蔡一郎的部落格

Yilang's Blogger

2015年演講與授課清單

Published by Yi-Lang Tsai under , on 12/31/2015 11:30:00 下午
2014年-演講與授課清單
日期講題地點主辦單位
2015/12/30資料視覺化技術南榮科技大學南榮科技大學
2015/12/29行動應用程式安全國立雲林科技大學資訊工程系國立雲林科技大學資訊工程系
2015/12/18雲端安全國際趨勢張榮發基金會GOVSEC Summit 2016政府資訊安全年會
2015/12/16資安事件案例分享與危害分析國立北門高級農工職業學校國立北門高級農工職業學校
2015/12/11Google Hacking技術實務高苑科技大學資訊管理系高苑科技大學資訊管理系
2015/12/8-9Mobile APP安全基礎知識電信技術中心電信技術中心
2015/11/27深入資安領域的關鍵思維高苑科技大學資訊管理系高苑科技大學資訊管理系
2015/11/18社群網站及網路犯罪的詐騙方法與實際案例高雄市政府高雄市政府都市發展局
2015/11/4雲端世代的事件鑑識與分析法務部調查局雲端環境之數位鑑識研究成果發表研討會
2015/10/24雲端世代的大數據革命致理科技大學Cyberspace 2015聯合研討會
2015/10/22隱藏在資安領域中的資料科學國立清華大學資訊工程研究所國立清華大學資訊工程研究所
2015/10/6FTP建置與資訊安全高雄市警局高雄市警局
2015/10/1DDoS核爆與營運風險台北六福皇宮台灣雲端安全聯盟
2015/9/30隱藏在資安領域中的資料科學國立高雄大學統計所國立高雄大學統計所
2015/9/11雲端時代的資料安全農林航空測量所農林航空測量所
2015/9/8-9Linux Server Security中華電信學院中華電信學院
2015/9/7物聯網路與企業風險中華電視公司中華電視公司
2015/9/3企業雲端化的資安關鍵思維經濟部加工出口區管理處經濟部加工出口區管理處研討會
2015/8/25多層次資安防禦策略與案例分享台北六福皇宮IDC先進網路安全保護論壇
2015/8/24新世代物聯網資安威脅國立中山大學圖資大樓高屏澎區網中心研討會
2015/8/20深入殭屍網路與惡意程式分析台大醫院國際會議中心2015台灣資訊安全事件應變研討會(IRCON 2015)
2015/7/28-29進階資安技術實務ConfidentialConfidential
2015/7/14DNSSEC介紹與實作長榮大學計算機與網路中心TWNIC網安實務教育訓練課程
2015/7/13DNS介紹與實作長榮大學計算機與網路中心TWNIC網安實務教育訓練課程
2015/7/7雲端時代的資訊安全台灣大哥大台灣大哥大
2015/6/23巨量資料於惡意程式行為分析應用高雄漢神巨蛋九樓宴會廳DAF 企業安全日
2015/6/4深入誘捕網路技術國立成功大學電機工程學系國立成功大學電機工程學系
2015/5/15雲端時代的資安威脅中華電信學院中華電信學院網路學系
2015/5/6,8-9進階資安滲透測試技術實務ConfidentialConfidential
2015/5/4雲端技術與資安趨勢正修科技大學正修科技大學
2015/4/30對不起,駭到你-雲端資料庫與個人隱私安全國立清華大學國立清華大學通識課程
2015/4/282015企業資安防護策略中華電視公司中華電視公司
2015/4/17雲端創新-2015企業跨境決勝新動力台中老樣咖啡中信國際電訊-企業跨境雲端應用研討會
2015/4/11DNS與NTP的DDoS攻擊與防禦西湖渡假村DNS-SEC研討會
2015/4/9雲端創新-2015企業跨境決勝新動力台南Masa Loft中信國際電訊-企業跨境雲端應用研討會
2015/4/1雲端世代下的APT威脅台北國際會議中心FireEye圓桌研討會
2015/3/182015資訊安全關鍵報告國立成功大學企業管理系國立成功大學企業管理系
2015/1/21雲端創新-2015企業跨境決勝新動力台北六福皇宮中信國際電訊-企業跨境雲端應用研討會
2015/1/14Cuckoo Sandbox建置實務崑山科技大學崑山科技大學
2015/1/7HoneyDrive實務崑山科技大學崑山科技大學
2015/1/5雲端新世代網路架構發展南台科技大學資訊工程學系南台科技大學資訊工程學系


