蔡一郎的部落格

Yilang's Blogger

數位時代下的多層次防禦

Published by Yi-Lang Tsai under , on 5/06/2019 10:06:00 下午
雲端時代的來臨,除了代表資訊技術的進步之外,也意味著傳統資訊安全防禦的概念,必須隨著時代的轉變而有所調整,想當初剛到目前服務的單位時,整個單位連外的線路是一條T3的線路,當時也正值乙太網路崛起的時代,沒過多久原本使用的 Lightstream1010 就退休了,取而代之的架構簡單化的乙太網路交換器,沒多久具備基本路由能力的交換器成為了主角,在這個時代其實資訊安全的議題還離我們有些遙遠,多數的情況只需要把網路存取的管理做好,就是把資安做好了。

想要瞭解目前該如何進入資訊安全的領域,就需要先對於資安這個領域的發展,有初步的瞭解與認識,尤其目前剛接觸資安領域的生力軍,對於過往的發展歷程,更是有瞭解的必要,因為資安的領域涵蓋的面向相當的廣泛,傳統上分成了系統安全、網路安全、程式安全、網站安全等,或是學理上談的密碼學等,在實務面又有現在引領風潮的CTF競賽,或是針對藍隊防禦進行的攻防賽,每個專業領域,都能夠建構一個完善資訊安全技術的環節。

從資訊安全的角度,個人簡單的將其分成以下幾個世代,不過先聲明一下,這些僅是個人就所見與經驗進行分類,並不代表學理或是教科書上的分類方式。

【使用者與主機端的防護】
在這個世代中,每台電腦或主機安裝防毒軟體是必要的工作,每當我們組裝好電腦接著安裝完作業系統,在連接上網路前的第一件事,就是在機器上安裝好防毒軟體,防毒軟體成為使用者的門神,隨時看著主機上的通訊,或是檔案系統在異動是否有比對到符合病毒特徵的檔案,當時特別有印象的是一套台灣廠商自行研發的「金帥防毒(Zlock)」,不過我想除非跟我一開始接觸電腦時,當時的作業系統是MS-DOS的網友,才會聽過它,在目前應該很少人知道有這段的歷史,不過大概跟筆者同世代的人而言,對於ZLOCK可是相當依賴的,當時所發展的一些概念,對應到目前而言仍然是相當有用的,物換星移下,目前大多由比較完整防禦的端點防護軟體,整合了單純以防毒為主的產品。
圖-GGreat在2003年的產品資訊


【網路安全幾乎等同資訊安全】
當時的網管人員所想像的資訊安全,就是直接觀看網路的流量,因為早期的網路頻寬遠小於目前的時代,所以只有網路上有一些風吹草動,還真的有機會直接從網路流量的變化,就能夠推論出網路上是否有攻擊行為的發生,因此網管人員還必須兼職的擔任起資安防禦的角色。

不過進入了100Gbps的時代之後,由網路流量的變化是很難看得出異常的,大概只有遭到DDoS(分散式阻斷服務)攻擊時,才能夠由網路流量的變化,斷定正在遭受大量的攻擊,不過往往以過往此類攻擊的資安事件來看,往往不到幾分鐘的時間,就能夠把目標主機打掛了,更不用說每五分鐘會自動輪詢一次的SNMP產生的MRTG圖能夠告訴我們是否發生的網路攻擊的事件。

圖. TANet流量圖

【網路安全威脅】
網路的應用服務呈爆炸性的發展之後,隨之而來的網路安全的問題,引起了大家的注意,許多的攻擊行為不再是單純的掃瞄或是利用系統的弱點進行攻擊,透過不同的攻擊工具或是針對系統或是軟體弱點所進行的攻擊行為,對於被攻擊的主機大多能夠造成重大的影響,而網頁程式開發或是運作的環境,往往受限於程式的開發環境以及網路服務不能夠中斷服務,此時許多的管理人員,其實是可以接觸網路存在資安上的風險,寧願冒著網站可能被入侵的風險,也無法因為開發環境被發現了可運用的漏洞,就把目前正在線上服務的網路關掉,就只為了等待把漏洞修完。

圖-CVE (https://cve.mitre.org/)

當越來越多的資訊服務,透過網路來提供時,來自網路上的攻擊威脅,也就成為最需要偵測的來源,透過資安設備或是誘捕系統之類的機制,其實就不難發現網路上其實並不如我們想像的平靜。

【區域聯防的概念】
隨著網路頻寬的增加,以及越來越多的使用者透過網路來取得資訊,一個階層式的管理架構逐漸成形,也由「技術思維」融入了「管理思維」,開始思考如何讓目前建置的系統與防禦機制能夠發揮更大的功能,並且協同相關的管理單位,進行事件的處理,以台灣學術網路而言,透過管理機制的建立,加上各區域網路中心間的合作,針對發生的資訊安全事件,能夠進行通報與應變,也可以讓資安事件對於網路世界造成的影響,能夠有效的受到掌握。

圖-TANet區域聯防架構(2001年)


【縱深防禦的架構】
「縱深防禦」是與「區域聯防」為相輔相成的架構,早期的區域聯防,主要是將資安的威脅,透過各個管理單位的力量進行掌控,避免事件影響範圍的擴大,目前的縱深防禦改以應用服務為導向,並且融合相同領域的使用者,共同建立該領域的防禦架構,近幾年來國內從政府單位開始推動的資訊分享與分析中心(ISAC, Information Sharing and Analysis Center)架構,就是希望透過聯防體系的建立,讓資訊安全威脅的情資,能夠在進行交換與分享,以建立初期的預警機制。

如何建立一個縱深防禦的架構,基本上需要涵蓋管理、政策以及技術等多個層面,以較容易理解的技術面問題,以後我們在進行資訊安全政策的制定時,當有了大的方向,接下來就是必須規劃實施的細節,甚至是建立防禦機制的步驟,這些都需要各個層面互相的配合,例如:一個網路管理政策藉由資安設施進行部署,而且實施預警或是阻擋的機制時,如何確保能夠持續有效運行,這個就成為關鍵的議題,尤其在目前雲端服務盛行的時代中,在建立整體的資安防禦時,往往需要考量從應用服務開始,一路到系統防護、網路安全的確保等多個層面,但是唯一可以確定的是重要的應用網路服務必須順利的提供給正確的對象,以及提供具安全保障的服務方式,但是當資訊服務的架構,因應網路問題或是系統資源需要進行調配時,資安的偵測規則仍然必須確定有效,而且能夠無縫轉移。

【多層次的全方位防禦】
資訊技術的發展也讓資安面臨新的挑戰,包括了近幾年的雲端服務、行動應用以及物聯網等新型態的資訊科技,結合網路的連結讓許多應用變得更容易實現,也更具有彈性,資安問題從來就不是單純的技術問題,如果單純使用資安技術就能夠解決的資安問題,其實並不是真正的資安問題,欠缺全方位的思維,以及全方位的防禦,往往為未來可能發生的資安事件留下了伏筆。

參考網站: