企業入侵偵測管理 (Enterprise Intrusion Detection Management)

這篇是繼「企業防毒管理 (Enterprise Anti-Virus Management)」及「企業防火牆管理 (Enterprise Firewall Management)」相關文章。

入侵偵測，英文的維基說明在這裡(較詳細的)，它有許多名稱「Intrusion Detection System (IDS)」、「Intrusion prevention systems (IPS)」、「Intrusion Detection & Prevention (IDP)」，所以它的區分或功能上也有很多差別，如主機型 (Host) vs 網路型 (Network)、偵測 (Detection) vs 防護 (Prevention)、Anomaly (異常現象) vs Signature (特徵比對) ...等，甚至有的產品還有一些特殊偵測功能，所以這類產品在功能上就已經頗複雜，你會用嗎？你佈署對了嗎？有發揮功效嗎？這是相當需要持續關注的一個設備，也需要資安觀念及技術的。
資安設備大多都是這樣，這有一句我的論點：「同樣一個武器，會因為操作的人不同會有加乘的結果，不擅用的人反而會傷到自己」。但重點是如何能發揮基本的防護呢？你又有思考過嗎？

入侵偵測防禦系統，在 2002~2005 年可是市場上相當夯的產品，尤其是整合防火牆、路由器、防毒閘道、反垃圾郵件...等多項功能產品，多半能受到相當的歡迎；有人說：2000~2007 年都是在進行資安防護的基礎建設，也只有做到「建置」工事，多半沒有做到「維運」及「管理」觀念；2008 年開始市場開始有「雲端安全」的相關產品，這是應該是雲端運算衍伸過來的吧，加上 SaaS (軟體即服務，Software as a service) 的新觀念，而造就的一種新興商業服務模式。在"雲端"提供資訊安全服務，這樣客戶也可以省掉某些資安的「維運」及「管理」作業，但...這是理論上。後續我也會提些雲端安全技術的概念，概念是培養資訊安全觀念與認知很重要的來源，但切記：概念，不等於技術，技術只是實踐概念的方法，所以概念對的產品，不見得有真正的技術配合。

常見入侵偵測管理上的問題：
1.錯誤的佈署方式
這是個嚴重問題，最常見的迷思就是佈署在對外 (Internet) 防火牆的前面及後面，因為這中間有很多邏輯錯誤與矛盾存在，簡單的說是未經思考及某專家建議所做的佈署；如果佈署在這，最大問題是沒有有效發揮入侵偵測的能力。也表示外部 (Internet) 會攻擊內部 (Intranet) 所有目標，也就是說內部全都需要保護，哪...你的防禦很脆弱嗎？還是你不知道要保護誰？放在這是要解決哪些問題呢？還是放在這就想解決所有問題？還是根本不知道問題？
2.沒有持續的關注
入侵偵測防護系統，就是發現攻擊入侵事件並進行防禦、應變作業。如果有入侵阻擋 (Block) 功能，你需要它持續發揮防禦，萬一失效不就曝露在攻擊下了，或者不幸被規避成功，哪你的弱點又曝露了唄。如果只有單純入侵偵測，哪你更需要關心它，如何去發現入侵、攻擊行為？不然這偵測系統要做啥咧？會不會發現建構入侵偵測防護系統，往往不是解決問題的呢？真正的問題才開始你發現了嗎？
3.未經調校 (Tuning) 作業
入侵偵測防護系統的調校 (Tuning) 作業是必須的，沒有經過調校將無法顯示入侵或攻擊事件。調校過程主要是針對監控網段 (或監控點) 進行客製化調整，針對誤判 (False Positive) 的事件進行過濾、分析是否有漏判 (False Negative)的可能。這個過程是頗大學問的，且經過調校過程所產出的數據也才有意義。
4.沒有數據化的報表
數據化的報告也是入侵偵測防護系統相當脆弱的一環，甚至需要第三方的分析工具或軟體協助了。但更重要的是你知道要看哪些數據嗎？哪些主機是被刺探的高危險群？是否有因應方案？是否有相對攻擊之弱點？...數據化的結果都是要呈現問題的，不是解決問題喔！
5.沒有配合網路及系統的環境設定
這邊並不是要說，如果只有 Windows 系統，哪其他 Unix-Base 系統的偵測碼可以停用之類的，因為會這樣說的，通常都是認為阻擋 (Block) 攻擊就沒事的。這部分簡單的說，就例如可能有 HTTP 使用 Port 88 (假設不是常用的 HTTP 通訊埠)，哪...入侵偵測防護系統知道嗎？是否在防護範圍呢？是否有效發揮該有功能呢？入侵偵測都有細部或客製化設定，是需要緊密結合網路及系統環境，例如設定閘道器 (Gateway) 的 MAC Address，可以防 ARP Spoofing 攻擊。