  • 國立空中大學 「資訊安全」課程

來到北歐的-挪威

Published by Yi-Lang Tsai under , , , on 11/21/2015 11:49:00 下午
從年初忙到接近年底,一直沒空分享一下今年的旅程,這是第一次來到北歐的挪威,雖然歷經了超過24小時的旅程,抵達時只能勉強趕上最後一班的公車到下榻的飯店,但這一切在隔天起床後就感覺到一切都是值得的,這次來挪威是為了參加The Honeynet Project Annual Workshop 2015的會議,想想當時在幾位好友的一股熱忱推動之下,在台灣成立了分會,陸續參加了每年的活動,不斷的將在年會看到的、學到的、知道的在台灣的HoneyCon做個分享,最重要的是認識了許多國外的資安研究同好,這次由挪威分會主辦今年的年會,終於有機會來到曾經聽到許多傳奇故事的國度。

在這之前常常聽到這邊的物價是出奇的貴,不過我想相對於挪威人的年收入,這個絕對跟大多數人是好幾倍的差距,挪威主要靠石油致富,工時短但是社會福利是相當令人嚮往的,來之前看了一些資料,挪威人的平均年薪超過八萬美元,換算成台幣都超過350萬的年薪了,這些種種不得不讓人想要更深入的瞭解一下北方的國度-挪威。


自然風景漂亮是對挪威的第一個印象,從飯站的房間望出去,遠在天邊的山水風光,到近在咫尺的小鎮風光,都吸引著讓人多看一眼,也享受一下心靈上的寧靜,回想在台灣的時候,幾乎從早忙到晚,有時候晚上還有跟國際組織聯繫的電話會議等等,我想這些對於挪威人而言,應該是很難想像的生活方式,總之既然來到這了,當然先放鬆自己的心情參加會議之餘,也看看這個北方的國度。


這次來挪威也是第一次我沒有換好外幣的一個旅程,從第一晚搭巴士開始,往後的幾天,幾乎沒遇到無法使用信用卡消費的地方,只是刷卡的金額滿心疼的,因為物價真的不便宜,隨便一杯咖啡或是到餐廳用餐,換成台幣的金額都是在台灣消費的三、四倍以上。


飯店的門口就有自行車出租,不過仔細一看並不是一般的自行車,而是電動的自行車,在上面還有一個大型的彩色螢幕,上網查了一下果然租金不便宜,不過提供的服務看來是滿不錯的,有興趣瞭解的朋友,可以到Gobike的網站看看。



離入住的飯店不遠的地方,就可走到位於默斯湖(Mosvatnet)的Stavanger kunstmuseum,採用玻璃屋的設計方式相當的特別,不過到訪時已閉館了,就無緣進入裏面一探究竟。


車站前的湖泊有著濃濃的北歐風,還有許多的水鳥在其中飛來飛去的,不過大多數的水鳥都已經準備找地方休息了,因此當時的氣溫太陽下山後其實還滿冷的。


一排排北歐的建築風格,帶著悠閒的氣息,雖然在主要車站附近,不過路上的行人並不多,少了喧嚷吵雜,但卻多了些寧靜的氛圍。




在挪威幾乎到處可以見到信天翁的蹤跡,昂首直視著湖面,像哨兵般的注意眼前動靜,當有危險時可以適時的提醒其它的夥伴,看著牠許久,牠卻是盡忠職守的只看了我們一眼,就繼續遠眺著湖面。




港口停泊了許多的遊艇與貨船,不過遠眺海面的船舶與港口旁稀稀落落的來往人群,這不就是我們一直在追尋的人生嗎?不同的環境讓我們接觸了各種的人事物,不同的人事物讓我們的生命更加的豐富。



此次來挪威主要是參加The Honeynet Project Annual Workshop,每年參加這個全球歷史悠久的資安組織年會,除了與熟識的朋友敘舊之外,主要是可以知道目前資訊安全發展的最新趨勢,也做為每年暑假在台灣辦理HoneyCon的參考,也透過會議的參加將最新的資訊帶回台灣。


漫步在森林小徑,看著湖邊的景色,寧靜中對人生有著更深的省思與體悟,走過許多的國家,也看過不同的文化與對生活的態度,對未來每個人都有自己的想法與規劃,也都有不同觀念與作法,希望可以有天可以達到個人心目中理想的鳥托邦,大海納百川而險峻的高山也非一下子就能夠形成,都是經過長久時間的累積與大地的造化。


