随着网络应用的发达与普及,企业互联网化的环境与应用也更加的广泛与成熟,网络已是各企业最重要的基础建设与营运沟通命脉。在复杂的网络环境中,大多数企业已建置防火墙等相关网络安全系统,其重点为防御外部使用者的攻击,然而对于内部使用者的行为则较少着墨。但是传统的资安思维在近几年中已有所改变,因为依据统计调查资料,企业资安事件只有5%是来自外面的攻击,而有80%是由内部产生,因此新型网安系统的行销重点慢慢趋向于如何防御与监控内部使用者的上网行为,并从而了解是否有攻击或非法行为隐藏其中。
若企业忧虑的只是内部使用者是否上了不该上的网站,倒还有部份解决办法,透过如安企神局域网监控软件等,即可做到很好的管理。然而若内部使用者的异常行为不是存取Internet上的资源,而是攻击企业内部的设备或其他内部使用者,现阶段几乎所有的网络布建方式都无法阻挡,此时网络管理人员唯一能做的就是持续观察网络相关设备与线路,收集不同的网络事件与告警,视其是否异常来判别是否可能有问题发生,例如观察主机、路由器、交换器的CPU与记忆体的使用率与线路流量,察看IPS、IDS、Firewall、VirusWall、SecureGateway等设备的告警事件。然而在开放的网络架构下,企业内部充斥着许多不同厂牌与不同类型的网络设备,使得网管人员每天需要操作各种的网管与监控软件、审视数万封各种的告警。然而即便网管人员努力地坚守岗位,还是常常在接到使用者反应后才知道问题发生了,因为太多未经关联整理过的资讯等于没有资讯,网管人员也不可能全天候都坐在电脑前持续操作监看各种网管与监控软件,所以网络管理人员若想确实做好网络安全的管理工作并不容易!(注二:但是现今3G上网普及,可能因此产生控管漏洞)当问题发生时才是网管人员的挑战开始。每种设备的告警讯息格式不相同,操作指令也各不相同,因此如何从网管软件或告警讯息中找出有问题的“点"就考验网管人员的功力了,尤其在解决问题的时间压力下,容易使人乱了手脚;最常看到的情况是—网管人员桌前都有一堆流程或小抄,将每种可能的问题SOP写下,若遇到较复杂的问题可能就需要同时整合4~5种流程来研判问题并加以解决。
然而解决问题的时间压力有时不仅仅是来自于公司或上级长官而是问题本身。我们以Slammer蠕虫为例,其在短短30分钟内在全世界感染了74855台电脑,因此若类似状况在企业内部发生,假设某种攻击或感染的扩散情形是每10分钟会由一个人扩散至十个人,那30分钟后,受感染的人数将达10^3=1000人!到此状况下对许多的管理人员而言,大概也不用太心急的去处理问题了,先将整个网络停摆以避免持续恶化扩大,再慢慢将正常与修复好的节点连回网络可能是较好的做法。
既然攻击或蠕虫传播等的扩散速度如此之快,是否就真的束手无策?是否有较好的防御方式?答案当然是有的。其实大部份的攻击都有一个特性,在攻击准备期间由于需确定那些是攻击目标,因此攻击或蠕虫会先做些扫瞄侦测的动作,此期间是不会攻击感染其他使用者的,但当准备动作完成后,其攻击感染的速度就非常惊人。我们以蠕虫传播模型为例,在启始准备阶段其攻击力为零,这阶段的期间到底多长依不同蠕虫或攻击而有所不同,大多在150到300秒之间,所以这3到5分钟的时间就是决胜关键了。周星驰的电影《功夫》中,火云邪神曾说过“天下武功,无坚不摧,唯快不破。"同样适用在网络攻防之中。攻击或蠕虫的传播速度非常快,确实很难破解防御,唯一能破解防御的方式就是比攻击或蠕虫更快,若能在蠕虫或攻击3到5分钟的启始阶段就将其侦测出来并进而将其排除隔离出网络,就能确保网络与设关设备安全无虞。
因此防御的第一步就是建立早期的侦测预警机制,否则等到终端使用者打电话通知网络出现问题时,大都已到攻击或蠕虫第二阶段末尾了。为何早期的侦测预警机制能侦测到攻击或蠕虫?如之前所说,攻击或蠕虫需先扫瞄网络以确定攻击或感染目标,因此这些特定的扫描封包有可能会散布到各个网段之中,透由IDS、IPS、FlowAnalyzer、SecureGateway等就有可能侦测到,但就算侦测到又能怎么办?以email或syslog通知网管人员?网管人员会随时待到电脑旁接收讯息?就算看到讯息,其通知格式可能只是告知某一IP可能有某种攻击行为,网管人员还要再依据此IP再找到所接相关设备再决定是否需要使用ACL阻隔或将交换器埠直接关闭?所以单纯只是依靠人力是不可能达成3到5分钟隔离攻击者这个目标的。唯有依靠系统自动化功能,从收集讯息到关联分析以确定攻击来源(可能是一个IP或MAC地址),并自动下指令将攻击来源隔离,才有可能实现。然而原理简单,但实做上却面临许多困难。讯息数百种,如何做关联分析以确定攻击来源是第一个挑战;知道攻击来源,是否需将其隔离是第二个挑战;就算要隔离,如何将其隔离是第三个挑战;如何让管理人员清楚了解相关状况是第四个挑战!
我们以隔离方式为例,现行隔离机制可使用IPACL、MACACL、SwitchPortShutdown、QuarantineVLAN、ARPSpoofing、IPSpoofing等,而攻击方式百百种,不同的攻击方式适用的隔离方式不同,因此系统支援那些隔离方式,如何判断该使用何种隔离方式就非常重要。
NetAxle公司推出的JetFish2系列中的NetIRS设备就是一款全功能型的资安管理设备,可收集syslog与trap做关联分析,其隔离机制支援IPACL、MACACL、SwitchPortShutdown、QuarantineVLAN、ARPSpoofing、IPSpoofing等并可自动判断以对攻击来源采取最佳隔离机制。
网管人员其实更关心的是第四个挑战,如何将无形的网络与资安相关状况清楚呈现出来。传统网管提供了部份功能,但只能针对网络设备。NetIRS将此功能更进一步扩充,使用全图形资讯化方式将所有关键资讯利用网页方式呈现。很难想像,网络安全管理居然就是移移滑鼠,点点左右键就完成了。更特别的是,由于是全网页式的管理平台,使用iPhone、iPad也可随时随地轻松控管!
筑牢安全防线:安企神企业助力特种设备机械企业数据防泄密解决方案
西安苛菲特机械设备有限公司 西安苛菲特机械设备有限公司致力于特种设备的发展,专业从事特种设备的研发、制造和销售。目前已成为有色冶金特种设备、大型船舶特种设备、煤化工特种设备的领军品牌,并在业内得到了“ 特种设备专家”的称号。公司以打造国内一流特种设备为使命,主要产品定型为高品质特种(高温、高压、高合金)流量控...
安企神软件——为中国铁道建筑集团有限公司筑牢数据防泄密系统
01公司介绍中国铁建是中国乃至全球最具实力、最具规模的特大型综合建设集团之一,入选世界500强企业、全球225家最大承包商之一等荣誉。公司以工程承包为主业,集勘察、设计、投融资、施工、设备安装、工程监理、技术咨询、外经外贸于一体,经营业务遍及除台湾省外全国31个省市(自治区)、世界20多个国家和地区,企业总资产820亿...
强化终端安全,安企神软件与涂料制造企业共创安全未来
西安经建油漆有限责任公司规模化、专业化、现代化涂料制造企业西安经建油漆有限责任公司,年涂料生产能力20万吨,为中国中西部实力较强、产能较大的涂料制造企业。公司成立伊始便积极承担起重点建设项目及国防军事工业、航空航天工业提供配套涂料科研开发及生产任务。多次受到中国航天科技集团总公司的通令嘉奖,为我国航天事业跻身世界前列做...
全球著名减震器制造商——天纳克携手安企神共筑安全制造新防线
天纳克(北京)汽车减振器有限公司天纳克(北京)汽车减振器有限公司成立于1995年,是天纳克在中国最早投资的合资企业。公司集设计、开发、生产及销售汽车减振器于一身。作为天纳克全球网络的一部分,能充分享受天纳克全球的技术积累经验和国际领先的设计理念,加之先进的生产设备和工艺技术。天纳克(北京)汽车减振器有限公司完全能保证为...
强强联合!安企神软件携手瀚颐共筑汽车行业终端安全防线
瀚颐上海汽车电子科技有限公司EAST瀚颐中国团队成立于2015年。是国际AUTOSAR软件联盟的研发伙伴单位。具备汽车电子硬件设计、软件开发、CAN网络集成、系统集成测试以及项目管理的全面研发能力。专注于汽车电子以及相关产业并拥有25年以上的专业经验,拥有来自于德国和中国业内专家和高管组成的顾问团队,并向全球汽车行业客...