層層資安設備依舊發生資料外洩？結合「威脅情資攔截」方能力挽狂瀾！

攤開今年(2018)的全球資料外洩事件簿，著實讓人不忍卒睹。綜觀層出不窮的事件中，無論是名聞全球的大型網路服務公司、龐大的跨國金融機構，甚至航線遍及眾多國境的航空公司，以及國家層級的政府機構，這些組織的共通特色在於資安投資規模遠高於一般企業、機構，且大多已佈建新世代防火牆(NGFW)、入侵防禦系統(IPS)、網頁應用程式防火牆(WAF)、防毒牆及Anti-APT 等層層堆疊的資安設備，但不幸的是仍無法避免個資遭洩的悲劇發生。

看到這裡，可能會讓許多人倍感訝異，只因為好像不管如何強化防守，甚至引進頂資安設備，駭客依然有能力侵門踏戶，如同經典電影名句“生命會找到自己的出路”，駭客始終會發掘出眾人尚未得知的弱點。

正是所謂「知已知彼、百戰不殆」，既然單靠家門口的城牆被動的審查機制，不足以防範駭客敵軍的侵入，便有專家提出新觀念，不妨設法在風險尚在醞釀時就予攔阻，箇中精髓就在於「威脅情資攔截」(Threat Intelligence Blocking)，意謂必須善用精確的全球威脅情資；等於在各地構築眾多的高空衛星、地面雷達，藉以架設綿密的資訊通報網，如此一來，每當有導彈(意指資安威脅)發射升空，便可直接在境外發現並予以殲滅，不僅簡化在自己家門內執行通關審查過濾的負擔，亦能大幅提升防護功效。

著眼於此，NETSCOUT Arbor 推出「Arbor Edge Defense」(以下簡稱『AED』)全新解決方案，可做為獨立的威脅攔截設備TIG(Threat Intelligence Gateway)，承載百萬、千萬甚至上億等級的入侵指標(Indicators of Compromise；IOC)，與企業既有的資安設備並肩作戰，達到制敵機先的妙效。

多項因素牽絆，讓資安防禦力大打折扣

平心而論，不少企業有心防禦，積極部署多項資安設備，意圖構築為強大的防禦長城，卻往往無法發揮預期成效，讓原本想要嚴加守護的機敏資料流落外地；追根究底，造成這般遺憾結局的因素很多，企業不需要一直糾結在現有資安設備夠不夠力的環節之上，不妨先找出問題癥結才是上策，否則繼續加購再新再犀利的設備，也難以扭轉頹勢。

NETSCOUT Arbor 大中華區總經理金大剛，娓娓分析潛在的問題癥結。首先，太多的惡意行為皆可跳過企業的層層檢查機制，如果被突破的關卡都僅是依據現有特徵碼或指紋庫做查核比對，還容易理解，因為敵人可能運用未知的零日攻擊手法，所以無從辨識，但問題在於不少企業都已佈建Anti-APT(例如沙箱技術)，其用意就在於揪出未知惡意程式並轉換為已知特徵碼，無奈最終效果依舊不彰。

事物均有一體兩面，有沙箱技術模擬環境藉此找出未知惡意程式，也會有反沙箱技術來躲避模擬環境的偵測，畢竟在資安攻防的世界裡，有太多未知領域等待探索，沒有什麼事情是不可能發生的，既然如此，企業也不應把沙箱技術當做唯一的救命仙丹。

其次，現今已有高達70%以上的網路流量都採用加密方式傳遞，為了防範網路威脅潛藏於其中，資安設備就必須加強對於網路流量的可視度才能執行該有檢查任務，例如增加SSL 加解密設備；這般做法，一來需要部署憑證，二來需要考量現有的環境與設備是否能夠配合，對於建置成本與管理複雜度要求較高，唯有大型企業較有能力資應，一般中小企業或學校相對無力負擔，甚至為了滿足使用者或學生的連結外網的方便性，也不得不做出妥協，到最後只能任由加密流量通過、不做檢查，因而導致內網環境愈來愈「髒」。

第三，站在企業的立場，為了解決複雜的資安問題，自然需要仰賴眾多的方案，這般想法原則上沒有錯，但就實際執行面來看，仍不免存在盲點。資安設備的建置目的都是為了防禦並產生告警，但是為了強化防禦造成資安設備日漸增多的同時，相對的告警事件也持續增加，通常在建置初期還能用心處理告警事件，當歷經海嘯般告警事件的產生以及誤報率實在偏高，持續疲於奔命的事件處理，只怕讓應該緊繃的資安敏感度開始睜一隻眼、閉一隻眼，使得原意在主動偵測、產生告警的設備形同被晾在一邊，即使發佈了真正致命的告警也無人搭理，使得攻擊悄悄穿透資安設備，殊為可惜。

再者，不論NGFW、IPS、WAF、防毒系統或Anti-APT，皆各自為政，即使廠商提出完整解決方案也會給人萬一穿透同一品牌的防禦，連帶所有產品都可能無法偵測到攻擊，故大多數大型企業都會建置跨品牌的防禦架構，期望增強自身的防禦能力，但彼此資訊並不互通，眾多的資安設備又產生巨量的事件紀錄，讓企業資安管理人員很難藉由片段訊息，完整地串聯與勾稽出攻擊者的軌跡脈絡，難免徒留敵軍乘機潛入的縫隙。

載不動大量IOC，難以落實威脅攔截

有感於威脅情資蒐集與分享的重要性與日俱增，世界各國紛紛加強推動ISAC(Information Sharing and Analysis Center)組織，臺灣也不例外，針對國家層級(N-ISAC)及其下屬領域的政府(G-ISAC)、金融服務(FS-ISAC)、水資源(W-ISAC)、油電燃氣(ONG-ISAC)…等等眾多領域，分頭成立一個個ISAC 機制，希冀藉此成功打造威脅情資平台(Threat Intelligence Platform；TIP)，實現料敵機先的目標。

其實，遠在春秋戰國時代，老祖宗已明白情資分享的重要性。據悉為了防止外患入侵，當時的朝廷選擇在險要處或交通要道架設烽火台，但並非為每一座高台配置大量兵力，相反的，有些高台甚至僅有屈指可數的駐軍，他們的任務，不在於以一擋百，而在於當發現敵軍行蹤時，就立即施放烽火(或稱狼煙)，其他高台一旦看見烽火，就會跟著施放狼煙，快速將訊號傳遞到數十里、數百里之遙，使大量兵力得以在最短時間內集結相助，擊退進犯的敵軍。

今天，資安業界所提倡的ISAC，某種程度也有些類似烽火台概念。不論民間企業、政府機構或教育單位，如果只想著如何在要塞地帶設置一道又一道檢查哨，靠自己的兵力與檢驗設施來揪出壞份子，終究可能百密一疏，或許壞份子偽裝為合法百姓，就這麼曚混過關了。反觀一旦結合外界情資，用戶很容易就能看到遠處的狼煙，不須自己費心查核，馬上便知這些壞份子身在何處、有什麼樣的長相特徵，以及善用如何變裝偽造，即可好整以暇為自己的防禦飛彈畫上準心，一旦壞人接近自家大門，毫不囉唆，就以快速精準地給予迎頭痛擊。

金大剛指出，環顧全球的ISAC 演進趨勢，可歸納出一個成功的ISAC，必須蘊含三個關鍵要素，包括了「即時」、「自動化」與「標準格式」；簡單來說，威脅情資必須藉助自動化機制即時共享，不應倚靠人為判斷與介入，且為了避免情資的互通過程出現斷層，所以需要以標準格式為基礎；比方說STIX(Structured Threat Information Expression) 、TAXII(Trusted Automated eXchange of Indicator Information)，前者定義資訊描述的XML格式，後者定義資訊分享的通訊協定，近年來已獲得國際資安業界普遍採納，加以善用便可加速實現跨技術平台資訊之整合與交換，在臺灣致力發展ISAC 的過程中，也已納入ISAC 規範當中。