回想到自己投入資訊領域中較少人接觸的資訊安全領域至今已數十年,一路走來遇到許多自己所不熟悉或是未曾瞭解的事物,雖然花費許多的時間投入學習,不過總是有所心得,也希望能夠透過研討會或邀約將不同的資安議題分享出去,在時間允許的情況下,大多會接收來自學校、產業或是國際組織的邀請,持續且不斷的接觸不同的產業,也讓自己的人脈存摺累積了越來越多無法取代的朋友,有的是學校的教授、有的是產業的精英,也有些是對於資安領域有興趣的同好,彼此的交流與經驗分享,對於人生的旅途而言,是最美麗的回憶。

參考資料:
HPW2015

當DDoS攻擊來臨時

Published by Yi-Lang Tsai under , , on 8/03/2015 11:35:00 上午
近一年來常常被詢問DDoS相關的問題,從攻擊的手法到是否有相對應的解決方案等等,分享的課程以及參加的資安會議,也越來越多與DDoS有關,從不同的角度看待DDoS其實可以更真實的面對這個不斷成長中的網路攻擊。

分散式阻斷服務(DDoS, Distributed Denial of Service)是目前越來越常見,且越來越難防禦的網路攻擊手法,在各種不同的網路安全威脅之後,其中分散式阻斷服務攻擊(DDoS, Distribution Deny of Service)已成為近來主要的網路安全威脅之一,而此類型的攻擊,大多非直接入侵,而是透過耗盡網路資源、計算資源等方式,降低服務主機本身的系統效能,以達成影響受害者系統的目的,因此當遭遇到此類的網路攻擊時,受害者往往在短暫的時間內就會直接影響到原本的服務;近年來透過關鍵網路服務弱點,進行網路放大攻擊,除了可以避免因為連外網路頻寬不足而無法執行大規劃的攻擊。

當DDoS攻擊發生時,大多數所採取的策略都以降低其所造成的影響為主,一旦網路服務遭受攻擊時,往往可以讓我們進行應變的時間相當有限,從攻擊手法的行為偵測,到應用資安設備進行防禦,都需要配合進行調整,因此在近幾年網路化與雲端化的趨勢之下,也出現了許多針對此類網路攻擊提供「流量清洗」的服務,利用前端網路流量特徵的偵測,收集來自網路設備的資訊,例如:路由器所提供的Netflow資料,再經過網路行為特徵的分析,找到當時攻擊者所使用的攻擊手法,將該連線的行為轉移到清洗中心進行過濾,而清洗中心針對網路的流量進行比對,當確認網路流量中的異常行為時,則將該網路封包丟棄,最後再將經過純淨處理後的流量導回原本的網路設備,讓已經過濾完成的網路流量可以到達目的地,利用清洗中心進行異常網路流量的清除,可以減輕被攻擊的目標承受來自分散式阻斷服務攻擊的影響,不過因為攻擊的手法極有可能多樣化,或是當攻擊者發現所使用的攻擊方法無法達成預期的目標時,皆有可能轉換成其它的攻擊手法,因此由資安防禦的角度而言,建立預警的偵測機制,也成為相當重要的一環,配合前端的資料收集與預警,方便後續進行應變與處置。

當DDoS攻擊來臨時,第一個直接感覺到變化的就是網路流量的激增,增加的幅度會因為攻擊者所採用的攻擊手法不同而有所不同,大多數的網管單位都會配合網路的營運,建置如MRTG之類的網路流量收集平台,透過定期的資料收集,掌握網路頻寬的使用情況。


(圖)MRTG網路流量的變化

當巨量的攻擊開始之後,第二個直接受到的影響的就是遭受攻擊的主機,有可能會因為系統的資源或是網路的資源耗盡,而無法正常的提供服務,或是因為資源不足所造成的逾期回應,而出現伺服器錯誤等相關的訊息,目前多數的網站伺服器在設計上,會依據使用者的訪問,提供對應的執行程序,當使用者超過逾期回應(Time Out)的時間,伺服器才會將該名使用者的執行程序終止,不過在未終止之前,將會持續佔用伺服器本身的硬體資源,例如:記靜體的空間等。當無法回應或回應逾時,可能會出現「404 Not Found」或是「應用程式中發生伺服器錯證」等訊息。

