網絡防護有哪些類型?

您採用的網絡防護種類應該根據威脅情勢而定,包括面對的攻擊者、攻擊媒介及漏洞。您可以根據這些資料選擇應用哪些管控到網絡環境,以減低攻擊的可能性及所造成的衝擊。

網絡防護的類型

包含在網絡環境的保安應該根據現時存在的威脅情勢及預測日後的情勢而定,這適用於家居、商界及服務商的網絡。

有效率的網絡防護會考慮已知的漏洞、黑客或其他攻擊者,與及現時攻擊的趨勢。要適當地在網絡加入保安,您必須了解機構內所有可能被攻擊的資產,與及它們的可能入侵途徑。

威脅情勢

威脅情勢或環境包括很多需要識別及了解的重要原素,讓您擁有充份知識採取適當行動。

讓我們從攻擊者開始看,他們是入侵系統發動攻擊的人。惡意攻擊者可以是個人或團體,而視乎攻擊者的種類,他們的目的都會有所不同。

  • 網上恐怖份子會攻擊國有關鍵資產以對國家造成損害,例如他們會攻擊一個國家的電網。
  • 國家支持的攻擊者會代表其政府向其他政府發動攻擊,目的為推動本國的立場。
  • 有組織的網絡歹徒則以牟利為目標,他們會視之為一份工作或收入來源。這些歹徒會以數碼方式進行盜竊,而不是透過實體方式犯案。
  • 激進黑客有他們要表達的訊息,他們一般會具邏輯性地攻擊公司機構。
  • 脚本小子會利用其他人的攻擊工具,而沒有這些工具他們亦不會懂得如何進行攻擊。
  • 內鬼是那些在企業內部工作的人士,目的是對僱主造成損害。

威脅媒介

威脅媒介是攻擊時採取的路徑。它可以簡單至攻擊者要求某人打開公司的一道實體門讓他進入大廈,這亦是基本的社交工程手法。它亦可以是很複雜的,需要採取不同技巧來進行。

例如,利用釣魚這種社交工程手法進行攻擊。用戶如果打開釣魚電郵,就會在系統上安裝惡意程式,並在系統打開一個後門。黑客然後會利用這後門進入系統及瀏覽其內容,或是在網絡內橫向移動。

漏洞

漏洞是存在於技術內的弱點或缺陷,保安產品如防火牆、防毒軟件及反惡意程式軟件,一般用戶端裝置如伺服器、工作站、手提電腦、相機、恆溫器及雪櫃,與及網絡裝置如路由器及交換器都可能含有漏洞。漏洞大致分為三類:

  1. 已知漏洞並已有解決方法或補丁(n 時差)
  2. 已知漏洞但未有解決方法或補丁(n 時差)
  3. 未知漏洞(零時差)

 

包括 Mitre 在內的機構會記錄首兩種漏洞,並會將之列在通用漏洞披露(CVE)名單之內。美國國家標準暨技術研究院(NIST)亦有一個名為國立漏洞數據庫(NVD)的網站列出已知漏洞。

您可以在網絡上進行漏洞掃瞄來找出漏洞。優質工具如 Tenable 的 Nessus 可以自動將發現的軟件連接至已知漏洞數據庫。漏洞掃瞄會報告可疑的漏洞,但不會確認它們是否可被入侵。因此下一步就是要確定它們會否在網絡上被入侵,並採取行動保護系統。

例如,假如您的網絡上裝有 Microsoft Windows Server 2019,漏洞掃瞄就會發現 Zerologon 這個影響伺服器的問題。掃瞄會先發現網絡上有 Windows Server 2019,然後會搜查數據庫以找出已知漏洞。

掃瞄應該可從 NIST 找出一個名為 Zerologon 及可容許不適當權限的 CVE。這 CVE 在通用漏洞嚴重性評分(CVSS)的最高 10 分中被列為 10 分,表示它的情況最嚴重及必須立即處理。這個 CVE 網頁亦包括建議、解決方法及工具。它亦指向通用缺陷列表(CWE)網頁,以提供更多關於此攻擊的資料。

紅隊(進攻)及藍隊(防守)演練

企業可以採用很多不同工具及方法來測試網絡的保安漏洞,其中一種就是模擬攻擊企業,又名為滲透測試(pen test)。企業會僱用道德黑客來進行此測試。

當道德黑客攻擊網絡時,他們會發現網絡的獨特漏洞。道德黑客是取得許可對系統進行攻擊,因此其行動是合乎道德要求的。他們會證實網絡上是否存在列於 CVE 名單上的漏洞,亦可能發現錯誤配置或未知漏洞。

其中一個滲透測試方式是以紅隊(進攻)及藍隊(防守)的方式進行。紅隊採用入侵工具來嘗試攻破現有網絡的防禦,而藍隊則是事故回應團隊,會使用已有的事故回應計劃或行動指南來回應活躍的攻擊。

兩個團隊合作進行滲透測試比標準的滲透測試成效更大。紅隊會發現漏洞,而藍隊則可練習回應行動。由於網絡會被真正黑客攻擊,事故回應團隊須隨時準備好回應,因此練習是極為關鍵。

防範、偵測、回應

網絡防護的首要目標就是防範攻擊。當發生攻擊時,第一步就是要將之偵測出來;而在發現攻擊後,最重要的就是要進行回應。包括分流及評估破壞,了解攻擊程度,與及補丁漏洞或修補被用作攻擊的渠道。這程序一般被稱為防範、偵測與回應(PDR)。

防範

防範包含強化系統及以保安管控提供防護,而強化系統包括:

  • 補丁系統
  • 盡可能移除預設帳號
  • 假如不能移除預設帳號,更改預設密碼
  • 關閉不必要的連接埠
  • 關閉或移除不必要的服務
  • 加入更多管控,如反惡意程式軟件及防火牆

偵測

偵測主要透過目錄進行,因為像入侵偵測系統這類系統都會監察網絡流量及記錄可疑活動,並將活動記錄發送至 syslog 伺服器。保安資訊及事件管理系統(SIEM)會關聯及解析警告保安團隊出現入侵指標(IoC)的目錄,而保安部門或事故回應團隊會採取行動確認是否真正被入侵,並修改環境防止事件再次發生。

回應

回應行動可能簡單至下載補丁至一個系統,但亦可能涉及很多工序。它可能包括分析現有防火牆、入侵防禦系統、路由器及其他網絡與保安軟件和裝置,以找出它們有否錯誤配置。

回應可以是加入全新或不同的保安工具至網絡之上,或是包括重新建構業務計劃的大規模程序。

相關資料

相關研究