打造IDS新防線

政府機關資訊通報184期的「Aberdeen 2003年資訊安全產業展望」中指出，身分竊取者對消費者、企業、商家、發卡銀行及財務公司所造成的財務損失，將由2002年的87.5億美元上升到2003年的240億美元，但網路安全的起訴案件仍會以保護智慧財產權為主，消費者和企業無法由執法部門獲得太多協助，只得自求多福，設法自保以減少損失。自保從何做起
務實採構，10項評估

既然執法單位無法協助，我們只能求自保，哪該從何做起呢？我們訪問到賽門鐵克、鈺松國際、聚碩科技、美商凱創及精誠資訊等5家公司，聽聽他們怎麼說。

賽門鐵克資訊安全事業部技術顧問林育民提出他的看法，防毒系統是企業建置安全系統的第一步，因為防毒系統是最基本的防護措施，建置多層式架構（Gateway、Server、Client）的防毒系統會比個人防毒系統更有效。

第二步則是建立匣道型防火牆，以與外部網路區隔，第三步則是建置網路型弱點掃描和網路型入侵偵測系統，第四步是建立主機型弱點掃描和主機型入侵偵測系統，之後再建置誘捕型入侵偵測系統，最後由資安管理系統統一管理。

鈺松國際專業服務處技術工程師殷文龍表示，就現狀和理論而言是先設置防火牆，然後是防毒系統，之後再做弱點掃描，最後才是入侵偵測系統。因為防毒系統都是架構在個人系統上，所產生的威脅不大，而弱點掃描可以委外或自行建置，並搭配防火牆一起檢查。整個安全作業不能只做一次，要安全就要一直做下去。

聚碩科技網路整合事業群市場規畫處產品經理江其杰表示，聚碩的IDS客戶多為大型企業和政府機關，大都已建置防火牆和防毒系統，建議先做弱點掃描，再針對漏洞做修補，不一定要花錢建置系統。聚碩有提供龍網弱點掃描服務，除了從企業外部進行掃描，也會定期掃描內部網路。

精誠資訊資訊安全事業部技術處長黃政杰認為IDS技術全球都在用，所以問題不大，精誠將重點放在運用和環境的差異，精誠資訊 會從ISMS（Information Security Management System，資訊安全管理系統）的角度來看，先視客戶的需求，再找出相關的產品和技術。目前精誠提供免費Found stone線上弱點掃描服務。

Aberdeen 2003年資訊安全產業展望中指出，IT安全產品的採購者將變得更務實，企業會專注對企業與財務有利的解決方案上，哪麼企業評估IDS系統時，需考量到哪些要素呢？我們為你整理出資訊安全專家的看法。

法令規章：常有駭客更換政府機關的首頁，或者入侵主機竊取資料，行政院研考會定期以弱點掃描軟體檢查各機關的網站弱點，並發文該單位限期改善安全漏洞，所以有不少政府單位建置入侵偵測系統，以防範攻擊行為。

不只是政府機關，企業也是駭客的最愛，相信你一定聽過某公司網頁被替換，哪一家銀行客戶資料被盜取，企業應該明訂出安全政策，建構入侵偵測系統以保護機密資料。

安全政策：
安全政策要訂出需要何種等級的安全防護，要在哪些地方部署感測器，要偵測哪些行為，已存在的政策是要保留還是刪除……等。不少企業以保密為理由，監看員工的電子郵件和上網行為，卻沒有事先知會員工，在制訂安全政策時，最好先定義隱私權政策，對員工會比較公平。

網路架構：
企業網路環境中包含路由器、交換器、防火牆和集線器等設備，不同的網路架構所要部署的IDS感測器數量也不同，建議與多家供應商討論後再做決定。網路流量：不同的網路頻寬有不同流量的IDS產品，不論是軟體或硬體入侵偵測系統，大都是依流量計價，流量越大，費用也越高。

通訊協定類型：
大多數IDS只能監聽TCP/IP封包，無法監聽Novell、SNA、大型主機、Token Ring、IPX等類型的封包。資料是否加密：通訊內容經過加密以防竊取，所有的IDS都無法監聽加密過的封包。

作業系統和應用程式：後端要保護的作業系統將決定IDS使用哪些監聽方式，少見的作業系統和應用程式大都無法提供安全防護。

管理與整合性：
IDS能否整合防火牆、HIDS和NIDS的日誌（log），利用同一個介面管理呢？由於防火牆是一個「黑盒子（Black box）」，只需直接設定，甚少需要管理，若IDS像防火牆一樣，哪麼可能會擋掉80%以上的封包，所以需要專業人員的管理與微調。

品牌知名度：
雖然國內也有不少IDS廠商，但大型企業在採購時仍以國外大廠為主，主要也是考量品牌知名度，這也關係到後續的服務。

測試：
在測試過程中，可以搭配弱點掃描軟體檢測安全漏洞，但最好的方式是使用駭客攻擊軟體實際測試，重點在了解整個攻擊過程，以調校出更佳的系統政策（policy）。

另外，產品是否為庫存貨，特徵資料庫是否持續更新，還有擴展性、售後服務、經銷商及原廠支援度等要素。聚碩會依弱點掃描的報告提供建議，若企業安全需求較低，可能不需要花錢導入IDS，需求高則要建置某些安全防護。

