字級AAA
財金資訊季刊 第67期 2011/07/07
淺談多層次之網路安全縱深防禦機制
呂信德 財金資訊公司安控部資訊安全組工程師

一、前言

以往談到網路安全,很多人覺得只要有防火牆加上防毒軟體就可搞定,如果再加上入侵偵測系統,幾乎就是所向無敵的豪華配置。然而,隨著網路技術與應用發展一日千里,網路攻擊手法日新月異,網路資安事件層出不窮,傳統單一防護機制已不足以抵擋瞬息萬變的各種安全威脅。

本文將從常見的網路入侵與攻擊方式談起,說明組織如何在兼顧安全需求及預算考量下,整合不同之網路安全技術,並透過各單位協同合作,建構多層次的縱深防禦機制,降低來自網際網路及內部網路的安全威脅風險,維護重要資產的機密性(Confidentiality)、完整性(Integrity)及可用性(Availability)。

二、網路攻擊與入侵

網路惡意攻擊者(亦即俗稱之駭客)主要係經由資訊蒐集、目標掃描、弱點刺探等過程,最終取得系統控制權限,侵入系統,並消滅相關軌跡證據,以維持其系統控制權。以下介紹幾種內外部網路常見的攻擊入侵方式。

(一) 主機入侵

主機入侵係指利用系統未及時修補的安全弱點、系統設計或設定上的錯誤疏漏(如密碼強度不足、存取規則設定錯誤)等,對系統主機或設備進行未經授權之非法行為,造成系統損毀、不堪使用、無法提供服務或資訊外洩等狀況。

(二) 網路竊聽

網路竊聽係指通訊過程中,攻擊者於資料繞送之任何節點上,植入可擷取通訊封包之程式,取得通訊內容,而造成資訊洩漏或遭竄改、非法使用等情形。網路竊聽除可能因洩露通訊內容(如信用卡卡號)而直接造成傷害,也可能因系統認證相關資料(如系統管理者帳號密碼)的洩漏,而間接讓攻擊者伺機登堂入室(植入後門程式、篡改系統設定等)危害系統運作。

(三) 病毒感染

電腦病毒係指在使用者不知情的狀況下、會自行複製及執行的電腦惡意程式(如蠕蟲、木馬程式等)。電腦病毒技術進展快速,混合型攻擊形態(如病毒郵件、釣魚郵件等)與層出不窮的病毒變種,往往讓管理者防不勝防。一旦防毒軟體之病毒碼更新速度追不上病毒攻擊的散佈速度,則難逃病毒、蠕蟲或木馬在區域網路內擴散肆虐的惡果。

(四) 網站竄改

網站竄改係指網站因網頁應用程式設計不當、網站伺服器弱點或設定疏失等,發生資料被竄改或非法利用所衍生的財務或權益損失。

三、多層次縱深防禦架構

面對千變萬化的網路攻擊與入侵方式,惟有建構多重防禦機制才能有效攔阻。所謂多層次縱深防禦(Diversity and Defense-in-Depth),就是利用多層次的防禦技術來阻絕不同類型的攻擊,即使其中一層無法順利攔阻,仍有其它輔助或備援方式接手攔阻,攻擊者必須逐一突破各項保護措施,才能成功入侵。

多層次縱深防禦架構(如下圖)是以管理、實體、技術三個控制層面來達成安全管理的目標,組織內部必須訂定管理政策與標準作業程序,強化員工資安意識,再建構網路、周邊、主機、應用程式及資料之各種分層防禦技術,以保護組織之重要資產。

FISC

四、多層次網路安全防禦

網路安全係指網路環境中的軟體、硬體、作業系統與資料應受到適當保護,避免因人為因素或天然災害而遭受損失。多層次之網路縱深防禦機制則期望能達到嚇阻(Deter)、偵測(Detect)、延遲(Delay)、禁制(Deny)四項目的,使入侵者會考量風險或代價太大而打消入侵行為;萬一發生入侵事件,也能及時發現與阻擋,使入侵行為因耗時費力而無法得逞。

網路安全防禦架構(如下圖)通常以防火牆為基礎,建立內外部網路之間的緩衝區(Demilitarized Zone,簡稱DMZ),防止入侵者直接存取儲存內部資料的伺服器。然後再搭配Web應用程式防火牆、入侵偵測防禦系統、Internet網站代理存取閘道、垃圾郵件或病毒過濾閘道系統及虛擬私有網路等設備與技術,建構完整多層次之縱深防禦架構。

FISC

(一) 防火牆

網路層的防火牆(Firewall)通常安裝於兩區網路之間,檢查每一封包前端的來源IP位址、目的IP位址、來源連接埠(Port)、目的連接埠等欄位,以過濾不合法的連線封包,並提供稽核及控制存取網路資源等服務。

面對詭譎多變的外部網際網路環境,通常會以雙層防火牆管制網路連線與封包進出。外部連線不可直接存取內部網路,必須經由放置於DMZ的伺服主機轉接,以降低外部直接連線入侵,植入病毒或木馬程式而造成資料外洩的風險。

(二) Web應用程式防火牆

Web應用程式防火牆(Web Application Firewall,簡稱WAF)是屬於應用層的防火牆,專門防護對外提供服務的HTTP及HTTPS網站,以防禦SQL隱碼攻擊(SQL Injection)、跨網站入侵字串(Cross Site Scripting,簡稱XSS)及OWASP TOP10等常見的網站攻擊行為。

