資安威脅無所不在
針對惡意程式威脅的議題,經由長期運用誘捕網路與資安偵測設備在網路上所蒐集到的樣本作分析,不難發現目前的發展趨勢。早期惡意程式的功能較為簡單,但晚近發現的大都是多功能型的惡意程式,或是能夠跨不同作業系統平台的惡意程式。這些現象對於資訊安全的防護造成了直接的影響,也挑戰了現有的網路安全防禦架構。
尤其目前多數的網路攻擊不一定來自網際網路,也有因內部員工的系統遭到社交工程的攻擊所致。例如某人不慎開啟了社交工程的郵件,或拜訪了有惡意程式的網站,就因為個人的資安意識不足,而影響到整體的資訊環境安全。
目前資安威脅無所不在,尤其在許多資訊服務已非典型的架構時,資安的問題更容易發生。例如在新的系統轉換或新的資訊服務上線時,現有的資訊架構該如何隨著新興的服務需求調整現有的資訊服務,兼顧資訊安全的防護。尤其是不同的系統軟體間進行資料的傳遞時,如何建立可信任的關係,讓資料的交換能夠確保資安防禦的要求。這些呼聲已成為資安討論時重要的議題。
由資訊安全維運的角度來看,網路上時時刻刻都能偵測到許許多多的攻擊行為,而這些攻擊行為對於被攻擊的目標是否造成影響,往往是資料分析時最需確認的問題。然而資料涵蓋層面的完整與否會影響分析結果的正確性,若只從單一的資料來源較難看出影響的層面。因此在規劃資安的防禦架構時,如何透過不同的資安設備進行縱深防禦的規畫,是目前在資通訊防護上常考慮的方式。
而縱深防禦的運用,需要有足夠的資安威脅情資的協助,以確定如何從不同的層次進行資安攻擊行為的風險評估,如決定何者需要積極開立資安事件單,或僅作資安預警即可。動作不同,後續的處理流程也會受到影響。
如何掌握網路攻擊以及資安的威脅,是資安維運單位最在意的事。以目前的偵測架構而言,多數的資料來自資安相關的設備,包括防火牆、入侵偵測系統、郵件閘道等,有時也蒐集來自網路伺服器的日誌,包括許多網路關鍵服務,如DNS服務等。這些重要的資料來源與網路上所偵測到的結果,就提供了主要的資訊。而不同的網路行為對於資安影響的程度,也可以透過資安風險評估的方式加以確定。再者從資安維運的角度來看,影響層面越大或資安風險越高的攻擊威脅,就是最需要優先處理的。
從網路管幹到使用者端點,讓資訊安全的需求由廣而深。近年來在端點安全防護的方案中,可以建立端點設備的安全機制,例如偵測端點設備的異常行為,或攔截尚未確認的連線行為等。這些雖然都是基本的知識,但是能夠有效率地執行簡單的事,也是資安營運單位重要的認知。
惡意程式知識庫的發展
在目前的網路攻擊行動中,經常見到惡意程式參與其中。不論是針對性的攻擊,或是大規模的網路攻擊,透過惡意程式的運作,可控制受害的系統成為發動資安攻擊時的來源與跳板主機。如何蒐集與分類惡意程式,目前有許多不同的做法,參考端點防護軟體的偵測結果是最常見的。
這種方式是依據惡意程式的特徵或偵測所得的特徵,確定惡意程式的可能類型,再依據防護軟體所定義的給予分類與名稱。從使用者的角度,大致上不難理解這惡意程式的主要影響。不過對於研究惡意程式的人而言,單純知道分類與名稱是不足的,需要更深入地了解這惡意程式對於受害主機的影響,例如對於系統運作環境的感染、檔案異動或網路的通訊行為等,這些資訊會與其他的日誌紀錄比對。
國家高速網路與計算中心(以下簡稱「國網中心」)自2009年起開始在台灣學研網路部署誘捕網路,蒐集異常的網路行為資訊,成果包含為數眾多的惡意程式。這些惡意程式大多有其周期性,會依據當時主要的系統與應用軟體弱點不同,而有不同功能的惡意程式,多年來已累積相當多的資料。
國網中心也與國際的資安組織合作,共同研究惡意程式的領域,也取得了許多來自國外的攻擊樣本。利用這兩個不同來源的資料集,可以分析國內外惡意程式的差異。對於不同的區域所取得的惡意程式,也能夠了解其是否有地域性的特徵。
目前在多層次的資安分析中,動態沙箱分析的環境主要採用Cuckoo Sandbox建置。Cuckoo Sandbox是一套開放原始碼的自動化惡意程式分析平台,能夠分析與記錄檔案開啟或執行的過程。
另有一套商業版本的分析軟體,採用Lastline做為快速篩選,另外增加對於檔案類型的支援,最後把相關的分析報告彙整,提供給對外服務的網站使用。不同屬性的網站需要使用不同的資料,因此在整個多層次的分析架構中,針對產出的的資訊分類相當重要。透過已完成分類的資訊,可以直接提供給不同需求的使用者。
目前惡意程式知識庫已提供了超過1,500萬隻的樣本,也利用建置的動態分析沙箱進行惡意程式的行為分析,並且把分析的報告提供作為惡意程式的行為研究用,包括了「Info」、「Yara」、「VirusTotal」、「Dropped」、「Behavior」、「Strings」及「Network」7個主要的分析項目,而這些都是在研究惡意程式的過程中需要掌握的資訊。