江其杰表示，導入IDS與產業別有關，政府和軍方需依法令行事；遭受過攻擊的企業也會評估導入IDS系統，試想三天不能交易，除了沒有收益，更損失了商譽。

美商凱創技術協理鄭可強提出他的看法，當企業正確偵測到各種入侵後，掃描結果只能用人工驗証，所以最好尋找供應商的專業協助。除了微軟作業系統和商用軟體有漏洞，許多企業自行或委外開發的軟體也有弱點，但開發人員不一定會提供修正檔（patch），而且有些伺服器可能無法更新修正檔，最好利用IDS加強防護。

林育民認為IDS應該具備即時的交叉比對功能，可以自動化過濾錯誤資料，減少安全人員辨識威脅所需的時間。現在有統計式和規則式兩種關連分析法，規則式就是依照所制訂的規則降低誤報，統計式則是依機率決定，Manhunt 2.2版是使用統計式關連分析，Manhunt 3.0版將會結合統計式與規則式關連分析。

看不見的安全效益，卻有昂貴的建置成本

建置安全系統就像保險庫結合先進的生物辦識裝置，一旦有人想要竊取機密，至少要突破層層障礙後，才能達到目的，入侵偵測系統就像紅外線感應器，一偵測到入侵者就會響起警報，只是安全等級越高，所需的建置成本也越高。

鄭可強建議企業在做風險評估時，可以順便計算安全設備的效益，只要評估資訊財產價值多少，被偷走會損失多少，就可以簡單評估出安全措施的效益，他以花旗銀行為例，如果花旗網路銀行的首頁被駭客替換掉，不但無法進行線上交易，造成客戶信任度下降更是無價。

賽門鐵克則有獨家的秘密武器，提供客戶安全效益的ROI（Return On Investment，投資報酬率）試算表，他們會先與客戶討論各項成本與效益，然後計算出ROI。由於是秘密武器，有需要的企業只能找賽門鐵克的顧問諮詢。

建置IDS系統需要多少費用呢？我們得到統一的答案：「視網路架構和流量而定。」大部分的廠商表示，基本的入侵偵測系統不會超過100萬元，江其杰建議企業可以把較小的Cisco IDS 4210放在閘道器（Gateway），Cisco IDS 4235或Cisco IDS 4250則放在區域網路內部，DMZ區同樣放置4210，Cisco IDS 4210約40萬元左右，加上Cisco PIX 515R防火牆（20萬元）也只要60萬元。

權限管控（Access Control）是阻絕外部入侵最有效的方法，而IDS則能輔助權限管控的不足。對於入門級的管理者，精誠會建議客戶在DMZ區、重要的伺服器或防火牆後方建置IDS系統，擺放在末端的機器最有效；對於進階的管理者，精誠則會先與管理者討論IDS要放在哪裡，例如防火牆的前方或後方，但需要考量網路頻寬和產品機型等變數。現在廠商大都採機架型設計，也是考量到企業的建置成本。

鈺松國際專業服務處副理盛盟權表示，基於成本考量，大部分的客戶會先在防火牆外，放上一臺感測器，加上內部的管理伺服器。但他們只考慮到基本的軟體和硬體，沒有考量到整體資源，是否要新購伺服器，一臺新的伺服器主機約數萬至數十萬，需要多少人力資源等，人員是要雇用或是訓練等，這些都是潛在的成本支出。
人力何處尋，外包或自訓？

企業IT部門雖然擁有不少MIS人員，負責安全的專業人員則是少之又少，即使培練完成一個優秀人才，可能也會被資安廠商挖角，若缺乏安全專業人員，哪系統建置的效益又會大打折扣，企業面臨兩難的局面。

江其杰表示，IDS需要與防火牆、路由器及交換器等設備整合，MIS需要具備相當的網路技術，以目前普遍的配上圖形化管理介面，不論是安裝或操作都很容易，但是後續的弱點掃描和比對則需要專業人員。聚碩目前提供弱點掃描服務，每個月會有健診報告書，告知客戶有哪些安全漏洞需要改善。

在教育訓練方面，廠商或代理商都有提供初步的教育訓練課程，例如聚碩的PIX防火牆與IDS整合的課程。江其杰建議大型企業的IDS管理人員要具備認證資格，目前Cisco與安全相關的認證有CCSP（Cisco Certified Security Professional）及CCIE Security（Cisco Certified Internetwork Expert Security）。

黃政杰從IT面來看，建議企業人力配置應採資安任務編組方式，有專人負責執行內外部檢測、回應方式和更新修正檔等工作，但實際上企業很少會這麼做，因為IT只占企業一小部分，這麼做卻需要大量的人力成本，未來企業可以考慮外包服務。至於教育訓練則可以從三方面來看，首先是工具操作的訓練，其次是入侵偵測知識的訓練，最後則是實務的訓練，工具操作和實務訓練最能夠產生立即性的幫助。

