入侵偵測防禦系統 IPS SIEM Syslog

網路型、無線型、網路行為分析系統、主機型共冶一爐

截長補短互通有無 整合多類偵測防禦效果加乘

2020-05-19
網管人雜誌過去已經連續六期針對入侵偵測暨防禦系統進行了深入探討,說明了各種類型系統的特性以及優勢和缺陷,本期就來探討如何將多種入侵偵測暨防禦系統共同使用、該考量及注意之事項。

 

先前的文章已經解釋了網路型、無線型、網路行為分析系統、主機型等四個主要的入侵偵測暨防禦系統類型,基本上各種都提供了不同的資訊蒐集、Logging、偵測、防禦性能。各種技術提供的優點不太相同,例如偵測其他系統偵測不到的事件、偵測某些事件會有較高的精確性、執行深度分析卻同時對於主機效能造成的影響又不大。因此,組織應該考量使用多種入侵偵測暨防禦系統來達成更全面而且精確的偵測和預防,同時也伴隨著較少的型一錯誤和型二錯誤。

接下來,本文將提供一些指引,使用多個入侵偵測暨防禦系統,來打造更廣泛的入侵偵測暨防禦系統解決方案,並且討論其優缺點。

倘若組織正規劃使用多種入侵偵測暨防禦系統,或者甚至在單一入侵偵測暨防禦系統有多個產品,應該考慮是否使用某種方式將入侵偵測暨防禦系統產品整合起來,可直接一起運作,或是將它們的資料餵給中央化的Logging系統,或者餵給SIEM。本文討論入侵偵測暨防禦系統產品在整合的時候彼此有諸多不同,以及整合的方式的好處與限制。另外,也會討論其他可以彌補、如何彌補入侵偵測暨防禦系統的解決方案,以更進一步提升偵測和防禦。

針對多重入侵偵測暨防禦系統的需要

在許多環境中,若未採用多種入侵偵測暨防禦系統,便無法打造堅固的入侵偵測暨防禦系統解決方案。舉例來說,網路型入侵偵測暨防禦系統無法監控無線通訊協定,而無線型入侵偵測暨防禦系統也不能監控應用層的通訊協定活動。

表1針對四種主要的入侵偵測暨防禦系統種類做一個比較,表格內列出來的強項,意味著通常比其他系統強。特定的技術種類比起其他種類可能也有額外的優點,例如Logging額外的資料對於核實警告相當實用,或是其他入侵偵測暨防禦系統因為能力上或所放位置(例如放在主機上而非在網路)等因素而無法做到的防禦入侵。

對大多數環境而言,如果需要一個有效的入侵偵測暨防禦系統解決方案,必須將網路型和主機型入侵偵測暨防禦系統合併。倘若組織判斷本身的無線網路需要額外的監控,或者想確保沒有人在辦公室內使用不合法的無線網路,那無線型入侵偵測暨防禦系統可能也會一同被整併進來。若想讓DoS攻擊、蠕蟲等其他威脅具備額外的偵測性能,那就必須部署網路行為分析系統產品。

除了使用多種入侵偵測暨防禦系統外,某些企業也會在同一種入侵偵測暨防禦系統同時使用多個產品。之所以會這麼做的原因,通常是為了提升偵測性能。因為各個產品在某種程度上都採用不相同的偵測技術,並且會偵測到一些其他產品無法偵測到的事件,使用多種產品將允許更全面性的偵測。尤其使用多個產品來監控相同活動時,分析人員想確認警告的真實性並且識別出型一錯誤就更容易了,而且當其中一個產品失效時也還有冗餘機制。

整併各種不同之入侵偵測暨防禦系統

通常許多組織使用來自多個不同廠商的入侵偵測暨防禦系統產品,而大部分廠商生產入侵偵測暨防禦系統時都只限定在某一種類型。按照預設來說,這些產品功能完全彼此獨立。這樣其實也是有一些值得一提的好處,例如當某個入侵偵測暨防禦系統產品失效或者被滲透時,對於其他類型的入侵偵測暨防禦系統造成的衝擊其實是最小的。

