入侵偵測系統面臨世代交替
網路型和主機型為主,誘捕型仍受爭議
入侵偵測系統(Intrusion Detection System,IDS)是用來偵測資訊系統或網路上潛在的惡意破壞活動。早從1970年代就有的概念,卻直到最近5年才開始產品化,成為企業資訊安全防護體系的要角,主要原因是「駭客不夠長進」,因為之前以網路層攻擊為主,使用防火牆就綽綽有餘,隨著駭客攻擊手法演進,防火牆已無法以應付應用層攻擊,才發展出動態防禦的入侵偵測系統。
有人將入侵偵測系統分為網路型、主機型、混合型及誘捕型等4種類型,但最常見的類型是網路型和主機型,這類產品也最多。
網路型入侵偵測系統(Network Intrusion Detection System,NIDS)主要是由一個或多個偵測器,加上收集與分析資料的主控臺所組成,可以分析每個通過的網路封包,並與已知的攻擊特徵進行比對,如果符合某項攻擊特徵,系統就會啟動防護機制,例如發簡訊或命令防火牆中斷該連線。
主機型入侵偵測系統(Host-based Intrusion Detection System,HIDS)是從主機系統稽核日誌檔演進而來,必須在主機上安裝代理程式﹙Agent﹚,負責監視主機內部的程序,並監控記錄檔與可疑活動,若有任何系統事件都會被記錄至日誌檔,並與攻擊特徵資料庫比對,判斷主機是否遭到攻擊。
誘捕型入侵偵測系統(Deception Systems)的目的是偵測未經授權的活動,任何進出誘捕系統的封包都會被認定是可疑的。但它卻是受到爭議的產品,有些廠商認為誘捕型系統只適合學術研究,因為它誘導駭客上勾,因此收集的證據無法用來起訴駭客;另一派看法是誘捕型系統不是主動式的誘捕器,駭客必須執行探測工具才能發現誘捕系統,這樣已經有犯罪的意圖。2種偵測技術:攻擊特徵比對、通訊協定異常分析
入侵偵測的原理是將收集到的資訊,與資料庫中的攻擊特徵﹙Signatures﹚做比對,判斷是否為惡意行為,原理就像防毒軟體會依據病毒碼檢查已知的病毒。但檢測規則總是落後於攻擊手段,一般而言,新的漏洞在網路上公布後,幾乎第二天就能找到攻擊方法和程式碼,但相對應的檢測規則卻需要好幾天,存在一定的時間差,讓駭客有足夠的時間進行入侵。
越來越多的駭客和安全專家傾向不公布他們發現的漏洞,自然更難整理出攻擊特徵,而且公布檢測規則後,也方便了入侵者,他們可以先檢查所有的規則,然後採用不會被偵測出的手法進行入侵。事實上,只要稍微修改攻擊內容,就可以輕易迴避特徵比對的入侵偵測系統。
由於特徵比對存在一定的缺陷,因此目前廠商都增加通訊協定異常分析(Protocol Anomaly Analysis)技術,用來檢查通訊協定是否有異常狀況。因為駭客攻擊常利用不完善的程式,或HTTP、RPC(Remote Procedure Call,Blaster蠕蟲便是利用該服務的漏洞)及SMTP等通訊協定的漏洞,所以通訊協定異常分析會偵測通訊的結構與內容,檢查出可能是攻擊發動徵兆的無效字元、非預期資料與額外字元,例如CodeRed使用GET指令要求伺服器執行惡意的程式碼,系統會判定它違反HTTP通訊協定,而將CodeRed視為一種攻擊行為。同時,通訊協定異常分析能辨識出未知的入侵行為,在攻擊造成損害前就予以制止。IDC槓上Gartner,該相信誰?
