2008年10月2日 星期四

企業入侵偵測管理 (Enterprise Intrusion Detection Management)

這篇是繼「企業防毒管理 (Enterprise Anti-Virus Management)」及「企業防火牆管理 (Enterprise Firewall Management)」相關文章。

入侵偵測,英文的維基說明在這裡(較詳細的),它有許多名稱「Intrusion Detection System (IDS)」、「Intrusion prevention systems (IPS)」、「Intrusion Detection & Prevention (IDP)」,所以它的區分或功能上也有很多差別,如主機型 (Host) vs 網路型 (Network)、偵測 (Detection) vs 防護 (Prevention)、Anomaly (異常現象) vs Signature (特徵比對) ...等,甚至有的產品還有一些特殊偵測功能,所以這類產品在功能上就已經頗複雜,你會用嗎?你佈署對了嗎?有發揮功效嗎?這是相當需要持續關注的一個設備,也需要資安觀念及技術的。
資安設備大多都是這樣,這有一句我的論點:「同樣一個武器,會因為操作的人不同會有加乘的結果,不擅用的人反而會傷到自己」。但重點是如何能發揮基本的防護呢?你又有思考過嗎?

入侵偵測防禦系統,在 2002~2005 年可是市場上相當夯的產品,尤其是整合防火牆、路由器、防毒閘道、反垃圾郵件...等多項功能產品,多半能受到相當的歡迎;有人說:2000~2007 年都是在進行資安防護的基礎建設,也只有做到「建置」工事,多半沒有做到「維運」及「管理」觀念;2008 年開始市場開始有「雲端安全」的相關產品,這是應該是雲端運算衍伸過來的吧,加上 SaaS (軟體即服務,Software as a service) 的新觀念,而造就的一種新興商業服務模式。在"雲端"提供資訊安全服務,這樣客戶也可以省掉某些資安的「維運」及「管理」作業,但...這是理論上。後續我也會提些雲端安全技術的概念,概念是培養資訊安全觀念與認知很重要的來源,但切記:概念,不等於技術,技術只是實踐概念的方法,所以概念對的產品,不見得有真正的技術配合。

常見入侵偵測管理上的問題:
1.錯誤的佈署方式
這是個嚴重問題,最常見的迷思就是佈署在對外 (Internet) 防火牆的前面及後面,因為這中間有很多邏輯錯誤與矛盾存在,簡單的說是未經思考及某專家建議所做的佈署;如果佈署在這,最大問題是沒有有效發揮入侵偵測的能力。也表示外部 (Internet) 會攻擊內部 (Intranet) 所有目標,也就是說內部全都需要保護,哪...你的防禦很脆弱嗎?還是你不知道要保護誰?放在這是要解決哪些問題呢?還是放在這就想解決所有問題?還是根本不知道問題?
2.沒有持續的關注
入侵偵測防護系統,就是發現攻擊入侵事件並進行防禦、應變作業。如果有入侵阻擋 (Block) 功能,你需要它持續發揮防禦,萬一失效不就曝露在攻擊下了,或者不幸被規避成功,哪你的弱點又曝露了唄。如果只有單純入侵偵測,哪你更需要關心它,如何去發現入侵、攻擊行為?不然這偵測系統要做啥咧?會不會發現建構入侵偵測防護系統,往往不是解決問題的呢?真正的問題才開始你發現了嗎?
3.未經調校 (Tuning) 作業
入侵偵測防護系統的調校 (Tuning) 作業是必須的,沒有經過調校將無法顯示入侵或攻擊事件。調校過程主要是針對監控網段 (或監控點) 進行客製化調整,針對誤判 (False Positive) 的事件進行過濾、分析是否有漏判 (False Negative)的可能。這個過程是頗大學問的,且經過調校過程所產出的數據也才有意義。
4.沒有數據化的報表
數據化的報告也是入侵偵測防護系統相當脆弱的一環,甚至需要第三方的分析工具或軟體協助了。但更重要的是你知道要看哪些數據嗎?哪些主機是被刺探的高危險群?是否有因應方案?是否有相對攻擊之弱點?...數據化的結果都是要呈現問題的,不是解決問題喔!
5.沒有配合網路及系統的環境設定
這邊並不是要說,如果只有 Windows 系統,哪其他 Unix-Base 系統的偵測碼可以停用之類的,因為會這樣說的,通常都是認為阻擋 (Block) 攻擊就沒事的。這部分簡單的說,就例如可能有 HTTP 使用 Port 88 (假設不是常用的 HTTP 通訊埠),哪...入侵偵測防護系統知道嗎?是否在防護範圍呢?是否有效發揮該有功能呢?入侵偵測都有細部或客製化設定,是需要緊密結合網路及系統環境,例如設定閘道器 (Gateway) 的 MAC Address,可以防 ARP Spoofing 攻擊。