然而,如果未將這些產品整合起來,那整個入侵偵測暨防禦系統實作的有效程度可能就會大幅受限。資料無法被產品共享,而且入侵偵測暨防禦系統使用者和管理者可能必須花費額外的心力監控並管理各種產品。

其實入侵偵測暨防禦系統產品可以被直接整合,例如一個產品把警告資料餵給另一個產品,或者它們可以間接地被整合,好比所有的入侵偵測暨防禦系統產品餵警告資料到一個SIEM系統。接著,就來討論直接和間接整合的好處及其限制。

入侵偵測暨防禦系統的直接整合

實務上,每當組織使用來自單一廠商的多個入侵偵測暨防禦系統產品時,最常見的就是直接將入侵偵測暨防禦系統整合。舉例來說,某些廠商推出了網路型和主機型產品,提供單一控制台介面用來管理和監控這兩種產品,這會讓管理者和使用者在操作上比較順暢和省時。

某些產品也分享資料,舉例而言,產品可能使用主機型入侵偵測暨防禦系統的資料來判斷某個被網路型系統的傳感器偵測到的攻擊是否有成功,或者某個被網路型系統阻擋下來的資料若被放行時該攻擊是否會成功。這個資訊可以加速分析過程,並且協助使用者更好地將威脅排定優先順序。採用徹底的整合解決方案之主要缺點是,若失效或者被滲透,可能就會危及全部的入侵偵測暨防禦系統。

直接的入侵偵測暨防禦系統整合,更限縮的型式是,讓某台入侵偵測暨防禦系統產品直接提供資料給另一台產品。如同前面所提,從相同廠商而來的兩個產品通常會彼此共享資料,以達成關連化的目的。資料也可以在不同廠商的產品之間被分享,雖然通常只是把一個產品提供資料傳給另一個產品。舉例來說,網路型入侵偵測暨防禦系統可以提供網路流量資訊給網路行為分析系統的傳感器。主機型入侵偵測暨防禦系統能夠提供系統組態設定資訊給網路行為分析系統,或是網路型系統的傳感器。這個資料可以被用來將事件關連化,以及將警告排定更好的優先順序。

入侵偵測暨防禦系統的間接整合

入侵偵測暨防禦系統的間接整合,通常會與SIEM一起執行。SIEM軟體被設計成從不同的安全相關Log匯入SIEM,並且把各種事件關連化,常見的有:被SIEM所支援的Log種類(包含了入侵偵測暨防禦系統、防火牆、防毒軟體以及其他安全軟體)、作業系統(例如稽核軌跡)、應用系統伺服器(例如Web Server、Email Server),甚至像識別證讀卡器這種實體安全設備。

SIEM軟體通常透過接收那些經由Logging主機來的Log複製本,把Log資料轉換成標準欄位和數值(亦即正規化),接著透過比對IP位址、時戳、使用者名稱以及其他特徵來識別相關事件。SIEM產品能夠識別惡意活動,例如攻擊和惡意軟體感染,以及對於系統和網路的誤用和不恰當的使用。此外,某些SIEM軟體也可以對指定的事件發起預防回應。SIEM產品通常不產生原始的事件資料,而是產生對於收到的事件資料來分析的結果。

SIEM軟體補足入侵偵測暨防禦系統的方式,包括下列幾種:

‧SIEM軟體可以識別某些事件種類,是個別入侵偵測暨防禦系統無法識別的,因為關連化的能力不同。

‧SIEM軟體的控制台介面能夠讓資料從許多來源而來到單一介面,這可以替那些想要一次監控多種入侵偵測暨防禦系統的使用者節省時間。SIEM控制台介面也可能提供一些入侵偵測暨防禦系統控制台介面沒有提供的分析和通報工具。

‧使用者可以更簡單地核實入侵偵測暨防禦系統警告的準確性,因為SIEM可能能夠連結各個警告來支援從其他Log得到的資訊。這對使用者來說,在判斷是否特定攻擊成功時是有所幫助的。

在入侵偵測暨防禦系統環境下使用SIEM,會有以下的限制:

‧對於同一個事件的時間,等到SIEM看到的時候通常都已經很晚了。Log資料可能會被利用批次的模式從Logging主機傳送到SIEM,例如每隔5或10分鐘,所以惡意活動警告被呈現在入侵偵測暨防禦系統控制台介面上通常比在SIEM來得早,而預防行動也比較沒那麼即時。