IDC預測2002到2007年入侵偵測與弱點評估的全球市場,會從2002年的7.29億美元,擴增到2007的16.28億,亞洲則會由1.16億擴增到3.55億。就產品銷售而言,網路型入侵偵測系統是最多企業採購的入侵偵測產品,因為不須變更網路架構,安裝與使用都很簡便;主機型入侵偵測系統則易受應用程式干擾,加上中文編碼與本土應用程式(ERP、自行開發的系統)等問題,實際使用的企業較少。
IDS市場雖被看好,不過產品存在誤報與漏報、增加管理負擔、有流量限制及無法即時回應缺點,所以Gartner提出不同的看法。Gartner的報告指出,在2005年前,當紅炸子雞IDS將功成身退,他們的理由是防火牆越來越聰明(例如Check Point NGAI),網路流量分析軟體逐漸增強,而且應用程式與加密技術越來越複雜,相信若干年後將是一個「沒有入侵的年代」。Gartner並建議企業應將IDS的建置經費挪到防禦性軟體上,例如同時具備網路層與應用層防禦能力的防火牆產品。聰明的讀者應該發現到Gartner的這份報告偏袒防火牆產品。
雖然沒有入侵行為是企業所憧憬的烏托邦,但也要考慮其他外在條件是否能配合,第一個條件就是系統漏洞,從年初的SQL Slammer,到最近的Blaster蠕蟲,他們都是利用系統的漏洞進行攻擊,即使微軟和資安廠商早已釋出修正檔,並提出警告,但仍有不少企業和使用者遭到攻擊。
其次就是防火牆只能阻擋一部分的攻擊入侵,再聰明的防火牆也無法偵測所有攻擊行為,特別是來自內部的攻擊,因為不須經過防火牆,自然也就不會被偵測出來。IDS進化版:IPS/IDP,直接偵測異常行為
為了解決入侵偵測的問題,廠商推出入侵偵測與防禦(Intrusion Detection and Prevention,IDP),或稱為入侵預防系統(Intrusion Prevention System,IPS),希望能在零誤判率的情況下偵測出攻擊行為,並能立即加以阻止。比較簡單的解釋是IPS=入侵偵測系統+防火牆。
駭客攻擊程序是先探測(Probe),然後滲透(Penetrate)、常駐(Persist)、擴張(Propagate),直到癱瘓(Paralyze)階段,真正的傷害也會在此時發生,可能開始進行DDoS攻擊,或是檔案被刪除、系統當機。在前面兩個階段中,同一個攻擊程式可能會利用不同的方式滲透,並且使用迴避技術,例如將攻擊程式隱藏在URL的Unicode中,讓防火牆以為是正常的網頁存取,並迴避入侵偵測系統。
但在攻擊的後三個階段中,駭客的攻擊模式則相當固定,例如增加未授權的使用者帳戶或啟動新的網路連線,由於攻擊程式可能會竄改作業系統核心,是相當明顯的入侵行為,比前兩階段容易被辨識出。
第一代入侵偵測系統是使用特徵比對技術,第二代入侵偵測系統則增加通訊協定異常檢測,第三代入侵偵測系統應該會演變為入侵預防,不再比對攻擊特徵和分析通訊協定,而是直接偵測異常行為。系統會忽略攻擊程式是利用何種手法進入企業內部,專注在分析攻擊程式的破壞行為,舉例來說,如果駭客的最終目的是增加網頁伺服器上未授權的使用者帳號,有多種攻擊手法可以達到這個目的,若是使用特徵比對,需要有多組攻擊特徵才能偵測出可能的攻擊,但偵測異常行為只要發現該行為(新增未授權帳號),便能立即阻止該攻擊。
IPS雖然有自身的優勢,但也不是全無缺點。由於必須裝置在閘道上,所以受到DoS攻擊後很容易故障,有的產品會提供Bypass模組,降低對網路的影響,但相對也降低網路安全性。而且,IPS是新研發的技術,可偵測的攻擊仍有限,無法像IDS能偵測出各式攻擊。選產品前先培養資安人才
大部分的入侵偵測系統都是針對大型企業所開發,並不能符合國內中小企業的需求,主因是產品由國外廠商研發,對企業規模的認定也不同。不過目前本土廠商已經有開發相關的解決方案,而且採用硬體裝置,並具備多合一功能,滿足中小企業多種安全需求。
比較令人驚訝的是,當政府機關和大企業在建置入侵偵測系統時,很少會考慮入侵偵測系統對防火牆性能的影響,怎樣能不影響網路效能,或者該如何制定偵測政策。許多企業只聽廠商片面之詞,就花上百萬建置入侵偵測系統,建置完成後卻問題百出,有的放錯位置,有的不知如何設定,而且幾乎對統計報表一竅不通,讓入侵偵測系統無用武之地。文⊙陳世煌
熱門新聞
2024-05-06
2024-05-06
2024-05-06
2024-05-03
2024-05-06
2024-05-06