談網路鑑識與行為分析系統

迅速找出問題關鍵
人生在世，總難免要經歷各種疾病與意外的打擊，這是每個人都會面臨的生活風險，而在資訊網路化的時代，隨著企業的電腦一一連上了開放式的網際網路，也就代表企業已成為惡意人士潛在的攻擊對象，必須面對網路入侵與犯罪事件所帶來的資安風險。

根據CSI/FBI 2006電腦犯罪與安全調查顯示，企業遭遇惡意攻擊的型態，除了電腦病毒感染以65%排名第一之外，內部不當網路存取與未授權資訊存取也各佔42%和32%。另外，調查中也指出，未來兩年最受重視的前十大資安議題，以資料保護與應用軟體弱點達到73%的比例最高。

由此可知，電腦病毒的感染與不當的資料存取，皆是透過網路這個管道而來，而資料透過網路洩漏的問題，更是企業相當重視的問題。為了降低各種惡意威脅與網路弱點所形成的資安風險，許多企業紛紛投資建置了防火牆、入侵偵測系統等安全設備，不過當企業發生了網路入侵事件，身為管理者的您，如何能在最短的時間內找出問題發生的原因？當企業發生資料洩密事件，老闆詢問您到底是誰、用了什麼方法、外洩了那些機密檔案時，如何能夠馬上找出答案？



入侵偵測系統的盲點
所謂「前事不忘，後事之師」，為了降低可能的風險與損失，企業必須懂得從過往的歷史教訓中，學習正確的防範方法，因此對於企業而言，從網路流量記錄來分析駭客的入侵攻擊手法，或是在網路攻擊或洩密事件發生之後，找出入侵和洩密的管道，並且保全數位證據來進行訴訟，是企業管理階層應該思考的方向。

目前企業所建置的入侵偵測系統，雖然可以依照特徵比對的方式，來警示網路攻擊事件的發生，但是一旦出現了新的病毒或是攻擊手法，在特徵資料庫尚未更新之前，網路仍存在著相當高的安全風險，而且也無法評估究竟有哪些系統已遭受到攻擊，更無法得知可能造成的損害範圍。

舉例而言，當年發生的Nimda病毒攻擊事件，在入侵偵側系統能夠辨識之前，就已經感染了為數眾多的企業網路，並且造成了企業營運中斷，估計損失高達上百萬美元。雖然當時的入侵偵測系統已發出可能危害安全的警報，但是在資訊不足的情況下，卻無法提供管理人員進行調查或即時處理的方法，也無法提供管理人員可用的分析工具，來確認遭受病毒攻擊的網路區段。

換句話說，即使入侵偵測系統在企業中扮演了重要的守門人角色，卻仍然無法提供更進一步的事件調查與事件還原工具，來找出資安事件發生的真正原因，尤其是面對愈來愈多駭客使用了混合式的攻擊手法，此時，唯有運用網路鑑識與行為分析系統(NIFS, Network Intrusion Forensic System)，才可以藉由完整的網路使用過程記錄，運用科學化的分析方式將謎團一一地解開。



網路上的監視攝影機
談到安全問題，在傳統安控的設備方面，監視器一直是具有良好嚇阻性與記錄犯罪過程的利器，它能夠事先提醒歹徒不要輕舉妄動，更可以記錄所有監視範圍內的人事物。而網路鑑識與行為分析系統，就像是網路上的一台監視器(圖1)，能夠針對所有的網路應用程式進行效能與流量進行分析，並且透過資料採擷的技術，快速精準地搜尋並重組關鍵的重要資訊。

不過，網路鑑識與行為分析的目的並不是為了要監視員工在網路上的一舉一動，或是想要侵犯員工的隱私權，而是希望藉由保留各項網路使用記錄，提醒員工以預防不當行為的發生。

由於網路鑑識與行為分析系統可以提供非入侵式(non-intrusive)、持續性流量記錄和即時的流量分析功能，藉由複製所有流經網路的資料來加以分析，並且加入精確的時間戳記(timestamp)，因此可以偵測出各種入侵或異常行為，並且完整保存相關記錄以作為法律訴訟的證據。

所以，企業可以事先依據可能面臨的資安問題，像是針對異常流量等事件，或是針對電子郵件內容設定關鍵字過濾，利用主動警告的機制使管理人員可以即時處理，協助企業在資安事件發生之前，即產生嚇阻作用並先行掌握各項徵兆，同時也能在事件發生過程中，即時監控惡意攻擊與不正常的流量，最後再透過網路鑑識方式，來找出駭客入侵與商業機密外洩的管道，作為法律或內部處置的依據。