(圖)伺服器的錯誤訊息

網路上的情資
目前網路上提供即時DDoS攻擊資訊的網站服務相當多,以下舉幾個是個人常拜訪的網站,可以用來掌握網路上的威脅情資,這些網站所提供的資訊,主要是從該業者的角度提供參考的資訊,雖然不會是完整的呈現網際網路的現況,不過涵蓋的範圍已經是具備參考的公信力了。

由Google所發展出來針對DDoS的攻擊行為分析平台,也收集了過往多次全球性的DDoS攻擊行動資訊,包括攻擊的來源、受駭的目的地、通訊協定的分析、攻擊的網路流量等等資訊。
(圖)Google Digital Attack Map的畫面
 由Arbor Networks所提供的平台,透過全球超過9成5的ISP客戶的涵蓋率,掌握全球的網路安全威脅來源,也可以透過網路安全情資的發佈,讓我們掌握目前網際網路的危安因素。
(圖)ATLAS的統計資料

NORSE也是個人常常到訪的網站,除了視覺化的呈現方式之外,在這也可以掌握目前全球的網路攻擊情況,尤其由所提供的攻擊平台,採用即時與互動的方式,可以提供使用者瞭解目前的網路威脅情況。
(圖)NORSE的視覺化平台

當DDoS攻擊活動出現時,透過視覺化的平台,就可以明顯的看到攻擊發生時的情況,例如:大量的攻擊流量來自特定的區域,或是全球性的分散來源,這些資料也方便我們對應到當時的網路情資,也可以與真實世界的事件有所聯結。
(圖)Norse呈現DDoS攻擊時的情況

DDoS的幫兇-殭屍網路(Botnet)
多年來殭屍網路伴隨著許多資訊安全事件的發生,從早期簡單的惡意程式發展至今,已成為具備多種能力的惡意程式,並且因為不同的系統或是軟體弱點的出現,朝向特定弱點或是特定攻擊方式的方向發展,在追蹤與分析來自誘捕網路(Honeynet)所收集到的惡意程式,透過分析報告不難呈現惡意程式所呈現的行為特徵,已有越來越多的惡意程式具備發動DDoS攻擊的能力,可以在攻擊者的一聲令下,成千上萬的殭屍電腦(Honeypot)就會參與大規模的網路攻擊行動。
(圖)Dorkbot.Botnet具備DDoS的功能

主要的攻擊類型:
目前在DDoS攻擊行動中常見的攻擊手法,主要可以歸納出以下幾項:
  • 系統資源耗盡
從遭受攻擊的主機上來看,系統資源的耗盡是常見的手法,中央處理器的負載,在承受攻擊的當下,極可能直接飆高到100%,多核心的系統也可以看到同樣的情況,此時系統的效能將會快速降低,直接影響到正常使用者。

(圖)系統資源的使用
  • 網路資源耗盡
網路頻寬是昂貴且有限的,在大量的網路攻擊行為發生時,網路頻寬的使用率將會是第一個反應的,以目前來自國內與來自國外的DDoS攻擊事件來看,來自國外的攻擊來源位址或是假冒的攻擊來源,仍然是最主要的攻擊手法,因此並沒有辦法從網路設備單純的拒絕特定的來源對目標的攻擊,而透過台灣網際網路的連線頻寬來看,目前大多數的ISP都有相當多的連外線路,頻寬的大小其實也跟各自的服務對象有關,不過這些連外的頻寬,就會成為DDoS攻擊過程的瓶頸,因此後來發展出來的針對基礎設施進行放大攻擊的手法,多是為了避免在這個關鍵點出現瓶頸所運用的技術。

(圖)台灣網際網路連線頻寬

  • 針對系統或網路設備本身的弱點
未修補的系統或是網路設備本身的弱點,等於是幫攻擊者開了一道門,未修補的系統與軟體弱點,影響的嚴重程度可能比未安裝端點防護的軟體而多,以先前被運用為NTP攻擊的手法,CVE-2013-5211就是一個典型的弱點。
(圖)CVE-201305211 NTP弱點資訊
  • 運用關鍵網路服務
從有網際網路以來,為了不斷的解決現在網路環境下的問題,陸續發展出許多基礎的關鍵網路服務,包括了DNS名稱解析服務、NTP網路校時服務、DHCP動態位址分配等,大多數的企業因應網路使用上的需求,都會配合建置,在建置當時多數會以最新的版本進行軟體的安裝,也會完成弱點的修補,但是隨著時間的流逝,系統可能會因為疏於維護而未修補了系統的弱點。