隨著ISAC 的發展，在臺灣學術界，已開始出現進一步的「築牆」推動計畫，此計畫評估學術網路可以蒐集到數萬筆IOC，內含大量惡意的IP、URL、Domain，認為可望成為協助教育界與學術界實現情資攔截的有力素材，故而結合國產流量分析工具，發起築牆計畫，並邀請各大資安設備廠商共襄盛舉，找來多家知名NGFW 業者參與測試，看看能否順利將幾萬筆IOC 匯入這些設備，並期待能有效發揮攔截效果。

只可惜，測試過程並非一如平順，這些NGFW 大都不足以承載數萬筆IOC，一下子設備的效能就一下子被拖垮了。逼得這些NGFW 廠商不得不搬出更大更貴的型號，方能勉強承載數萬筆IOC 素材，用以攔截相關威脅。

這個曲折過程，不免顯露一些隱憂，意謂不管是學校、企業或包括政府在內的其他組織，要想真正落實威脅攔截，光在起步階段便遭遇莫大瓶頸。起因於無論NGFW 或其他資安設備，近年紛紛開始加入愈來愈多功能，而每一項功能，皆需固定佔用一定程度的記憶體與運算資源，換言之，資安設備所剩餘的記憶體空間，不足以承載多達數萬筆的IOC，當匯入數千筆、甚至上萬筆就已到達貧頸，再多，就會拖垮效能。

其中需注意的問題是，前面提到的數萬筆，不過單指學術網路所蒐集到的威脅情資，假使進一步拉高到國家N-ISAC 層次，甚至再結合更多第三方TIP 提供的情資，則整體IOC 筆數至少是百萬筆起跳，箇中所蘊含的巨量威脅資訊，無疑都是學術或教育機構理應納入攔截機制的素材，但很明顯的，就算學校、企業或其他組織不吝斥鉅資引進最頂級的資安設備，也未必能載得動百萬筆IOC，因而使得NGFW 檢查效能將受到嚴重影響。

憑藉無狀態(Stateless Architecture)架構技術，攔截能力將可大幅擴充

肇因於上述限制，倘若用戶遷就現實，只載入幾千筆或數萬筆IOC 到資安設備，充其量僅是杯水車薪，可想而知，協防效果必然有限。有鑑於此，資安業界開始醞釀一個新的解決方案，正是TIG，由它做為一台獨立的設備，專門負責承載不計其數的大量IOC，藉以大幅減輕NGFW、IPS 等資安設備的負荷。

不可諱言，儘管TIG 立意甚佳，但礙於多數企業或機構的資安架構，已經層層堆疊得太過複雜，實在無意再添加一道獨立型設備，除非TIG 符合一些條件，包括它可被整併到某一類必要的資安設備裡頭，且能更簡易、更自動化地運作，避免為資安管理團隊製造新負擔。

為了迎合廣大用戶的期望，NETSCOUT Arbor 做了業界首見的嘗試，推出AED (Arbor Edge Defense)這項新穎的解決方案。眾所皆知，NETSCOUT Arbor 的DDoS 攻擊防護設備「APS」，由於防護效果佳，推出多年來已獲得許多機構青睞採用，而如今應運而生的AED，便是APS 加上TIG 的集合體，換言之，既有APS 用戶只需通過簡易條件的升級程序，便可迅速享用TIG 功能。

一直以來，APS 始終在Anti-DDoS 業界引領風騷，其間所仗恃的獨特利基有三，一是處在介於路由器與防火牆之間的特殊位置，二是掌握無狀態封包處理引擎之獨門技術，三是擁有ATLAS 全球威脅情報做為後盾；而如今的AED，自然也承襲這些優質基因。

首先。由於AED 位在網路邊緣的獨特位置，很適合做為進階網路威脅的第一道、及最後一道防線，既能防止由外對內的各種威脅，也可阻斷已被入侵的內部主機對外通訊。其次AED 繼承APS 無狀態表技術的基因，有能力協助NGFW 或IPS 等狀態設備卸除壓力，面對任何狀態耗盡攻擊也無所懼色。

