多樣入侵偵測暨防禦 了解主機型部署要領

2020-04-27
上集文章已經討論了主機型入侵偵測暨防禦系統的主要元件,並且探究經常部署的架構,解說如何挑選中介軟體的位置,並剖析主機架構。本文將接著說明主機型入侵偵測暨防禦系統的安全性能,討論其管理性能,並且提出實作和操作上的建議。

 

在了解主機型入侵偵測暨防禦系統常見的元件和網路架構之後,接著說明它所提供的多種安全性能,這包括了Logging、偵測、防禦等等。然後,講解其所具備的管理能力。

常見安全性能:Logging

主機型入侵偵測暨防禦系統通常會對偵測到的事件執行廣泛的資料Logging。這個資料可以被用來確認警告的真實性,調查事故,以及把主機型入侵偵測暨防禦系統與其他Logging來源的資料關聯化。主機型入侵偵測暨防禦系統所記錄的資料欄位包含以下幾項:

‧時戳,通常是日期和時間。

‧事件種類或警告種類

‧等級,例如優先順序、嚴重性、衝擊、信心。

‧對於特定事件種類的細節,例如IP位址和Port、應用系統資訊、檔案名稱和路徑、User ID。

‧執行的防禦行動(如果有的話)

常見安全性能:偵測

大部分主機型入侵偵測暨防禦系統都有能力偵測多種惡意活動,它們通常會採用綜合型的特徵偵測法來識別已知的攻擊、使用異常行為偵測法來識別先前未知的攻擊是否違反政策或規則。

以下篇幅將接著討論這些偵測性能,包括偵測到的事件種類、偵測的精確度、調校和客製化、技術上的限制。

偵測到的事件種類

各種主機型入侵偵測暨防禦系統偵測到的事件種類相異甚遠,主要是因為其所採用的偵測技術而有所不同。某些產品提供許多種偵測技術,而其他產品只提供少數幾種而已,例如某些產品只分析網路流量,而其他產品只檢查主機內重要檔案的完整性。通常主機型入侵偵測暨防禦系統會採用的特定技術如下:

程式碼分析

中介軟體可能使用下列一個或多個手法來識別惡意活動。所有這些手法都是有幫助的,除了停止惡意軟體外,也可以預防其他攻擊,例如某些可能允許未經授權存取的程式執行,或者提升權限。

‧程式碼行為分析:在程式碼正常執行之前,可以先在虛擬環境或沙箱裡面執行來分析它的行為。舉例而言,當特定程式碼片段被執行之後,可能會嘗試取得管理者權限或複寫系統執行檔。

‧緩衝區溢位偵測:企圖執行堆疊(Stack)或堆積(Heap)緩衝區溢位,可以被入侵偵測暨防禦系統偵測到,透過查找它們的典型特徵,例如指令的特定順序、企圖存取記憶體的部分而非其他被分配到的記憶體。

‧系統呼叫監控:中介軟體知道哪一個應用系統和行程應該被呼叫,或者知道應該執行特定行動,例如中介軟體可能識別一個行程企圖攔截鍵盤側錄。另一個例子是中介軟體限制住元件物件模型(Component Object Model,COM)載入,譬如允許行事曆應用系統(而非其他應用系統)存取電子郵件的通訊路徑。中介軟體也能限制可被載入的驅動程式,以預防Rootkit安裝和其他攻擊。

‧應用系統及函式庫清單:中介軟體可能監控使用者或行程企圖載入的各個應用系統和函式庫(例如DLL),並且把這些資訊比對到已授權或未經授權的應用系統和函式庫。如此一來,不僅可以限制所使用的應用系統和函式庫,還能夠限制可被使用的版本。

網路流量分析

 

這很像網路型入侵偵測暨防禦系統在做的事情,某些產品可以分析有線和無線的網路流量。除了網路層、傳輸層和應用層協定分析外,中介軟體可能包含了對於常見應用系統的特殊處理,例如常用的電子郵件用戶端。流量分析也允許中介軟體萃取被應用系統送出來的檔案,例如電子郵件、P2P檔案共享,都可以被檢查看看是否有惡意軟體。

網路流量過濾

中介軟體通常包含主機型防火牆可以讓系統的各個應用系統限制進來和出去的流量,預防未經授權存取及使用政策違反(例如使用不恰當的外部服務)。某些防火牆可以產生並且使用一份主機清單,來表示它可以溝通的對象。

檔案系統監控

現今已經有多種不同技術做到檔案系統監控,包含下面清單所列出來的。管理者理應知道某些產品是依據檔案名稱來監控的,所以如果使用者或駭客改變了檔案名稱,檔案系統監控就無效了。

