能弄到手…。一旦了解這一點,恐懼的程度也會變小,因為人生就是如此,躲也躲不掉,何必擔心太多。』

然而『何必擔心太多』不是教你甚麼都不做,而是了解駭客入侵難以避免,資安防禦策略必須隨之改變。從近期這些攻擊事件來看,APT攻擊之所以讓企業聞之色變,主要因為它進到企業內網後,以低調且看似正常的對外連線,一點一滴的將企業資料往外送,造成許多遭受攻擊的企業往往被潛伏數月之久,卻完全無從察覺起。而隨著潛伏時間一久,駭客也彷彿如入無人之境,從端點、重要主機、到存放重要資料的資料庫或檔案伺服器等,一一到此一遊並將有用資料打包帶走。而所謂重要主機,包括安裝有AD、防毒軟體、資產管理軟體、軟體派送系統等主機,尤其從DarkSeoul與電子公文入侵事件來看,具備有軟體派送或檔案傳輸特性的主機,都可能成為駭客用來散佈惡意程式的管道,企業應特別加強監控。


具備軟體派送或檔案傳輸功能的系統,安不安全?
趨勢科技技術總監戴燊指出,目前此類系統遭受攻擊,通常是因為安裝於企業內網的主機本身管理疏失所導致,以DarkSeoul事件為例,也是因為受害企業安裝Ahn lab的主機被駭客拿下,駭客利用Ahn lab主機與用戶端在派送病毒碼時沒有進行簽章驗證此一漏洞,而成功讓惡意程式派送出去。趨勢科技的做法是會去檢查防毒主機是否有異常檔案,若有會去檢查數位簽章,而檔案若有問題則會重新命名並隔離。此外,用戶端PC更新下載時,會檢查MD5及數位簽章,若檔案有問題不符合數位簽章就不接收。

做好主機監控稽核 及早發現異常

及早發現可疑異常行為是對付APT攻擊的防禦重點。趨勢科技技術總監戴燊指出,會被長期潛伏滲透,主要因為這些主機平常疏於管理,IT人員沒有安裝修補程式、沒有做好主機監控稽核所導致。


戴燊進一步指出,對重要檔案的機碼值(registry key)、資料夾、日誌監控都要做,才能辨識出是否有攻擊事件。而主機監控稽核最重要的就是去看事件記錄檔案是否有異常登入事件,例如非上班時間的登入、有非正常權限帳號的登入、系統被建立來源不明的帳號等,這會發生在IT人員的電腦被入侵後,被駭客另開具系統管理者權限的帳號。此外是否出現異常連線,如連線到中繼站或不正常的連線,連到內部重要伺服器等。以及系統是否有被建立異常處理程序在上面、有無異常(重)開機、不明排程工作是否增加、不明的系統服務、系統目錄出現異常檔案,如windows目錄、system32目錄、temporary目錄、使用者目錄、根目錄等若出現異常檔案,這往往就是駭客丟上去的。或者被建立異常分享資料夾、防毒軟體出現異常運作例如被停止等,這些都是主機監控稽核必須要做的重要項目。

IT人員除了可透過主機監控防護軟體協助進行主機監控稽核外,防火牆、入侵偵測系統、防毒等系統也是必要安裝項目。

資安人科技網駐站專家Zero建議,透過導入資安事件管理系統(SIEM)可做較為即時的監控,以及針對伺服器的存取限制做強化,把不必要的服務埠號封鎖關閉,針對登入管理方面,可導入需人為介入的Two-Factor驗證機制,降低駭客一旦進入內網後,逛大街打進這些要點伺服器的機率。此外,在事件記錄管理的部分,不要忽略將記錄做好異地備份管理,可參考「教你處理資安事件-2 如何提供完整Log給ERS廠商?」一文。

 

合適的第三方工具 +人員判讀經驗 =及早發現可疑事件

談到從主機監控稽核以便及早發現可疑入侵行為,目前市面上許多軟體甚至開源碼軟體,都或多或少可做到主機監控稽核功能,從專門的伺服器監控管理軟體、日誌管理軟體、SIEM、資料庫行為監控、檔案稽核監控、甚至特權帳號管理系統等,包括微軟系統的本機群組原則編輯器也有9項安全稽核可設定。

精誠資訊ITSM專業服務處顧問林文腕認為,一般主機的監控稽核,需要定義清楚想找出的「異常」為何,因許多工具是強調效能異常的監控。而在微軟的事件檢視器中,事件類型可分為資訊、警告、錯誤三種,其中最多數的屬資訊類型,大多需要人為判斷才能得知是否為異常。

因此許多第三方日誌管理軟體就會搭配時間軸分析,從異常發生的時間集中度提醒IT人員去注意該事件。不管是日誌管理或伺服器監控管理軟體,都需要靠人為設定條件,例如時間區間來發出警告。而SIEM則較能分析事件彼此之間的關聯。台灣賽門鐵克資深技術顧問張士龍則認為專門的伺服器監控安全軟體與LM、DAM等相比,後者只是監控卻無法做到主機端異常行為偵測、惡意程式防護、系統安全強化等功能。


威銘國際資深顧問田振宇表示,以前駭客常透過暴力破解方式以取得系統權限,而現在則都是用這種細膩的攻擊手法,想要及時發現異常,除了靠工具協助外,更重要的是需要IT人員透過長時間觀察,才能累積經驗正確判斷log所代表的意義。上述這些工具軟體各有優缺點,以微軟內建的稽核機制來說,較需要花時間去整理,否則會看不出可疑事件。而某些日誌管理軟體將龐大日誌稍做整理,但仍會有很多雜訊,需要IT人員肉眼去分析、判斷才能發現異常。而SIEM則可將log、事件整理更清楚,可重點呈現出可疑異常事件的資訊。

也就是說日誌管理軟體或微軟內建稽核是呈現單一事件的資訊,而SIEM比較能看出多個事件的前後關聯與全貌,可以協助找出問題根源。Zero也認為SIEM,可讓零散的資訊、事件記錄在其管理平台透過關聯分析,引導出具追蹤價值的訊息。不過要成功導入SIEM並不是三天兩天就能搞定,後續的調整和分析規則定義才是重點。

具備主機監控稽核功能的產品
產品類別 代表性產品 說明
作業系統內建稽核機制 Windows server 2008安全性設定 免費,但需要花時間整理
伺服器監控防護管理 商用版—
趨勢Deep Security、微軟System center operation manager、賽門鐵克SCSP (Symantec Critical System Protection)
開源碼—Nmap, Monit等
可針對與安全相關的異常行為做偵測與通知
日誌管理 Splunk、HP Arcsight、NetIQ Sentinel、IBM、McAfee等 需人為設定條件發出告警
SIEM 同上 價格不低,但可看出事件關聯與全貌,並重點呈現可疑異常事件的資訊
檔案稽核監控 Power Admin、NetIQ Change Guardian、Imperva SecureSphere 檔案安全產品 針對檔案伺服器或儲存設備中的檔案提供監控、稽核與權限管理
資料庫行為監控DAM IBM Guardium、Imperva
針對資料庫

資料來源:資安人整理

 

相關文章列表:

【事前準備】面對APT,除了買產品你還能做的許多事
【經驗分享】迎戰APT 所有人都要做好被攻擊的心理準備
【解決方案-1】網路入口偵測 建立APT威脅的第一道防線
【解決方案-2】網路出口擋C&C連線 內網監控避免擴散