國際知名的資安研究組織Shadowserver,曾經進行了全球的Open Resolver DNS服務掃瞄計畫(https://dnsscan.shadowserver.org/),其中出乎個人意料的是中國大陸(China)高達二百萬台以上的DNS有開啟Recursive(遞迴) DNS的查詢服務,經由 Recursive的方式,讓使用者可以從網域名稱的樹狀結構的根 ( Root ) 來進行遞迴式的查詢,可以找到需要的網址,這和實際的連結到 Authoritative DNS Server 進行的方式是類似的,如果在企業內建置具備遞迴查詢的服務,可以節省部份的流量,不過但也可能帶來部份的資安風險。

如果以ASN的方式進行統計,其中Hinet掃瞄出34萬台具備遞回查詢功能的DNS伺服器,也是全球的第三名,主要在於國內許多企業大多還是選擇自行架設DNS的服務,也可以擁有較高的自主性。


提供一個可以在線上檢測DNS服務是否有開放遞迴查詢功能的網站,可以透過http://openresolver.com/提供的服務進行檢測,以下就測試了一下國內應該是最多人使用的Hinet DNS服務,出現開放遞迴查詢的功能。
(圖)Openresolver.com的檢測服務


應變機制的建立
當DDoS來臨前,需事先完成應變團隊的建立,透過資訊安全管理系統的建立,可以透過事先的準備,減輕當事件發生時的應變以及處理的時效,避免因為緊急事件的發生,而亂了自身的分寸,影響對事件的處理流程,如果想要建立相關的應變機制,建議可以參考建立以下的表單:(資料來源:https://zeltser.com/ddos-incident-cheat-sheet/)
  • 事件應變團隊(Incident Response Team)
  • 運作手冊(Runbook)

完善資訊安全事件的應變團隊,在事件發生時可以避免因為手忙腳亂了失去了處理該事件的黃金時間。

一個縱深防禦的概念
從網路服務供應商(ISP, Internet Service Provider)的角度來看,皆需要針對DDoS的網路攻擊建立一套標準的作業流程以及因應的方案,以降低遭受攻擊時的影響範圍與遭受的損失,在網際網路的世界中,以ASN代表著不同的ISP,也意謂著不同的網路管理單位,因此以ISP為一個DDoS攻擊的防制中心,是最經濟且可以實施的方案,再透過不同的ISP之間的互助合作,快速的針對所造成的網路攻擊進行因應。

網路流量清洗的概念,目前已有多家網路服務與資安設備業界提供了網路清洗的解決方案,基本的運作原理多從應用層的服務或是特定的網路服務進行處理,以解決單純收集Netflow資料而無法掌握深度資訊的問題,當偵測到異常的網路流量時,可以依據攻擊者所使用的手法,例如:攻擊者使用的通訊協定,將網路流量引導到流量清洗中心進行處理,將異常的通訊清洗完成之後,再將乾淨的流量回到目標主機。

近年來許多ISP業者的頻寬因應網路使用需求的增加,不斷的加大網路的頻寬,以因應使用者以及新興網路應用服務的需求,而台灣的學研網路也即將進入100Gbps以上的世代,因為頻寬的增加,對於DDoS此類網路攻擊的威脅而言,更需要積極的面對與尋求解決方案,傳統單純使用Netflow進行資料收集與情資分析的方式,在目前網路流量激增的環境中,更面臨了挑戰。

一個DDoS的防禦概念,須具備縱深防禦的架構,就如同國際資安社群FIRST組織(https://www.first.org/),建構以各國的CERT、CSIRT為主的情資平台,利用彼此之間的事件通報,讓各國的事件應變單位進行資訊安全事件的處理,對於廣域的事件處理,從兩個端點切入進行處理,而DDoS的防禦機制,也應具備相同的處理機制,從各個不同地點的設備進行分析與偵測,並且能夠進行全球性的攻擊情資的交換,由位於攻擊來源的區域直接進行處理。