賽門鐵克的安全認證課程著重於病毒防護暨內容過濾、防火牆/VPN、入侵偵測及弱點管理等4種網路安全領域，課程包括產品安裝及基礎教育訓練。若是通過某項專門技術領域的知識認證考試及資訊安全基本觀念考試，則可以取得賽門鐵克認證資訊安全工程師（Symantec Certified Security Engineer，SCSE）認證，取得全部四項SCSE認證，則可以成為賽門鐵克認證資訊安全執行師（Symantec Certified Security Practitioner，SCSP）。

SCSE的入侵偵測認證總共有三科考試，分別是網路型入侵偵測系統、主機型入侵偵測系統及IDS Enterprise，除了介紹產品功能和管理方式，也教導後續處理方式及資安團隊組成等課程。賽門鐵克並要求經銷商必須要有通過SCSE認證的技術人員，才能販售產品和提供服務。賽門鐵克資訊安全事業部行銷暨公共關係協理許淑菁表示，企業導入IDS系統首先是要選對產品，並且至少要有兩位專業人員負責管理IDS系統。

殷文龍認為IDS的系統管理面並沒有很複雜，然而針對各攻擊特徵的內涵研究，以及細部調整則需要相當的訓練。人力的需求則視是否24×7，365的全天後偵測而有所不同，以鈺松的SOC（Security Operating Center，資訊安全監控中心）為例，進行24×7，365天的服務需要有監控員、分析員和管理員，加上數名安全顧問，還必須輪班作業，就算有數人是兼任，也要10人左右。鈺松也有ISS的Real Secure ICU（ISS Certified User）認證課程。

鄭可強認為企業至少要有一位專業入侵分析師，而美國安全教育機構SANS（System Administration Networking and Security）和安全認證機構GIAC（Global Information Assurance Certifications）的GCIA（GAIC Certified Intrusion Analyst，GAIC認可電腦入侵分析員）認證則是目前最佳的入侵偵測認證。

最近有不少駭客訓練課程，例如精誠資訊舉辦駭客訓練研習課程「Ultimate Hacking」（駭客實戰研習營）。鈺松國際也有教授相關的技巧，盛盟權表示，IDS是純防守的產品，如果不會攻擊，一直處於被動狀態，哪麼功效並不顯著。沒有絕對安全，只能相對安全
未來發展

IDS並不能保証100%安全，只能依照現有的技術提供範圍內的安全。企業要保護的主機通常是重要的伺服器，HIDS通常只能支援常見的Windows和Solaris作業系統，但是否能夠支援Linux和大型主機呢？另外，應用程式的多寡也會影響到HIDS的穩定性，一般商用軟體問題較少，但自行開發的應用程式則容易產生誤報，所以需要較多的微調。

誤報是NIDS最令人困擾的問題，由於網路流量愈來愈大，IDS掉封包的機率增大，誤報率當然也增加，所以NIDS並未真正達到高速（高流量），相信未來NIDS的偵測速度會越來越快。

Aberdeen 2003年資訊安全產業展望報告也指出，只提供封包類型檢查與比對的第一代網路入侵偵測系統將走入歷史。除了傳統的特徵比對，通訊協定異常分析（Protocal Anomaly Analysis）是不少廠商研發的主力，會檢查通訊協定是否有異常狀況，並偵測出已知及未知的攻擊行為。另外，異常行為偵測(Behavioral Anomaly Analysis)和網路流量分析也都有一定的功效。

近來有不少廠商提到IPS（Intrusion Prevention System，入侵防禦系統）概念，當系統偵測到入侵攻擊後，就立即通知防火牆或路由器等裝置進行防護，補足傳統網路安全架構的不足，但在此之前，仍需有效降低系統誤報，才能進行正確防護。

目前IDS仍沒有統一的標準，未來應該也是各自為政，想要整合是很困難的事，若企業預算足夠，建構多套IDS平臺會有更安全的防護。IDS的資料能否拿來當作證據呢？由於美國有制定相關的法律，所以IDS的數據資料可以拿來作為證據，但臺灣則沒有相關的法律，所以目前仍無法拿來當作證據。不過也不用太過悲觀，IDS所記綠的資料仍可以提供給企業高層或法院參考。

硬體裝置（Appliance）解決方案也是各家廠商未來發展的趨勢，除了Cisco、Enterasys和Intrusion已經推出相關的解決方案，鈺松國際預計在本月底推出硬體式閘道型入侵偵測系統ISS Guard NIDP 100，賽門鐵克目前則仍在開發整合式閘道安全解決方案SGS 2.0（Symantec Gateway Security），將會加入Manhunt IDS，今年第三季會上市。針對某些特殊的應用，也可能會有特殊的IDS出現，例如無線IDS（Wireless IDS）。文⊙陳世煌