‧檔案完整性檢查:定期地替關鍵檔案產生訊息摘要(Message Digest)或者產生其他加密的校驗和(Checksum),然後拿它們與對應的數值做比對,然後識別出差異。檔案完整性檢查只能事後判斷該檔案是否已經被變更,例如系統二進制文件被某個木馬替換掉。

‧檔案屬性檢查:定期檢查重要檔案的屬性,例如其擁有的權限和授權。類似檔案完整性檢查,這只能事後判斷是否已經被變更。

‧檔案存取嘗試:中介軟體借助檔案系統的墊片,可以監控所有企圖存取重要檔案的嘗試,例如系統二進制文件,並且停止那些可疑的嘗試。中介軟體有一組關於檔案存取的政策,所以中介軟體比對那些政策與當下企圖存取的特徵,包含哪一個使用者或應用程式企圖存取哪一個檔案,以及它們所請求的存取種類(例如讀、寫、執行)。這可以被用來預防某些型態的惡意軟體被安裝,例如Rootkit、木馬,以及預防許多其他關於檔案存取、修改、汰換或是刪除的惡意活動。

Log分析

某些中介軟體可監控並且分析作業系統和應用系統Log,以識別惡意活動。這些Log可能包含系統事件的資訊,這是作業系統元件所執行的動作(例如關機、啟動服務);稽核紀錄則包含了安全事件資訊,例如成功或失敗的身分驗證和安全政策的變更;以及應用系統事件,這是應用系統所執行的重要的動作,例如應用系統的啟動和關閉、失效、應用系統的重大變更。

網路組態設定監控

某些中介軟體能夠監控主機的當下網路組態設定,並且偵測其變更。通常主機的所有網路介面都會被監控,包含有線網路、無線網路和VPN。網路組態設定的重大變更,包括網路介面被替換成雜亂模式、主機上開通額外的TCP或UDP Port,或者使用額外的網路通訊協定,例如Non-IP的通訊協定。這些變更可能意味著主機已經被滲透,而且被設定成未來攻擊所使用或用來傳輸資料。

當然,組織應該判斷主機的那一個面向需要被監控,並且挑選有提供適當監控和分析的入侵偵測暨防禦系統產品。因為主機型入侵偵測暨防禦系統通常對主機特徵和組態設定有廣泛的了解,主機型入侵偵測暨防禦系統中介軟體可以判斷一個攻擊是否會繼續下去。中介軟體可以利用本身的知識來挑選防禦行動,並且指派適當的優先權給各個警告。

偵測的精確度

就像其他入侵偵測暨防禦系統技術一樣,主機型入侵偵測暨防禦系統通常也會有型一錯誤和型二錯誤。然而,對於主機型入侵偵測暨防禦系統來說,偵測的精確性是更具挑戰的一件事,因為許多可能的偵測手法,例如Log分析和檔案系統監控,對於偵測到事件的所處環境並沒有相關認知。

舉例而言,主機可能會被重新啟動,可能會安裝一個新的應用系統,或者系統檔案會被替換。這些動作有可能是惡意活動所執行的,或者它們本來是正常主機作業和維護的一部分。事件本身已被準確偵測到,但是它們的本質到底是良善或者惡意,如果缺乏額外的環境背景,就不太容易判斷。某些產品,特別是那些桌機或是筆電,會要求使用者提供一個環境背景,例如是否正在更新特定應用程式。如果使用者在一定時間長度內(通常是一兩分鐘)並未回應該提示的話,中介軟體就會選擇預設行為(允許或拒絕)。

主機型入侵偵測暨防禦系統使用綜合型的偵測技術,比起那些只用一個或兩個的手法來說,應該要有能力達成較佳的偵測準確度。因為各個手法可以監控主機的面向有所不同,使用多種技巧的話,就會讓中介軟體得以收集更多資訊。這樣提供更完整的事件全貌,而且也可能提供額外的環境背景,對於評估特定事件來說是頗有助益的。

調校及客製化

主機型入侵偵測暨防禦系統通常需要大量的調校和客製化。舉例而言,許多系統都依賴觀察主機活動和發展基準線。其他需要用更細部的政策來設定,將主機上的各個應用系統應有之行為定義明確。隨著主機環境變更,管理者應該確保主機型入侵偵測暨防禦系統政策更新時已把這些變更考慮進去。一般而言,想要自動地把主機型入侵偵測暨防禦系統和變更管理系統連接起來,比較不切實際;但是,管理者可以定期檢視變更管理紀錄,並且在主機型入侵偵測暨防禦系統內調整主機的組態設定和政策資訊以預防型一錯誤。