媒體報導-以Honeynet彙集大數據 緊盯資安威脅趨勢演進

Published by Yi-Lang Tsai under , , , on 7/06/2015 11:30:00 下午

網際網路探索地圖

Published by Yi-Lang Tsai under on 7/04/2015 08:18:00 上午
網際網路已是現代人生活的一部份,每天我們都需要使用網路上的服務,取得所需要的資訊,從以前資訊系統與設備剛連上網路,使用者透過簡單的通訊方式,早期的BBS也許是許多跟我年紀相仿第一次接觸如何使用遠端服務的經驗,回想當時從使用者也成了BBS的站長,家裏的數據機一天到晚響個不停,從最早接觸到的2.4K到最後使用的56K,速度加快了,不過聽到的還是一連串聽不懂的聲音,那時候也不懂數據機發出的聲音,到底是要給人聽的還是給機器聽的,這個問題的答案當然是後者。

進入網路世界後,就像進入了太空時代,資訊技術隨著墨爾定律的成長曲線,幾乎幾個月就有新的技術或是概念問世,到現在雲端、物聯網、智慧城市的時代,網路的服務就像浩瀚的宇宙一樣,不斷有新的世界被發現,不斷有爆炸性的新技術被提出,而對於網路服務供應商或是高度依賴網路提供使用者服務的產業而言,透過網路提供服務是最容易達成的,尤其近年來的新創熱潮,許多新創公司多數都是利用網路上的資源,進行產業的佈局與提供需求者相關的服務。

目前網路世界的一方霸主,以雲端服務、社群網路為主,透過Internet Map就不難發現,這些服務在這個虛擬的世界中早已佔領了一席之地,這份在2011年就已完成的資料,對應到現在的環境,應該仍是相符合,由圖上可以看到,Google、Facebook、Yahoo、Youtube等大家所熟悉的網路平台所顯示的圖形大小,相較其它而言差異是很大的。

在Internet Map中,可以透過簡單Zoom In功能,放大任何一個區域所顯示的圖形大小,方便我們觀察這些不同的服務所佔有的區域,查詢了一下服務的單位,也許因為單位屬性的關係,在整個Internet中,還算是區域很小的一顆。

如果以目前參與的國際資安組織The Honeynet Project而言,網路上的使用者數並不是很多,主要是因為算是部份領域的資安研究吧,大多數有聽過或是想要知道誘捕技術的人才會到訪。

另外因為近年來許多教育的議題被提出來討論,也順手查了一下教育部的域名,目前大多數對於國內教育政策或是新制度的推動,大多數的訊息都會來自教育部的網站,因此許多家長或是莘莘學子想要知道升學或是學制方式的規定,也大多會來這到訪,也許再加上台灣的大專院校相較其它國家是滿多的,直接提昇了網站的使用者數量。


從各個國家所佔有的網路空間而言,美國是網際網路的起源,奪下第一名當然是理所當然的,其中比較有意思的印度的網站總數相當的多,不過空間大小的統計與第三名的中國相比較還小,這點就應該跟網路的使用人口有關了,只是中國目前對網路自由的管制,從幾年前的資料推論近年來的發展,也許目前如果再重新統計分析,這個排行與佔據的比例應該會重新洗牌。


參考資料:
The Internet map http://internet-map.net/




媒體報導-DAF 2015企業資安日【高雄場】速報

Published by Yi-Lang Tsai under , on 6/24/2015 11:30:00 下午

媒體報導-LINE曝安全漏洞,使用公共WIFI要當心

Published by Yi-Lang Tsai under , , on 3/17/2015 11:00:00 下午

媒體報導-雲端上的APP是否真的安全?

Published by Yi-Lang Tsai under , , on 3/05/2015 11:57:00 下午

媒體報導-Arbor Networks ATLAS威脅監控基礎設施

Published by Yi-Lang Tsai under , , , on 2/25/2015 11:00:00 下午

媒體報導-APP安全性檢測 台灣與國際雲端安全聯盟接軌合作

Published by Yi-Lang Tsai under , , on 2/12/2015 10:56:00 下午

資安資訊視覺化

Published by Yi-Lang Tsai under , , on 1/25/2015 11:58:00 下午
其實從不是資安人員的角度來看資安資料的分析,不論是單純的網路流量,或是惡意程式的分析等,這些資訊如果以傳統的方式來呈現,一大堆的報表或是統計數據,其實對於非資安領域的人而言,都是不容易理解的資訊,也就失去這些統計數據所代表的意義,因此許多與資安有關的視覺化資訊平台就孕育而生,利用直覺的視覺化方式,將巨量資料背後所隱藏的資訊,利用圖像化與視覺化的處理技巧,除了讓資安領域的研究人員可以快速的掌握目前網路的安全趨勢之外,也可以讓大多數的人知道目前網路上的威脅來源,以那些國家或是那些特定的網路攻擊為主,對於資訊安全的防禦而言,可以由攻擊的手法的掌握,進而發展出可以因應的對策。