(三) 入侵偵測防禦系統

入侵偵測防禦系統(Intrusion Detection/ Prevention System,簡稱IDS或IPS)將各種已知的入侵模式(Patterns)或特徵(signatures)建成資料庫,經由封包內容過濾比對,判斷是否有入侵行為,再依據管理人員預先設定之條件,發出警告或直接攔截惡意封包。

(四) 病毒與垃圾郵件過濾閘道系統

一般郵件防護閘道系統常會整合防毒引擎,不僅可以過濾攔截垃圾郵件及病毒郵件,並可有效阻擋特定來源的大量郵件或連線攻擊。這種過濾外部病毒或釣魚郵件的閘道式防毒系統(Antivirus Gateway),可以與一般電腦主機所安裝的防毒軟體共同組成雙層防禦機制,提升防毒效力。

(五) 虛擬私有網路

虛擬私有網路(Virtual Private Network,簡稱VPN)係利用網際網路或其他公眾數據網路,建立加密安全的傳輸通道,經由通道傳送的資料均已加密,可降低遭竊聽截錄的風險。常用之VPN可分為二類:

1. IPsec VPN

適用於總公司與分公司之間的傳輸(Site To Site VPN),可同時支援多台電腦與遠端伺服器之間的連線。對於需要同時支援多台電腦及伺服器互相連線,且地點固定的企業環境,可以提供相當良好的管理及安全保護機制。

2. SSL VPN

適用於員工在家(非可信任區域)與公司之間的傳輸(Client To Site VPN)。SSL VPN不需要任何額外的用戶端軟體,只要在網頁上輸入網址,通過認證後,就可以建立VPN連線。為了提升遠端存取作業之安全性,通常會以雙因子認證(Two factor Authentication)機制提高身分認證強度,再輔以端點(Endpoint)安全控管機制,確保外部連線設備之防毒軟體、作業系統版本均符合安全規範要求。

(六) 網站存取控制

存取某個Internet網址(Uniform Resource Locator,簡稱URL)前,如能先評估確認其安全性,再由代理伺服器(Proxy Server)或防火牆設定開放存取,可防範組織內部員工存取惡意網站,並攔阻木馬程式建立對外直接連線之企圖,降低資料外洩風險。

(七) 網路存取控制

網路存取控制機制(Network Access Control,簡稱NAC)可與組織內部作業系統身分認證機制(如微軟Active Directory,簡稱AD)整合,並檢查用戶端端點安全性(如作業系統版本、弱點修正狀態、防毒軟體更新狀態等),以確保合法使用者係經由符合組織安全政策的環境,連線存取內部網路資源。

(八) 資安事件監控

利用資安監控中心(Security Operation Center,簡稱SOC)彙集各網路安全防禦系統之事件紀錄,經由整合分析比對,以追蹤監控網路連線軌跡,若發現可能威脅網路安全之事件,則適時提出警示訊息。

五、其他防禦機制之協同整合

組織為確保軟體、硬體、作業系統及資料傳輸的安全性,除了建構多層次網路安全縱深防禦機制保護外,亦須整合各單位周邊、主機、應用程式及資料之各種分層防禦技術,才能有效降低各種安全威脅。

(一) 周邊安全防禦

端點周邊防護(Endpoint Protection)係指於電腦主機上安裝代理程式(Agent)管控各項輸出入週邊設備(如USB、光碟機、藍芽及無線網卡等),以防範資料未經授權而輸出外洩。市面上有些端點防護系統還具備軟體安裝權限管理、資產盤點等功能。

(二) 主機安全防禦

電腦主機應安裝防毒軟體,作業系統及應用軟體應定期接受系統安全弱點掃描,並及時修正更新。更新前應先於測試環境完成相容性驗證。

重要主機應以機房實體隔離,並輔以錄影監控及門禁管控。使用者帳號應依職務區分群組,以最小必需為原則,明訂使用者各項存取權限。

(三) 應用程式安全防禦

應用程式過版及變更應以程式版本控管系統統一管理,正式上線營運前,應進行安全弱點掃瞄或原始碼審視,以驗證功能正確性,並 降低因設計不當導致之安全威脅。

(四) 資料安全防禦

線上傳輸之重要資料應利用密碼學技術加密或簽章押碼,以確保資料之來源辨識、完整性、隱密性或不可否認性。重要資料之輸出入應依分工牽制原則,經事先授權核准,並保留執行軌跡,以供日後查證。

六、結論

傳統單一防護設施已無法有效抵禦不斷推陳出新的網路入侵攻擊手法,因應不同安全防護需求的網路安全系統或設備也應運而生,包含號稱可以提供全方位防護的整合式防禦設備(Unified Threat Management,簡稱UTM),只是其功能與效能是否能滿足需求,仍有待觀察。

資訊安全不可能百分之百,網路安全防禦機制當然也不可能盡善盡美,必須所有人員分分工合作,整合各層次之安全防禦機制,持續改善強化,並提升資安意識,才能將安全風險降到最低,持續維護資訊系統之正常運作。

列印 Mail Plurk Facebook Twitter