政策通常會被設定在每一台主機,或者為了有彈性而設在一群主機。某些產品也允許設定多個政策在單一台主機上給多重環境,這樣對於那些在多重環境內的主機來說最有幫助。例如,一台筆電在組織內要使用,也可以從外部地點連回來。主機型入侵偵測暨防禦系統也提供白名單和黑名單給主機(例如那些會被通訊的其他主機的IP位址)、給應用系統、給Port號、給檔案名稱,也給其他的主機特徵。某些主機型入侵偵測暨防禦系統產品內建支援網域名稱服務,根據過去的活動來提供關於檔案、Domain、IP、其他屬性等資訊。主機型系統的另一個常見特色是客製化各種警告,例如指定回應的選項給特定種類的警告。此外,主機型入侵偵測暨防禦系統的特徵精緻度,會因為各種產品的偵測技術不同而相異甚多。

技術上的限制

主機型入侵偵測暨防禦系統有一些重大的限制,其中一些限制已經在先前提過,而其他重要的限制如下:

‧警告的延遲:雖然中介軟體能夠即時產生警告,但某些技術卻是定期地識別那些已經發生的事件。這樣可能只有每小時才會發生一次,或者甚至一天下來只有執行幾次而已,導致在識別出特定事件時已經重大延遲。

‧中央化回報的延遲:許多主機型入侵偵測暨防禦系統本來就是定期地把它們的警告資料傳遞給管理伺服器,而非即時的傳遞。警告資料通常都是每隔15到60分鐘以批次的方式被傳送,以減少入侵偵測暨防禦系統元件和網路的傳遞成本。小一點的主機型入侵偵測暨防禦系統實作,可以更頻繁地傳送資料,但是對於較大型的實作,廠商通常建議傳送頻率低一點。這樣的話,就會導致發起事故回應行動也隨之延遲,尤其是在惡意軟體大批出沒蔓延快速的時候就更須留意。

‧主機資源使用率:不像其他入侵偵測暨防禦系統,主機型入侵偵測暨防禦系統是把中介軟體安裝在要被監控的主機上。這些中介軟體會消耗可觀的主機資源,包含記憶體、處理器使用率、儲存空間。中介軟體的作業,尤其是墊片,也會導致網路和檔案系統使用的作業變慢。當評估採買主機型入侵偵測暨防禦系統產品是否適合時,應該要測試主機的各種資源使用率。

‧與既有安全控制措施的相衝突:安裝中介軟體可能導致既有的主機安全控管措施(例如個人防火牆)失效,如果那些控管措施是要複製中介軟體提供的功能時。安裝中介軟體也可能導致和其他安全控管措施(例如個人防火牆、VPN用戶端)的衝突,尤其是使用墊片來攔截主機活動的中介軟體。對某些產品而言,網路墊片其實並非必要,雖然它確實會有更優質的功能(尤其在防禦動作上)。為了識別任何潛在的衝突,實作人員應該測試主機上的中介軟體。

‧主機重新開機:對許多主機型入侵偵測暨防禦系統產品而言,中介軟體升級和某些中介軟體組態設定變更,會導致主機重新開機。如同前面提到的其他問題,在挑選產品之前,實作人員應該執行廣泛測試,並且考慮重新開機帶來的衝擊,例如因為主機無法被重新開機而導致中介軟體無法偵測最新的威脅。

常見安全性能:防禦性能

主機型入侵偵測暨防禦系統中介軟體提供不同的入侵防禦能力,因為這些能力會因為採用不同的偵測技術而有所不同,以下的項目就來談一下偵測技術。

‧程式碼分析技術:程式碼分析技術可防止包含惡意軟體以及未經授權的應用系統等程式碼被執行。某些主機型入侵偵測暨防禦系統也可以停止網路應用系統喚起Shell(用以執行某種攻擊)。如果設定調校正確,程式碼分析技術可以是非常有效,尤其在阻止未知攻擊方面。

‧網路流量分析:這可以避免進來的網路流量被主機處理,並且避免將要向外走的主機之網路流量真正離去。也可以被用來停止網路層、傳輸層和應用層攻擊,並且停止使用未經授權的應用系統和通訊協定。分析也可以識別出被下載的或者被傳送的惡意檔案,並且預防那些檔案被放到主機上。網路流量可能被丟棄或被拒絕,而且主機的個人防火牆(這可能本來就內建在中介軟體裡面)可能會被重新設定,以迴避額外的相關可疑流量。在停止許多已知和以前未知的攻擊上,網路流量分析是有效的。