‧SIEM產品通常只接受原始Log檔案傳送某些資料欄位。舉例而言,如果一台網路型入侵偵測暨防禦系統記錄封包,封包可能因為頻寬或是儲存上的限制等因素而不會被傳送到SIEM。而且,Log正規化過程偶爾會產生一些資料錯誤或某些資料遺失。但至少還蠻幸運地,SIEM產品通常不會變更原始資料來源,所以可以被參照來核實資料的正確性。

‧SIEM軟體可能沒提供中介軟體給所有入侵偵測暨防禦系統產品。這可能需要管理者撰寫客製化的中介軟體,以傳送入侵偵測暨防禦系統資料到SIEM Server,或者就會變成入侵偵測暨防禦系統採用不同機制來執行Logging,這樣一來,SIEM軟體才能夠了解Log格式。

若不將SIEM軟體當作中央化Logging,其替代方案是找主要以Syslog Protocol為基礎的解決方案。雖然Syslog已經被採用許久,但其實一直還沒有正式被標準化。RFC 3164內有介紹BSD Syslog Protocol,預設上Syslog的傳輸機制是相當簡單,而RFC 3195內定義了Syslog的多種傳輸機制。

Syslog提供簡單的框架來產生、儲存、傳送任何入侵偵測暨防禦系統都可以使用的Log。某些入侵偵測暨防禦系統能夠將自身的Log格式轉換成Syslog格式。對Log來源而言,Syslog是非常有彈性的,因為Syslog有個欄位專門讓任何Logging來源可以放入任何格式的資訊。

然而,凡事總是一體兩面,這樣的彈性同時也讓Log資料分析變得很有挑戰性。各個入侵偵測暨防禦系統的Log訊息可能都有不同格式,所以強壯的分析程式可能需要熟悉各種格式,並且能夠提煉各種格式內欄位之資料所代表的意義。瞭解所有Log訊息的意義,可能有點不切實際,所以分析可能會被限制成用關鍵字或是Pattern搜尋。

其他具備入侵偵測暨防禦系統性能的技術

除了專門的入侵偵測暨防禦系統,組織通常還有許多其他的選擇,也或多或少有提供一些入侵偵測暨防禦系統的能力,或者補強主要的入侵偵測暨防禦系統。

下面就來討論常見的補強措施,包括網路鑑識分析工具(NFAT)、防毒軟體、防火牆和路由器,以及誘捕系統。並且,也會個別單獨簡介,以及它們用於入侵偵測和預防用途及其之於入侵偵測暨防禦系統的關係。除此之外,也將提出一些如何將這些技術與入侵偵測暨防禦系統一起搭配使用的建議。

採用網路鑑識分析工具(NFAT)

使用網路鑑識分析工具,主要重點在於收集並分析有線網路流量。不像網路型入侵偵測暨防禦系統執行深度分析,並且只儲存必要的網路流量,網路鑑識分析工具通常儲存自己看到的大部分甚至全部的流量,並且對這些儲存起來的流量進行分析。除了其鑑識能力外,網路鑑識分析工具軟體也提供一些能夠促進網路流量分析的性能,例如:

‧重新建構事件,透過工具內建的網路流量重放功能來針對指定時段內的重新撥放,也可以選擇要個別Session(例如兩個使用者之間的即時通訊)或者全部Session。

‧把流量以及主機之間的關係予以視覺化。某些工具甚至可以把IP位址綁定DN,或者綁定其他資料到實體位置並產生活動的地圖。

‧打造典型活動的剖繪,並且識別重大的偏離。

‧使用關鍵字來搜尋應用程式內容

比起典型的網路型入侵偵測暨防禦系統,應用上述這些功能,將使得網路鑑識更具有價值和強大,但應用在入侵偵測和防禦較無價值。網路鑑識分析工具軟體補強入侵偵測暨防禦系統的方式,包括以下幾項:

