[資安小錦囊] 如何防範「資安事件」於未然

2019 / 11 / 14

編輯部

目前常見的資安事件中，主要可分成資料外洩與系統遭受攻擊這兩大類。在資料外洩方面，又可分成內部行為與外部入侵這兩種不正常存取方式，由於這些入侵行為通常是在幕後默默進行，因此一般不易在第一時間內發現，等到事件被發現時，犯案者通常已經得手，甚至已經銷聲匿跡，追查時只能進行亡羊補牢工作，對於已經發生的資料外洩與所造成的損失，想要彌補回來，可說是為時已晚。

系統遭受攻擊方面，最常見的便是遭遇DDoS（Distributed Denial-of-Service）攻擊，攻擊者通常會利用被植入木馬的殭屍電腦，於特定時間內集中對特定目標進行網路存取動作，導致被攻擊的電腦、網站系統無法承受密集的系統存取動作，且造成系統當機或是存取速度變得極慢，這對於被攻擊者的企業不但丟失商機，也對企業形象造成衝擊。

資安日誌與網路流量綜合檢視與判讀
電腦系統中，無論是作業系統還是應用軟體，通常都會在程式的運作過程中留下日誌檔（log file），以便當程式運作出現問題時提供開發者檢驗問題，找出問題的可能發生原因的紀錄資料。不過，這些日誌檔通常都是經由一堆一般使用者難以理解的文字與數字紀錄所組成，除非發生嚴重的系統問題，通常是不會有人去在意與檢視這些日誌檔案。

從系統面看，當系統遭受外部攻擊時，網路流量將會出現異常的狀況，系統也會記錄下網路流量的變化情形。同樣地，這些網路流量的異常變化通常也不會在第一時間通知系統管理者，當系統管理者被告知時，通常系統已經遭受嚴重的攻擊或是出現系統癱瘓現象，不但，管理者來不及制止這些異常的網路存取行為，傷害也已經造成。

事實上，所謂「凡走過必留下痕跡」，任何系統遭受到不正常的存取或是遭受攻擊時，都會在日誌檔與網路流量資料中留下紀錄，但從許多事件案例中，我們可以發現一個共同現象，那便是當發現系統出現異常時，通常已經過了好幾個星期或數個月，一方面只能進行事後的追查，無法防範事件於未然，另一方面有可能因為事件已經發生過一段時日，當時的日誌檔與網路流量資料檔案已經被覆寫，或是因為紀錄檔案過於龐大，導致追查曠日廢時、困難重重。
提早進行防堵甚至防範於未然
此外，其實網路入侵行為將會同時在系統日誌檔與網路流量資料檔案中出現端倪，但是當前這兩個檔案都是獨立存在的，而無法同時檢視、比較，來盡早發現可疑的網路活動，若有資安檢視系統能夠同時針對系統日誌檔與網路流量資料檔同時進行監測與判讀，將能夠加快找出異常活動的速度，無論是資料外洩或是系統遭受攻擊，如果能夠在事件發生的初期便能夠偵測到不正常的存取動作，提早進行防堵，將能夠避免事件朝向惡化發展，甚至防範於未然。

由於系統、應用軟體、服務的多樣性，入侵與攻擊技巧也在日新月異的演變，如何準確地分析與辨識出可疑的活動，並及早提出警示，減少誤報的現象發生，將是日後對於資安檢測系統的一大挑戰。

如何選擇一套能夠整合檢測系統日誌檔與網路流量資料檔呢? 並從中找出彼此的關聯性，依據網路異常行為的模式分析，也針對可疑的內部與外部存取行為進行監控，甚至是對封包的內容進行檢測，以便從中找出可疑的蛛絲馬跡，並對管理者提供一目了然的操作介面，且能及早將可疑的活動提出警告，以便做出相關的因應措施，這將可大幅降低系統管理者的負擔。因此，防範「資安事件」於未然，遠比事後彌補與追查的亡羊補牢更有意義也更為重要。

【IBM資訊安全事業部錦囊袋】
因應日益嚴峻的資安事件，身處於全球攻擊最頻繁之處的台灣企業，鑑於駭客攻擊手法日益進化，近來在加速引進資安設備之餘，也斥資建置規模大小不一的SIEM平台，期盼透過分析網路流量、資安封包等工作，有效杜絕惡意程式入侵的機率。儘管如此，台灣仍然不時爆發企業遭到惡意程式入侵的案例，甚至有部分案例的蠕蟲潛伏期可長達數百天以上，顯見現有SIEM平台仍然有不足之處。
IBM企業安全部安全諮詢顧問洪國富表示，會造成此憾事，在於傳統SIEM平台的網路流量與資安封包分析工作，是分別交由兩套工具處理，在彼此之間資料沒有共享的狀況下，容易忽略新型態的惡意程式，最終陷入遭到駭客入侵而不自知的狀況。其次，即便SIEM平台偵測到資安威脅出現，管理人員也很可能因採取不適當的處理步驟，而無法真正排除潛在的威脅。

整合網路、資安分析能力
相較之下，IBM QRadar是一套結合日誌與網路分析、漏洞管理與掃瞄、資料外洩鑑識的全方位SIEM 管理平台，堪稱是解決企業資訊安全挑戰與法規遵循要求的最佳方案。這套工具最大優點為在能接收與分析來自各品牌資安設備的訊息之外，也能監控第7層流量與封包分析，並自動對超過1,000 個應用程式和通訊協定進行辨識，並針對資安威脅進行檢測和深入取證調查。尤其IBM QRadar內建超過600個流量的異常偵測關聯規則，能主動偵測惡意程式、蠕蟲等資安威脅，乃至於Port Scan、C&C連線、New Services / Hosts Discovery、異常傳輸量等等。

另外，考量到新型態惡意程式的特性不同，洪國富也提到IBM QRadar也提供排除資安威脅的流程建議，能協助資安工作人員在最短時間清除蠕蟲、惡意程式等資安威脅，將駭客攻擊事件衝擊降至最低，進而確保商業流程能夠維持穩定運作。

希望進一步了解或免費試用IBM QRadar，
請前往：https://www.ibm.com/tw-zh/marketplace/ibm-qradar-siem

資料外洩系統攻擊