保存證據重建現場
我國刑事訴訟法第154條規定：「犯罪事實應依證據認定之，無證據不得推定其犯罪事實。」當犯罪事件發生的時候，企業勢必要面臨相關的民(刑)事訟訴問題，也需要協助相關的司法調查。因此，要如何在過程之中舉證，能夠提出強而有力的犯罪證據，是企業管理階層與法務部門應該要留意的事項，而所謂的資料蒐集與鑑識分析，並非只是司法單位的工作，若事件發生時的相關人員，能夠協助保持事件記錄與資料的完整性，將有助於後續的司法調查工作。

一般而言，當企業發生網路攻擊或犯罪事件，應該要記錄的重點有：

1. 發生的日期、時間與地點

2. 事件發生的來源與牽涉的資訊系統

3. 事件發生過程

4. 犯罪所使用的工具、設備

5. 事件所造成的損害

當然，企業內的各項安全設備，也都會存有系統的記錄檔(log)，但是現今高手級的駭客都很了解「偷吃要懂得擦嘴」這個掩飾罪行的道理，因此在入侵成功之後，都會藉由修改各項log記錄檔，以躲避安全人員的查核。不過，駭客並不能修改網路鑑識系統針對入侵過程的資料記錄，所以仍舊難逃鑑識人員的法眼。

藉由網路鑑識與行為分析系統的協助，在資安事件發生時，可以針對來自內部和外部的入侵來進行調查，透過了特徵比對、異常行為與分析工具，若經過確認這是一種網路犯罪行為，就可以藉由系統所收集保存各項事件記錄，做為事後追捕與檢討工作之用。

而除了偵測攻擊行為與異常流量來發出警示之外，系統還提供了安全事件重現的功能，可藉由長時間完整地儲存原始的封包與連線記錄，回溯至事件發生當時的狀況，一旦企業遭受到網路攻擊，或是懷疑機密資料經由網路傳送出去時，就可以檢視當時所留存的完整記錄，透過現場重建方式來進行完整的鑑識調查，更讓執法機關能夠藉此來進行犯罪事實的認定，並進行下一步的法律行動。



網路鑑識系統的佈署建議
今日的企業面對來自內外眾多的威脅，為了防止未經授權的存取、非法入侵與網路攻擊，更應該考慮以多重防禦的方式，來加強網路安全，以便盡快能夠從資安事件中快速復原，因此建議企業採取以下的三層式架構，來保護網路與資訊安全：

1. 事前避免(Avoidance)：建置安全防禦裝置，例如防火牆、VPN、加密裝置和身分認證系統，以預防未經授權的存取或入侵攻擊行為的發生。

2. 入侵偵測(Detection)：透過事件記錄檔(log)的稽核與入侵偵測系統，來偵側入侵事件的發生。

3. 事後調查(Investigation)：當資安事件發生之後，利用鑑識分析工具在可能受害的範圍內進行調查，並且蒐集和記錄與事件相關的各項資訊，以預防事件的再度發生，並提供司法機關必要的協助。

企業想要確保網路安全的第一步，就是必須建置適當的安全設備來避免資安事件的發生，因為只要系統連結上了網際網路，就可能成為惡意攻擊的對象，一般而言，在佈署了入侵偵測系統之後，即可透過特徵比對(signature-based)或異常流量(anomaly detection)的偵測方式，來發現警示網路入侵事件，而網路鑑識與行為分析系統除了具備了入侵偵測的功能之外，還能更進一步藉由記錄與分析網路流量，具備了「事件重建還原」的功能，就像一台錄影機一樣，隨時可以回溯時間來呈現事件發生時的原貌。

另外，網路鑑識與行為分析系統更可作為新的安控措施的檢驗工具，藉由重播曾經發生過的入侵手法，來確認新的防禦設備能夠發揮應有的作用，而在事件發生之後，透過鑑識工具的運用，可以找出問題的真正發生原因，並且將網路回復到可信任的安全狀態，能夠大幅縮短弱點修補的時間，也讓系統管理人員能瞭解駭客所運用的入侵手法，以提供網路補強或程式撰寫上的安全建議。


網路惡意行為分析說明
「凡走過必留下痕跡」，透過網路鑑識與行為分析系統，我們可以在事前即設置相關的警示政策，再經由即時流量分析與特徵比對，從各項記錄中來找出可疑的異常行為。以下即針對一些常見的網路惡意行為，進行分析說明：