看完以上，你確定是要佈署入侵偵測防護系統，來解決你的問題嗎？這是舊思維，也是謬思哩。如果你想用這系統來防禦你的弱點，哪就大錯特錯了；問題在你為何會有弱點？為何一直沒有發掘？為何沒有及時修補弱點？網路上最新威脅及攻擊行為怎麼沒有掌握？治標跟治本的問題一定要分清楚，治標只是過渡時期的做法。

入侵偵測防護的佈署步驟及思考：
1.了解網路架構設計與資訊安全策略
了解自家網路架構與系統是基本動作，因為，這系統是整體資安防禦工事之一，當然是會緊密結合在一起的。
2.進行網路架構環境的評估或稽核
哪些是重點網段或主機，期望要保護的對象，或者是入侵、攻擊的目標。
3.佈署的預期目標、期望發掘事項及防禦重點
這點是最重要的，如何達成計畫的目標？佈署這系統的原因與目的？
4.選擇適當的入侵偵測防護系統
這點我認為應該是最難的，得先了解各種入侵偵測防護系統才行，且不同產品也有不同的功能差異，有其佈署上的策略。有些狀況免費 (Snort) 的可能是最佳的。簡單的說要「因地制宜」。
5.佈署偵測點 (Sensor) 的考量
監控方式 (Passive、Sniffer、In-Line...等)、旁路功能 (Fail-Open、By Pass)、其他產品整合...等都是要考慮的。簡單的說就是要不影響網路、系統運作，又能發揮功效。
6.網路架構的配合調整
有時網路架構並未做好調整，來配合入侵偵測防護系統，所以需要調整網路架構、防火牆或路由器...等。
7.入侵偵測防護的死角與補強
思考可能的死角，最常見如加密封包、特別的通訊協定 (Protocol) ...等，是否有對應策略或配套方案。
8.定時進行佈署複檢與調整
系統佈署都需要定檢的，看看有沒有地方需要修正或佈署錯誤，或網路環境異動需要同步調整，或是否有其他計畫需要配合異動佈署架構。

入侵偵測防護管理觀念：
1.重點不在於阻擋入侵、攻擊，這樣是很淺見的。躲得了一時，躲不了一世。
2.重點在於發現入侵、攻擊，而進行補強及追查工作。要有 Action 是很重要的一環，才能真正解決問題。別忘了 IPS 也會有 By Pass 的時候。
3.入侵攻擊來源與目標主機的事件，其過程是否能被入侵偵測防護系統所偵測發現。
4.如何有效地察覺入侵、攻擊事件的發生。
5.對於入侵事件的處理原則，如何算是完成處理資安事件，相關處理事件的分析與統計。
6.應該與誘捕系統 (Honeypot) 結合這是我對原廠的期望
7.與弱點管理系統的契合。如弱點掃描系統的佈署是否衝突？是否導致弱點偵測系統失效？還是你認為兩者不相干？
8.與網路及系統結合越深，越能發揮其功效；越了解自己，越能發揮自己。
9.如果能撰寫偵測碼 (特徵碼，Signature)，才算是真正駕馭入侵偵測系統。