  • Google - Digital Attack Map
Google是目前全球最大的網路服務、雲端服務的供應商,而且擁有自主建置的國際海纜,每天以億計算的使用者會使用Google所提供的服務,在資訊安全的視覺化平台,就以偵測DDoS攻擊為主軸所設計出來的「Digital Attack Map」為代表,與Arbor Networks的網路流量分析架構,對於全球目前遭受到的DDoS攻擊威脅進行分析,提供針對不同的攻擊目標的當下的攻擊流量資料,也可以針對歷史事件進行重新播放,以協助我們瞭解當時事件發生的過程,以及攻擊流量上的變化,對於想要以Netflow資訊進行攻擊威脅分析的應用而言,算是相當成熟的分析平台。


  • F-Secure - Virusmap
國內許多人對於 F-Secure 較為陌生,不過如果談起小米機竊取用戶資料回傳的事件,就應該可以想起當時揭露此事也協助進行相關分析的就是 F-Secure ,針對目前網路上的威脅資訊,F-Secure 提供目前惡意程式在網路上被偵測出來的統計數據為主,我們可以看不同的國家目前遭到惡意程式感染的情況,也可以知道目前有那一隻惡意程式最為活躍,透過這些資訊,我們就能夠掌握這些惡意程式針對的系統或是應用軟體的弱點為何,如果手邊的設備有存在這些問題時,就不得不加以留意了,有可能會成為下一個惡意程式攻擊下的受害者。


  • FireEye - Cyber Threat Map
FireEye 主要以發展偵測進階滲透威脅(APT)攻擊為主,透過所部署的設備,能夠協助企業發掘來自網際網路的針對性攻擊,或是來自內容的異常網路行為,對於想要進一步分析企業內部資訊安全現況的需求而言,剛好是相當不錯的解決方案,透過設備所掌握的資訊,我們可以在 Cyber Threat Map 上能夠看到這些攻擊的來源,以及遭受攻擊的目標為何,利用簡單的資訊我們就可能掌握目前的網路安全威脅來源,另外在統計的數據呈現上,除了傳統以攻擊來源、受害者以及地理資訊的呈現方式之外,最特別的就是提供了產業遭受攻擊的統計,我們可以透過產業類別的統計,知道目前那些產業遭受到的攻擊威脅最多,不過觀察了一陣子下來,學術類別的統計數據,往往長期佔據了第一名的位置,這個應該跟學術研究的環境在網路安全政策的管理上較為寬鬆有關吧。


  • Norse - IPViking Live
如果要選擇資訊視覺化效果較佳的前三名,肯定由 Norse 所建置的 IPViking Live 資訊平台最為炫麗,提供攻擊來源以及遭受攻擊的國家統計之外,也利用不同顏色的動畫,呈現攻擊發起端與受害者兩端的關係,由攻擊的即時資訊我們不難發現許多的攻擊行為已逐漸具備快速發起與巨量攻擊兩個主要的特性,看似資訊技術的進步,對於資訊安全的防禦而言,卻是一道難題,如何在效能與防禦機制的有效上達到平衡,這個就是平時維運上的關鍵,大多數的時候我們都可以看到中國與美國之間都有大量的攻擊行為發生,不論攻擊的來源與目的地,在右下角都有針對這些攻擊行為進行的分類,可以掌握攻擊這些目標主要的對象是那一些網站伺服器或是應用軟體,在防禦機制的設計上就可以因應這些攻擊的手法進行處理。


  • Kaspersky - Cyberthreat Real-Time Map
卡巴斯基(Kaspersky)主要以使用者端的防毒軟體為主,不過近年來也發展出其它的產品,能夠更全面的掌握網路的威脅,目前所推出的 Cyber Threat Real-Time Map 算是整合多個產品回饋資訊之後的展示畫面,我們可以只選擇其中有興趣的項目,當然也可以讓所有的資訊一起呈現,在 3D 的地球上將攻擊來源與受害者的關係串連起來,能夠知道不同的國家目前遭受的攻擊類型統計,透過數據的呈現,我們便不難瞭解當下的防禦重點,也可以適時的調整網路安全政策,這個視覺化的界面提供豐富的資訊,如果真的要從其中挑剔出問題,那就是過多的資訊有時候在解讀上較不同容易吧,建議如果看得眼花瞭亂時,可以先關閉一些較不重要的類型資訊,反而可以讓我們聚焦在有興趣的資訊上。