Virus/Worm入侵行為

背景說明：某企業的網站伺服器無法提供服務，懷疑遭受網路病毒的攻擊。

調查分析：以CodeRed為例，它主要是利用微軟IIS Server的漏洞來進行攻擊，並且在攻擊成功之後，會再利用受感染的主機透過Port 80去攻擊別人。網路鑑識與行為分析系統可以在網路產生不正常的流量封包時，立刻發出警報通知管理人員，並進行事件記錄的統計，我們可以在事件檢視器(event viewer)中，從來源IP與目的IP發現受感染的主機不斷地試著去攻擊其他機器(圖2)，而藉由流量的統計分析，也可以馬上找出受感染的時間點，再利用流量還原(Traffic dump)的方式，來找出病毒的特徵，作為後續防範與病毒防治的參考(圖3)。

內部資料外洩行為

背景說明：某公司因陸續發生尚未上市的產品資料遭到曝光，因此管理階層懷疑有內部員工透過網路，將機密的產品資料寄送給他人。

調查分析：藉由網路鑑識與行為分析系統所記錄的資料，我們可以利用字串搜尋功能，來找出被非法外洩的機密資料，例如以「proprietary」為關鍵字進行搜尋，結果發現有一封郵件其中夾帶了一個簡報檔案(圖4)，從這筆記錄中，我們可以得知信件被外寄的日期、時間、發送者IP和Email address、透過哪一台郵件伺服器寄送、收件者Email address，信件主旨和所附加的檔案。

接下來，我們可以利用Email重建功能來還原信件內容，也可以同時還原信件中所夾帶的附加檔案，查看之後發現此一檔案果然含有公司所有權註記(圖5)，證實是內部員工以電子郵件外寄方式來洩密，企業可妥善保存此項證據，以採取後續的處置或法律行動。

另外，我們還可以事先設定電子郵件的發送者(來源端IP)、收件者(目的端IP)、關鍵字、檔案名稱、檔案型態、檔案大小等條件，來進行即時的比對監控，一旦有任何的網路連線和所設定的政策比對相符時，網路鑑識與行為分析系統就會立即傳送警告通知給管理人員，可以即時掌控內部員工是否違反企業的資訊安全政策。

木馬入侵行為

背景說明：某單位發生一連串的駭客入侵事件，並且發現有好幾台伺服器疑似被植入木馬程式，並且被當做跳板去攻擊別人。

調查分析：我們在Server的閘道口佈署了網路鑑識與行為分析系統，以進行網路行為、特徵值比對與異常流量分析，從事件記錄中即可得知攻擊的發起時間、來源IP與被攻擊的內部IP，並且進一步利用TCP連線重組還原與封包解譯，查出駭客原來是利用Telnet與Buffer overflow的攻擊方式，來入侵企業內部的伺服器(圖6)。

至於駭客如何利用它作為跳板去攻擊別人，我們透過了網路行為還原分析，發現駭客是利用後門程式連接埠(TCP 60000)，以FTP方式從遠端下載木馬程式與攻擊字典檔，並且重新啟動網路服務後，來展開對其他主機的攻擊。而藉由重建木馬程式的原始碼和攻擊字典檔，可以深入分析駭客的攻擊手法，從攻擊目標IP的屬性來分析駭客可能的攻擊目的(圖7)。

所以，利用網路鑑識與行為分析系統針對整個入侵步驟的Step by Step解析，即可得知駭客重新啟動了哪些服務？木馬與後門程式檔的植入路徑？有哪些程式已被駭客修改過？這樣就能夠幫助管理人員迅速回復系統的運作。



結語
隨著資訊化的程度愈深，企業對於電腦與網路的依賴性也愈來愈重，電腦與網路的便利性的確為企業創造了更多獲益，但是相對的，好用的工具一旦使用不慎，也很容易變成了犯罪者使用的利器。

任何網路入侵事件與犯罪行為的發生，絕對是企業所不願見到的，更希望能夠「預防勝於治療」，因此在事件發生之前，企業要藉由各項風險評估與控制措施的導入，來降低可能面對的傷害，而在不幸事件發生之後，更要對於事件進行完整的回顧，包括發生的原因、過程，以及所造成的結果，才能瞭解日後該如何避免類似事件，消弭再次發生的風險。

所以，網路鑑識與行為分析系統最重要的功能即在於，能夠即時偵測不正常的網路流量，捕捉資料並且進行分析與調查，讓事件完整重現。當然，若企業本身已導入如BS7799/ISO27001的資訊安全管理系統，藉由網路鑑識對於事件分析後所產生的完整調查報告，更可以作為修正企業資訊安全政策的重要依據與參考，管理人員也應該以主動的姿態來面對網路安全威脅，適時地將事件提報給高層及法務單位，並且提供相關的證據與必要的協助，使執法機關能夠順利處理網路犯罪事件。