‧因為其廣泛之封包記錄的特色,所以若與入侵偵測暨防禦系統相比,網路鑑識分析工具軟體使用在網路鑑識上通常更有價值。

‧用網路鑑識分析工具軟體來記錄封包,可以減少網路型入侵偵測暨防禦系統的負載。

‧在客製化方面,網路鑑識分析工具軟體比入侵偵測暨防禦系統來得更適合客製化,尤其是內容搜尋上的客製化。

‧某些網路鑑識分析工具的GUI可能提供分析、視覺化以及通報能力,這是某些入侵偵測暨防禦系統控制台介面所不具備的。

而運用在入侵偵測暨防禦系統環境下的網路鑑識分析工具軟體的限制,則有以下幾種:

‧網路鑑識分析工具軟體通常都沒有網路型入侵偵測暨防禦系統的入侵偵測能力。

‧網路鑑識分析工具軟體一般也沒有入侵防禦能力

以防毒軟體偵測惡意軟體

其實最常用來處理惡意軟體威脅的控管措施是防毒軟體,可以偵測到的惡意軟體種類,包含病毒、蠕蟲、木馬、惡意行動碼、混合型的威脅,以及鍵盤側錄軟體和後門等等駭客工具。防毒軟體通常監控重要的作業系統元件、檔案系統和應用系統活動,並且企圖隔離那些有惡意軟體的檔案。

大部分組織部署防毒軟體,若非中央控管(例如Email Server、防火牆),即是本地端控管(例如檔案伺服器、桌機、筆電),這樣一來所有主要的惡意軟體可能的入口都可以被監控到。

至於防毒軟體產品偵測威脅,主要是透過特徵分析法。為了識別先前未知的威脅,它們也採用啟發式(Heuristic)技術來檢視特定可疑特徵的活動。每當有新威脅出現時,產品廠商就會打造並且釋出額外的特徵,這樣產品才能偵測到新型的惡意特徵。

除此之外,防毒軟體補強入侵偵測暨防禦系統的方式如下所示:

‧入侵偵測暨防禦系統的惡意軟體偵測能力,通常都還是有限的(通常只對最常見的威脅有偵測能力),所以防毒軟體可以偵測到許多入侵偵測暨防禦系統無法偵測的威脅。

‧網路行為分析技術可能會根據網路流量識別出有蠕蟲正在散播中,但是可能無法分辨是哪一種蠕蟲。如果該蠕蟲是過去已經存在的威脅,防毒軟體理應要能夠判斷蠕蟲的種類。

‧防毒軟體可以分擔入侵偵測暨防禦系統的部分負載,例如讓防毒軟體識別一些特定蠕蟲,並且把入侵偵測暨防禦系統的傳感器對於該蠕蟲的特徵給關閉。在大幅感染惡意軟體時,這個特色愈顯重要,尤其當入侵偵測暨防禦系統可能已經被海量的警告事件和其他正在發生中的大量事件淹沒時。

在入侵偵測暨防禦系統的環境下,運用防毒軟體的限制包含:

‧除了惡意軟體外,防毒軟體無法偵測到其他威脅。

‧比起防毒軟體來說,網路型入侵偵測暨防禦系統和網路行為分析軟體通常更能夠識別網路服務的蠕蟲,因為防毒軟體通常只監控最常見的應用通訊協定。網路型入侵偵測暨防禦系統和網路行為分析軟體,通常可以監控絕大部分的通訊協定。

‧防毒軟體通常無法識別新型的威脅,直到廠商釋出新的特徵值,並且安裝該項更新。在某些情況下,特別是那些很容易就可以識別出特徵的威脅,入侵偵測暨防禦系統能夠偵測新型的威脅,因為入侵偵測暨防禦系統管理者可以撰寫一個客製化的特徵給入侵偵測暨防禦系統。防毒軟體通常不允許管理者撰寫特徵值,而且網路行為分析軟體一般可以透過異常流量的型態來識別新型蠕蟲。

活用防火牆及路由器

網路型防火牆、主機型防火牆以及路由器過濾網路流量,都是根據TCP/IP特徵來過濾,例如來源和目的IP、傳輸層的通訊協定(如TCP、UDP、ICMP),以及基本的通訊協定資訊(例如Port號、ICMP種類和代號)。大部分的防火牆和路由器會記錄這些被封鎖起來的連線,而這個被封鎖的活動通常都是因為未經授權存取、Port Scanning。