看完以上,你確定是要佈署入侵偵測防護系統,來解決你的問題嗎?這是舊思維,也是謬思哩。如果你想用這系統來防禦你的弱點,哪就大錯特錯了;問題在你為何會有弱點?為何一直沒有發掘?為何沒有及時修補弱點?網路上最新威脅及攻擊行為怎麼沒有掌握?治標跟治本的問題一定要分清楚,治標只是過渡時期的做法。

入侵偵測防護的佈署步驟及思考:
1.了解網路架構設計與資訊安全策略
了解自家網路架構與系統是基本動作,因為,這系統是整體資安防禦工事之一,當然是會緊密結合在一起的。
2.進行網路架構環境的評估或稽核
哪些是重點網段或主機,期望要保護的對象,或者是入侵、攻擊的目標。
3.佈署的預期目標、期望發掘事項及防禦重點
這點是最重要的,如何達成計畫的目標?佈署這系統的原因與目的?
4.選擇適當的入侵偵測防護系統
這點我認為應該是最難的,得先了解各種入侵偵測防護系統才行,且不同產品也有不同的功能差異,有其佈署上的策略。有些狀況免費 (Snort) 的可能是最佳的。簡單的說要「因地制宜」。
5.佈署偵測點 (Sensor) 的考量
監控方式 (Passive、Sniffer、In-Line...等)、旁路功能 (Fail-Open、By Pass)、其他產品整合...等都是要考慮的。簡單的說就是要不影響網路、系統運作,又能發揮功效。
6.網路架構的配合調整
有時網路架構並未做好調整,來配合入侵偵測防護系統,所以需要調整網路架構、防火牆或路由器...等。
7.入侵偵測防護的死角與補強
思考可能的死角,最常見如加密封包、特別的通訊協定 (Protocol) ...等,是否有對應策略或配套方案。
8.定時進行佈署複檢與調整
系統佈署都需要定檢的,看看有沒有地方需要修正或佈署錯誤,或網路環境異動需要同步調整,或是否有其他計畫需要配合異動佈署架構。

入侵偵測防護管理觀念:
1.重點不在於阻擋入侵、攻擊,這樣是很淺見的。躲得了一時,躲不了一世。
2.重點在於發現入侵、攻擊,而進行補強及追查工作。要有 Action 是很重要的一環,才能真正解決問題。別忘了 IPS 也會有 By Pass 的時候。
3.入侵攻擊來源與目標主機的事件,其過程是否能被入侵偵測防護系統所偵測發現。
4.如何有效地察覺入侵、攻擊事件的發生。
5.對於入侵事件的處理原則,如何算是完成處理資安事件,相關處理事件的分析與統計。
6.應該與誘捕系統 (Honeypot) 結合這是我對原廠的期望
7.與弱點管理系統的契合。如弱點掃描系統的佈署是否衝突?是否導致弱點偵測系統失效?還是你認為兩者不相干?
8.與網路及系統結合越深,越能發揮其功效;越了解自己,越能發揮自己。
9.如果能撰寫偵測碼 (特徵碼,Signature),才算是真正駕馭入侵偵測系統。

沒有留言: