資安事件「應變處理 (Incident management, Incident Response(IR), Emergency Response, Incident Handling)」,它有很多名稱,簡體名稱為「应急响应(應急響應)」。相關政府單位、組織可以參考這裡。
相關事件應變處理 (IR) 步驟或過程可以參考下列文章:
1. SANS InfoSec Reading Room:
Incident Handling
2. GIAC Research in the Common Body of Knowledge:
Analysis of the Incident Handling Six-Step Process
3. SecurityFocus
An Introduction to Incident Handling
SANS (SysAdmin, Audit, Network, Security) 對於資安事件應變處理上,有提出六大步驟,這些步驟並沒有一定的標準程序,但是有些模式可循,可以參考最經典的 SANS 處理建議:
「Computer Security Incident Handling: Step-by-Step」
我看見了,但不爆料、不冷眼,提些有建設性的,希望大家看了有點幫助。
這裡應該會有許多觀念,您不一定要接受,就當參考吧!
資安沒有所謂的絕對,但,你一定要有「您的風格」...
2008年10月19日 星期日
2008年10月11日 星期六
企業虛擬私有網路管理 (Enterprise VPN Management)
虛擬私有網路 (VPN, Virtual Private Network),之前在「企業防火牆管理 (Enterprise Firewall Management)」一文有提到,這是輔佐防火牆的重要技術配套措施,因為,防火牆只能管到 Layer 4 (部分防火牆有多功能,這主要還是以網路層防火牆為主);只能管 IP&Port,是無法進行身分驗證的工作 (有的網路層防火牆有進階設定可達到),如果還要做稽核記錄、數據報表及統計分析工作,這些就不是防火牆該做的工作了。
假設,有一台主機的 SSH 對外開放,這是很常見的。有想過它最大的風險是啥嗎?沒錯,暴力密碼猜測攻擊。基本上這類主機應該都要在 VPN 的防護之下,也許有人會說,SSH 本身已經有進行身分驗證,沒必要再用 VPN 的,以技術觀點而言,乍看之下是沒錯的,但 SSH 與 VPN 面對暴力密碼猜測攻擊也可能會有不同結果。如果再以管理觀點來說,SSH 與 VPN 卻是完全不同的,FW+SSH 的管理就不是容易的,往往都是 IT 人員的方便之門;而 VPN 等同已經有個集中管理平台了,可以知道哪個帳號登入幾次、從哪裡登入、登入的時效...等,甚至有還有許多進階功能可以強化防禦能力的,更重要的是有數據報表可以分析利用,但我還是要說,所有的 VPN 產品或軟體的報表功能還是有需要進步的地方。相較而言,VPN 可以做到的事會更多(依產品或軟體功能及特性會有不同的),挑選正確的 VPN 產品或軟體也是很重要的第一步,你準備好了嗎?
假設,有一台主機的 SSH 對外開放,這是很常見的。有想過它最大的風險是啥嗎?沒錯,暴力密碼猜測攻擊。基本上這類主機應該都要在 VPN 的防護之下,也許有人會說,SSH 本身已經有進行身分驗證,沒必要再用 VPN 的,以技術觀點而言,乍看之下是沒錯的,但 SSH 與 VPN 面對暴力密碼猜測攻擊也可能會有不同結果。如果再以管理觀點來說,SSH 與 VPN 卻是完全不同的,FW+SSH 的管理就不是容易的,往往都是 IT 人員的方便之門;而 VPN 等同已經有個集中管理平台了,可以知道哪個帳號登入幾次、從哪裡登入、登入的時效...等,甚至有還有許多進階功能可以強化防禦能力的,更重要的是有數據報表可以分析利用,但我還是要說,所有的 VPN 產品或軟體的報表功能還是有需要進步的地方。相較而言,VPN 可以做到的事會更多(依產品或軟體功能及特性會有不同的),挑選正確的 VPN 產品或軟體也是很重要的第一步,你準備好了嗎?
2008年10月4日 星期六
化被動為主動之防火牆篇 (The Firewall of Changing from Passive to Active)
這裡不是在廣告喔!有個公司「ThreatSTOP」網站是 www.threatstop.com。
要注意的是它的服務模式 (Business Module),提供給企業的防火牆一組黑名單 IP,並加以阻擋,而且是動態名單,會經常變換的。這些 IP 都是 Bots, Trojans, Spam, Viruses...等的網路通聯對象,所謂的 Malware 聯繫造成的網路行為。很明顯的它在資訊安全防護主要是在偵測、阻擋階段,大多資安防護設備都是在這個階段,資訊安全防護有三階段:預防、偵測阻擋、矯正階段。防毒軟體橫跨三個階段,這也是防毒軟體受歡迎的主因,但現階段而言,有嚴重漏判問題。
相關服務說明可以參考這裡。提供服務可支援防火牆的清單在這裡。價格呢?網站上也有啦...就自行參考囉。這服務後面的夥伴(協力商,Partners) 在這裡,發現 Partners 中有好幾的都大有來頭呢,ShadowServer 是長期監控全球僵屍網路 (botnet),網站上還有其他許多統計資料可以參考的;DShield.org / Internet Storm Center 這是屬於 SANS 的一份子,主要由一群自願人士,努力蒐集許多網路事件,加以分析及統計,找出異常事件與威脅;PhishTank 是蒐集釣魚網站的資料庫,讓大家知道哪網站是詐騙網站或被寄宿釣魚網站的。所以它的後台都相當有料的喔!
要注意的是它的服務模式 (Business Module),提供給企業的防火牆一組黑名單 IP,並加以阻擋,而且是動態名單,會經常變換的。這些 IP 都是 Bots, Trojans, Spam, Viruses...等的網路通聯對象,所謂的 Malware 聯繫造成的網路行為。很明顯的它在資訊安全防護主要是在偵測、阻擋階段,大多資安防護設備都是在這個階段,資訊安全防護有三階段:預防、偵測阻擋、矯正階段。防毒軟體橫跨三個階段,這也是防毒軟體受歡迎的主因,但現階段而言,有嚴重漏判問題。
相關服務說明可以參考這裡。提供服務可支援防火牆的清單在這裡。價格呢?網站上也有啦...就自行參考囉。這服務後面的夥伴(協力商,Partners) 在這裡,發現 Partners 中有好幾的都大有來頭呢,ShadowServer 是長期監控全球僵屍網路 (botnet),網站上還有其他許多統計資料可以參考的;DShield.org / Internet Storm Center 這是屬於 SANS 的一份子,主要由一群自願人士,努力蒐集許多網路事件,加以分析及統計,找出異常事件與威脅;PhishTank 是蒐集釣魚網站的資料庫,讓大家知道哪網站是詐騙網站或被寄宿釣魚網站的。所以它的後台都相當有料的喔!
化被動為主動之名稱解析篇 (The DNS of Changing from Passive to Active)
這不是在廣告行銷喔。有個公司「OpenDNS」網站是 www.opendns.com。
它的服務模式 (Business Module) 很特別,主要提供 DNS (名稱解析,Domain Name Service) 服務,但對惡意網域之 IP 解析動作將予以阻擋,這就是它的賣點。除了惡意網域,還包含其他的網域,可以做客製化的設定,目前分類如下:
看起來它的服務模式是不是有點熟悉的勒?沒錯,Web Content Filtering,目前最熟悉的產品應該是 WebSense,中文網站在這裡。但是這服務的防護範圍與效益,與 Web Content Filtering 重疊性頗高,但還是有些差異的,因為一個從名稱解析下手,一個從 HTTP Protocol 下手。至於哪個好,很難說,名稱解析容易被 User 端繞過,而惡意連線不一定都用 HTTP Protocol 的。但除了惡意連線外,其他如網站分類阻擋部分,我想功能上應該相差不多,主要就是要比資料庫大小及分類程度了。
它的服務模式 (Business Module) 很特別,主要提供 DNS (名稱解析,Domain Name Service) 服務,但對惡意網域之 IP 解析動作將予以阻擋,這就是它的賣點。除了惡意網域,還包含其他的網域,可以做客製化的設定,目前分類如下:
看起來它的服務模式是不是有點熟悉的勒?沒錯,Web Content Filtering,目前最熟悉的產品應該是 WebSense,中文網站在這裡。但是這服務的防護範圍與效益,與 Web Content Filtering 重疊性頗高,但還是有些差異的,因為一個從名稱解析下手,一個從 HTTP Protocol 下手。至於哪個好,很難說,名稱解析容易被 User 端繞過,而惡意連線不一定都用 HTTP Protocol 的。但除了惡意連線外,其他如網站分類阻擋部分,我想功能上應該相差不多,主要就是要比資料庫大小及分類程度了。
2008年10月2日 星期四
企業入侵偵測管理 (Enterprise Intrusion Detection Management)
這篇是繼「企業防毒管理 (Enterprise Anti-Virus Management)」及「企業防火牆管理 (Enterprise Firewall Management)」相關文章。
入侵偵測,英文的維基說明在這裡(較詳細的),它有許多名稱「Intrusion Detection System (IDS)」、「Intrusion prevention systems (IPS)」、「Intrusion Detection & Prevention (IDP)」,所以它的區分或功能上也有很多差別,如主機型 (Host) vs 網路型 (Network)、偵測 (Detection) vs 防護 (Prevention)、Anomaly (異常現象) vs Signature (特徵比對) ...等,甚至有的產品還有一些特殊偵測功能,所以這類產品在功能上就已經頗複雜,你會用嗎?你佈署對了嗎?有發揮功效嗎?這是相當需要持續關注的一個設備,也需要資安觀念及技術的。
資安設備大多都是這樣,這有一句我的論點:「同樣一個武器,會因為操作的人不同會有加乘的結果,不擅用的人反而會傷到自己」。但重點是如何能發揮基本的防護呢?你又有思考過嗎?
入侵偵測,英文的維基說明在這裡(較詳細的),它有許多名稱「Intrusion Detection System (IDS)」、「Intrusion prevention systems (IPS)」、「Intrusion Detection & Prevention (IDP)」,所以它的區分或功能上也有很多差別,如主機型 (Host) vs 網路型 (Network)、偵測 (Detection) vs 防護 (Prevention)、Anomaly (異常現象) vs Signature (特徵比對) ...等,甚至有的產品還有一些特殊偵測功能,所以這類產品在功能上就已經頗複雜,你會用嗎?你佈署對了嗎?有發揮功效嗎?這是相當需要持續關注的一個設備,也需要資安觀念及技術的。
資安設備大多都是這樣,這有一句我的論點:「同樣一個武器,會因為操作的人不同會有加乘的結果,不擅用的人反而會傷到自己」。但重點是如何能發揮基本的防護呢?你又有思考過嗎?
訂閱:
文章 (Atom)