  • Anubis Networks - Cyberfeed
相對其它的視覺化平台,由 Anubis Networks 所建置的 Cyberfeed ,就顯得單調許多,不過卻是其中在地理資訊視覺化上最為精細的,可以知道到城市的資料,前十名還會以輪流呈現的方式,配合地球的旋轉直接將相關的資訊呈現出來,配合左方的統計資訊,我們可以知道有那些的網路威脅是最活躍的,其中不乏許多著名殭屍網路的名稱,因此我們透過這樣的平台,就能夠直覺的掌握不同國家的攻擊威脅類型,以及目前發動攻擊或是遭受攻擊的次數。


  • The Honeynet Project - HoneyMap
The Honeynet Project自從幾年前發展分散式的資料收集架構之後,研究人員就開始投入如何將資訊視覺化呈現的方式,HoneyMap 就是其中典型的代表之一,其中的資料來自 HPfeeds,目前在官方的平台上改以 hpfriends 的方式發佈,利用頻道的概念將其中所傳遞的資料接收下來進行後續的處理,由 Honeypot 所偵測到的攻擊來源資訊,我們可以快速的將 IP 位址轉換後的經緯度資料對應在地圖上來呈現,也可以提供即時呈現攻擊來源的資訊,如果看到紅色圈圈持久不滅,這時就得將這個攻擊的來源資訊納入後續事件追蹤的清單之一,有助於掌握可以影響資訊安全的攻擊來源。


  • OpneDNS Lab - Decent Attack Tracker
DNS對於網際網路的運作而言是相當舉足輕重的,許多的通訊協定或是網路行為都會配合 DNS 的查詢,將網域名稱轉換成對應的 IP 位址之後,再交由通訊協定進行處理,因此分析 DNS 的查詢紀錄,我們可以掌握使用者端的行為,如果所查詢的網域名稱已經被列惡意威脅來源名單(黑名單)時,例如:殭屍網路目前或是曾經使用過的網域名稱,這些就是相當重要的資訊,可以掌握企業內部的使用者是否有感染而惡意程式而不自知,操作的界面也相當的便易,可以直接輸入國家的名稱,就可以查詢出所有相關的資訊,當然也包括了攻擊的來源以及發動攻擊的目標。

  • Akamai - GNET
Akamai 是雲端服務導向的公司,以網路流量分析為主要的技術核心,我們可以由所提供的 GNET 界面,知道目前網攻擊次數統計、網路的流量以及連線數的多寡等資訊,攻擊次數以長條圖的方式直接標示在地理資訊上,放大之後也可以看到主要的攻擊來源城市等資訊,在視覺化的處理上頗佳。


  • NCHC - HoneyMap
個人所服務的國網中心資安團隊,也因應惡意程式知識庫以及大尺度的誘捕網路需要一視覺化的資訊呈現平台,團隊成員也發展了許多視覺化的平台,可以將某一段時間的資訊做重播的呈現,其中需要提供日誌的紀錄以及惡意程式的沙箱分析報告。

  • NCHC - Malware Topology
惡意程式與網域名稱彼此之間的關係,是許多資安研究人員希望知道的資訊,因此國網中心的資安團隊將統計分析後的結果,以及不同的惡意程式行為關聯之後,利用惡意程式拓撲圖的方式來呈現,可以快速的知道殭屍網路的大小規模,以及惡意程式的行為特性,利用的網域名稱等資訊,將有助於定義惡意程式影響範圍。


以上針對目前網路上幾個與資訊安全有關的視覺化平台進行介紹,也提供做為從事巨量資料研究上資訊處理方式上的參考。

【參考網站】
Google - Digital Attack Map: http://www.digitalattackmap.com/
Norse - IPViking Live:http://map.ipviking.com/
Kaspersky - Cyberthreat Real-Time Map:http://cybermap.kaspersky.com/
Anubis Networks - Cyberfeed:http://globe.cyberfeed.net/
The Honeynet Project - HoneyMap:http://map.honeynet.org/