‧網路流量過濾:可以停止未經授權的存取和對於政策的違反行為。網路流量過濾要有效,只有藉由識別IP、TCP Port、UDP Port或者ICMP種類與代號的活動來避免的行為。

‧檔案系統監控:可以預防檔案被存取、修改、替換或者被刪除,可停止惡意軟體安裝,如木馬和Rootkit,以及其他涉及不恰當的檔案存取的攻擊。這種手法能夠提供額外層次的存取控管,來補足該主機既有存取控管技術的不足。

主機型入侵偵測暨防禦系統其他的偵測技術,例如Log分析、網路設定監控,以及檔案完整性檢查和檔案屬性檢查,通常不支援防禦行動,因為它們做的事情都是只能確定事情已經發生了而非預防。

提供其他性能

某些主機型入侵偵測暨防禦系統會提供不屬於入侵偵測暨防禦系統的功能,例如防毒軟體、垃圾郵件過濾,以及Web內容過濾或者電子郵件內容過濾等等。這些已經超過本文的討論範圍,而且通常會提供在個別的入侵偵測暨防禦系統產品內一起綁定住,例如端點防護。接下來,討論與入侵偵測暨防禦系統產品功能比較相近的額外性能。

‧可移除式媒體限制:某些產品可以限制使用像是USB拇指碟這種可移除式媒體,以預防惡意軟體或其他不想要的檔案被傳送到主機,而且也可以停止敏感檔案被複製到可移除式媒體。

‧影音設備監控:少部分主機型入侵偵測暨防禦系統產品可以偵測當一台主機的視聽設備(例如麥克風、攝影機或IP電話)被啟動或者被使用,這意味著主機已經被滲透。

‧主機強化:某些主機型入侵偵測暨防禦系統能夠持續地自動強化主機。舉例而言,如果一個應用系統被重新設定而導致特定安全性能被關閉,入侵偵測暨防禦系統可以偵測到這個現象,並且啟動該安全功能。

‧行程狀態監控:某些產品監控主機上行程或服務的狀態,而且如果偵測到有一個被停掉,便會自動重新啟動。

‧網路流量清洗:某些中介軟體,尤其是被部署在設備上的,可以清洗它們監控的網路流量。例如,設備型的中介軟體可以扮演代理伺服器並且重新建立各個請求和回應。將某些不尋常活動中立化是有效的,尤其是在封包標頭和應用協定標頭。清洗也能夠降低駭客情蒐的數量,例如隱藏伺服器的作業系統相關資訊以及應用系統錯誤訊息。某些產品也可以預防敏感資訊,例如社會安全碼和信用卡卡號被顯示在網頁上。

具備管理能力

大部分主機型入侵偵測暨防禦系統提供類似的管理能力,以下討論管理的主要面向,包括實作、操作和維護,並且提供一些如何有效並且有效率地執行的建議。

實作

一旦挑選了某台主機型入侵偵測暨防禦系統產品,便需要設計一個架構,執行系統元件測試,保全系統元件並且部署。

‧元件測試及部署:當主機型入侵偵測暨防禦系統元件在測試環境中被評估後,組織應該在正式環境上實作小的前測,這樣管理者才有機會調校和客製化,當作未來做更大型部署的前置準備作業。在前測和正式環境實作時,應該要關閉防禦性能,直到中介軟體已經充分被調校和客製化後才開啟防禦性能。

‧保全元件:如果管理伺服器或控制台介面必須驗證各個主機來管理中介軟體或者收集它們的資料,組織應該確保身分驗證機制有效地被管理而且已妥善被保全。舉例而言,如果需要密碼,而又是在所有的中介軟體主機都使用同一組密碼的話就有安全顧慮;如果各台中介軟體使用不同的密碼,那麼密碼可能很難追蹤及維持。如果身分驗證採用的是加密金鑰,那就需要額外考慮金鑰管理議題了。

操作

主機型入侵偵測暨防禦系統的操作應該根據先前所建議的實務做法,唯一的例外是更新中介軟體。某些中介軟體能夠定期檢查管理伺服器並自動取得以及安裝更新,其他中介軟體無法做到這些,需要管理者手動檢查和安裝。在許多案例中,中介軟體的更新能力,取決於其所在的作業系統種類。

<本文作者:黃信智,目前為久揚科技服務有限公司營運總監,提供資安管理、隱私保護、營運持續管理等顧問諮詢服務、以及滲透測試、源碼檢測等資安服務。擁有CEH、ECIH、CISSP、ISO 27001 LA等資安證照。>

 


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!