其中在行為分析的部分,包括了對於系統機碼以及檔案的異動,透過這些關鍵的資料,可以了解惡意程式對於系統的影響程度,以及預測其目的。另外在網路行為的分析上,包括了網域名稱、主機位址,以及使用的通訊方式,由其呈現的通訊行為,能夠掌握該惡意程式感染受害主機的管道。若再配合資安的防禦設備進行通訊上的阻隔,就可以避免惡意程式的影響範圍持續擴大。
目前惡意程式的活動大多結合殭屍網路進行,而殭屍網路的活躍也成為許多資訊安全事件發生的主因,包括了因物聯網裝置的安全問題,以及Mirai Botnet的原始程式碼公開,引起後續幾次大規模的網路攻擊事件。由於許多網路攝影機裝置缺乏資安的考量,讓其成為殭屍網路的一員,當駭客發起網路攻擊行動時,這些遭到感染的裝置就成為參與網路攻擊的虎猖。
多數的物聯網裝置在規劃設計之初,未思及完整的資安防禦架構,因此開發出來的裝置無法因應資安防護的要求,便成為網路世界的不定時炸彈。如其後出現的Hajime就是針對物聯網的裝置進行攻擊,也造成嚴重的後果。因此對於物聯網裝置本身的安全,必須從不同的層次研析,包括系統運作的安全、通訊上的安全,以及對於蒐集資料時的保護方式,這些都會影響本身運作架構上的安全防護。
多層次的資安防禦
多層次的資安情資涵蓋了網路層到應用層的資訊,可以視為資料處理流程的最佳化。在蒐集資料的過程中,需要同時處理結構化及非結構化的資料型態。結構化的資料包括網路設備、資安設備,以及網路服務主機提供的日誌紀錄,這些紀錄大多以每列一筆紀錄的方式呈現。而非結構化的資料,雖然仍有一定的訊息格式,不過因為訊息的長度不一,在處理上歸屬於非結構的資料。
對於不同來源的資料,較早期的技術採用正規化的方式,把所有的資料轉換成定義好的欄位與格式。不過當資料量達到大數據的規模時,雖然能夠處理資料上的正規化轉換,需要面臨另一個因為資料量的大幅成長所造成處理效能不佳的問題。因此在目前的環境中,如果需要的資料已屬大數據的範疇,則在系統建置當時,就必須採用分散式資料庫、搜尋引擎等文件檢索方式進行,以符合未來資料處理上的必要環境,也省去需要重新進行資料分析架構調整的問題。
蒐集資料的來源後,接著進入資料分析的層次。資安的資料與其他領域資料的最大不同點,在於分析結果取得的急迫性,因為多數需要進行資安應變的事件,當面對需要處理大量的資安數據資料時,需要同時考量事件本身可能造成的影響範圍。因此在越短的時間內完成事件分析與決定後續處理方式,就可降低事件所造成的損失,也可以縮小事件的影響範圍。
因應國家對於關鍵基礎設施所發展的防護架構,國網中心協助執行「科學園區資安資訊分析與分析中心計畫」。這計畫涵蓋了國內所有科學園區的廠商,而為了因應不同的產業對於不同資訊類型的需求,這平台透過會員主動訂閱的方式,由使用者自行選擇取得資通訊系統、應用軟體、設備與裝置等相關的資安弱點情資,期能精準地應用在本身企業的資通訊環境中。
其中包括了安全防護機制的建置,或針對特定弱點風險的修補,資訊安全情資的發布可以建立信任的資訊傳播管道,並能夠依據所接收到的情資內容進行後續的因應,例如更新系統的軟體版本,或調整現有的資安防禦架構,以降低該風險發生的可能。
資訊安全的應變須包括管理層面及技術層面,才能夠建立一套完整的防禦。從管理層面來看資訊安全防禦,除了可以參考資訊安全管理系統的標準外,目前因為許多雲端服務的平台、物聯網路的興起,以及行動應用服務的多樣化,已經發展出諸多資安評估的方式。因此除了透過現有的資料來源分析外,也可以應用能夠取得的外部情資進行整合,以確定所偵測到的資安威脅在本身所營運的範圍內是否有發生的可能。
資訊系統的防禦邊界,在典型的架構下,可以由資安設備擔綱。而目前因為行動應用服務的盛行,許多應用服務除了原本的服務方式外,也配合行動應用程式的開發,把服務直接介接到使用者的終端,提供了相當快速的資訊。然而對於資安的防禦,卻變得更為複雜,必須考慮使用端的環境,以及對於資料的處理方式。而這些端點的裝置,目前大多數沒有任何的資安偵測機制,這也成為行動應用程式在開發上需要思考的問題。
資訊安全的威脅來源多樣化,近年來資訊服務架構的成長與改變,傳統的資安防禦機制已無法因應新型態的攻擊威脅。因此建立多層次的資料處理與分析流程,對於網路攻擊威脅的評估,以及可能產生的資安風險相當重要。目前許多資訊安全偵測機制已從典型的單點偵測架構,逐漸發展成彼此的資訊比對,以確定所偵測到的網路攻擊會產生的資安風險。
基本上,駭客與遭受攻擊的目標兩者是處於不對等的狀況。駭客的攻擊只要一次成功,就會對目標造成影響。而從防禦的角度來看,只要有一次沒有防禦下來,被保護的目標就可能造成重大的損失。而不論是發展下一代的資安維運中心或是資安的情資系統,都會面臨資安大數據以及關聯分析的問題。近年來興起的人工智慧(artificial intelligence, AI),就是專門處理大數據的好手,或許也是解決這個問題的那把鑰匙。