更重要的，NETSCOUT Arbor ATLAS 現與全球400 家電信營運商建立合作協議，得以將大量蒐集器廣佈於許多電信骨幹，每日獲取140Tbps 流量資訊(相當於全球3 分之1 網路流量)，利用如此龐大的可視化基礎，每日偵測到多達20 萬個新增的DDoS 攻擊與惡意活動，從而將相關攻擊策略發佈到Arbor 產品。金大剛直言，ATLAS 是非常厲害的大腦，過去為了Anti-DDoS，只不過動用10 分之1 的腦容量，如今可游刃有餘為TIG 供輸豐沛養分。ATLAS 內含自動化的智慧判讀機制，也有堅強的研究團隊，輔以執行人工調查與鑑識任務，因此可針對全球上億筆威脅情資做更好的歸納整理，濃縮為幾十萬筆的精華IOC，送進AED 的TIG，繼而偕同NGFW 與IPS 等資安設備實現智慧攔截。由於已歷經一番去蕪存菁，意謂AED 裡頭的IOC，都是可高度信賴等級的指標，更易於達到最低誤判率、最高攔截率的驚喜妙效。

儘管ATLAS 已即時網羅國際上絕大多數的威脅情資，NETSCOUT Arbor 非常建議用戶額外汲取在地情報，一併匯入TIG。某種程度上，國際威脅情資像是網路犯罪黑名單，但有些剛剛在地區萌芽生成的「現行犯」，則需倚靠在地威脅情資，才足以及時識別；用戶僅需透過STIX/TAXII、RESTful API 等標準交換協定，就可輕易讓AED 整合在地情報，藉以增進威脅攔截能力。

除此之外，第三方的TIP 威脅情資平台，也可做為輔助AED 強化攔截能力的來源之一。但值得留意的是部分TIP 屢屢號稱擁有上億筆或十億筆IOC，且涵蓋範圍甚廣，若不經過濾而驟然納入攔截規則，唯恐讓誤判率就此攀高；比方說，某些企業或機構可能曾經遭駭客利用為攻擊跳板，時間甚短，但即便如此，相關IP 可能已被TIP 列為黑名單，一入黑名單可能永不洗白，若企業冒然將這些IP 列為攔截對象，反倒可能將生意夥伴阻於門外。

最好的做法，便是以第三方TIP 做為威脅情資的搜尋平台，一來可把懷疑的IP 丟入比對，二來則藉由自身的「安全性與資訊事件管理」(SIEM)做為樣本，再與TIP 平台中上億筆或十億筆IOC 對比分析，如此即可過濾出與自己切身相關的疑似惡意對象，最多可能僅有百萬筆規模，等於已將可能影響攔截率的眾多因子預先排除，可謂理想的做法。

總括而論，在NETSCOUT AED 之內的TIG 機制，相較於一般TIG，不僅更能確保網路可用性、更易於降低NGFW 或IPS 工作負荷，且能憑藉標準格式，與各大情資中心、SIEM完美整合，創造更迅速精準的防禦效果，將資安事件發生機率壓低到微乎其微的境界。究其主因，在於NETSCOUT AED 兼具軟實力(符合『即時』、『自動化』與『標準交換格式』等特質)、硬底子(挾無狀態技術、可無限擴充攔截能力)，堪稱是史詩級的智慧防禦生態系統。

作者簡介:

金大剛(Alex Chin)目前擔任NETSCOUT ARBOR 大中華區總經理一職，全力協助合作夥伴, 有效地推廣其全球領導的資安服務至大中華區域廣大的企業及電信客戶。

Alex 擁有非常豐富的資通訊及安全產業工作經驗, 在加入NETSCOUT Arbor 之前， 他曾在 NQ Mobile、台灣大哥大、亞太電信 、法國電信 等大型企業擔任不同的領導管理要職。