資安稽核記錄基本要點不外乎人事時地物,但實務上更嚴謹的作法,還必須具備用戶辨識能力,以確認該登入者為帳號本人。
希比思系統(CPS Systems)自主研發的Ultimate Auditor,內建登入者身分驗證機制,希比思系統總經理侯善耀說明,先透過正向表列,攔阻不屬於表列條件中的流量,只解析被允許的來源,即可在不致造成傳輸與效能瓶頸等問題下,驗證來源端合法性。
資料庫稽核主要目的是建立交易活動記錄機制。「我們思考的是,除了記錄以外,所有跟資料庫接觸的來源,包括應用程式、連線通訊協定與登入者,也要同時建立控制措施。」侯善耀說。以正向表列方式先行定義「誰」可以跟資料庫建立連線、具備哪一種「角色」、允許使用的「通訊協定」及其「連接埠」,再套用政策來管制。如此一來,不在此表列清單中的帳號皆無法跟資料庫有所接觸,概念上更相似於回收所有特權帳號,再依據定義的權限開放,並善加控管。
「但實務上要防範APT攻擊時,還必須進一步懷疑來源端究竟是本人的操作行為,或是被駭客所控制?因此Ultimate Auditor提供的驗證機制,包括硬體式的Token、憑證、ID與密碼、指定來源IP位址、結合Active Directory等方式。」侯善耀說。
|
▲CPS Systems Ultimate Auditor以Sniffer技術解析SQL語法與通訊協定,藉此監控與記錄特權用戶、合法帳號登入者的操作行為。 |
經過驗證後的帳號,會有相對應的存取權限以及控管政策,未經授權者一律逕行阻斷,正可防治現在駭客採用的「蛙跳」手法。侯善耀強調,CPS跟其他軟體式資安方案較不同之處在於,採以網路層的Sniffer技術進行封包偵測解析,不僅可辨識並記錄SQL陳述式,亦可即時監看所有來源通訊協定及其採用連線埠,諸如HTTP、Telnet、SSH、FTP等主機或資料庫系統所開放的連線存取管道。
為了對付客製化的駭客攻擊手法,近年來資安領域開始出現聯合防禦模式,CPS則是聯手艾斯酷博科技(Xecure Lab)提供APT防範措施。「當我們開始走向聯防體系後,才發現資安解決方案彼此之間根本無法溝通,各環節產出的資訊無法共用。於是今年又再發展出iNET(Intelligent Net)系統,類似改良式的SIEM平台,除了Log檔案外,還多xFlow解析器與SNMP代理者(Agent)。」
以往分別由網管與系統管理者各自監看的資訊,經由iNET系統加以統整並賦予關聯性,更可發現潛在的異常行為,立即觸發聯防體系中的資安機制執行防禦。侯善耀舉例,由艾斯酷博定時掃描內網出現的攻擊行為,並將相關資訊提交給iNET,即可根據端點的IP位址,從網路層發送TCP Reset指令,破壞異常連線的建立,同時發出告警通知管理者進行查看與處置。