某些網路型防火牆也扮演代理伺服器的角色。當代理伺服器被使用時,各個連線實際上變成了兩個分開的連線。許多代理伺服器都是針對特定應用系統,而其中某些代理伺服器實際上對通訊協定(例如HTTP)執行了一些分析和核實。代理伺服器可能會拒絕掉那些看起來不合法的用戶端請求(裡面可能就有某種型態的攻擊),並且記錄關於這些請求的資訊。

防火牆和路由器補強入侵偵測暨防禦系統的方式,包含以下幾種(某些防火牆和路由器可以執行入侵偵測暨防禦系統軟體,但這裡只討論防火牆和路由器核心性能,並未納入入侵偵測暨防禦系統性能):

‧網路型防火牆和路由器通常會做NAT,這是一個對應不同網路位址的過程。另外,NAT經常把內部的私人位址對應到一個或多個公開的網際網路位址。執行NAT的防火牆和路由器,通常會記錄各個NAT位址和對應關係。入侵偵測暨防禦系統使用者可能需要利用這種對應資訊來識別出主機的真實IP位址。

‧如果入侵偵測暨防禦系統和其他安全控管措施(例如防毒軟體)無法停止新型的威脅,例如網路服務蠕蟲或DoS攻擊,那麼防火牆或路由器可能必須暫時被重新設定成封鎖這樣的威脅。

‧如先前所述,許多入侵偵測暨防禦系統可以重新設定防火牆或路由器,以封鎖特定的威脅。

‧路由器通常被用來當作網路行為分析的資料來源

接著,說明防火牆和路由器應用在入侵偵測暨防禦系統環境中的限制:

‧防火牆和路由器無法偵測大部分的惡意活動型態

‧防火牆和路由器通常記錄很少的資訊,例如只能記錄那些被拒絕之連線的基本特徵,很少記錄任何封包內容。比起防火牆和路由器,網路行為分析技術和某些網路型入侵偵測暨防禦系統能夠記錄更多關於網路流量的資訊。

部署誘捕系統(Honeypots)

對於偵測那些廣為散播的事故(例如主要的新型蠕蟲)的最早期記號,某些組織已經考慮非常充分,他們部署誘捕系統這種控管措施,這樣才可以對這些威脅收集更好的資訊。

誘捕系統是一個只有管理者而沒其他授權使用者的主機,因為它們並不需要背負企業功能的任務;所有的活動都被當作是可疑的。駭客將掃描並且攻擊誘捕系統,給予管理者關於新趨勢和攻擊池的資料,尤其是惡意軟體。

然而,誘捕系統是一個補強措施,並非要取代其他安全控制措施。如果採用誘捕系統的話,應該要由合格的事故處理者和入侵偵測分析人員來管理。另一方面,誘捕系統的合法性還沒被清楚地被定義,所以組織應該在規劃誘捕系統部署之前,最好謹慎研究其法律上的複雜關係。

結語

在挑選入侵偵測暨防禦系統之前,對於產品的原理及技術層面必須多加了解,才能夠挑選適合組織的產品。若是一味地採買最新型、市占率最高的機型、以極度壓縮的預算採買非常陽春型的產品等,除了不見得適合組織使用外,可能也會花了冤枉錢而不自覺,到頭來卻是經營階層、資訊主管、基層同仁、廠商四輸的局面。

截至目前為止,想必大家對於入侵偵測暨防禦系統已經有許多認識,未來在選購相關產品之際,若善加利用所習得的新知識,相信會有不同的體驗。除此之外,對於已經採購的入侵偵測暨防禦系統產品,多花點時間維運並與廠商多多交流,也能夠提升專業技能。未來有機會的話,筆者或許考慮以資安事故為基礎,另書其他資安議題。

<本文作者:黃信智,目前為久揚科技服務有限公司營運總監,提供資安管理、隱私保護、營運持續管理等顧問諮詢服務、以及滲透測試、源碼檢測等資安服務。擁有CEH、ECIH、CISSP、ISO 27001 LA等資安證照。>

 


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!