網路防護的類型有哪些?

您所建置的網路防護類型應該視威脅的情勢而定,包括當前的歹徒、威脅管道、漏洞等等。根據這些因素來決定您的網路環境該建置哪些資安控管來降低受到網路攻擊的機會和衝擊。

網路防護的類型

網路環境所建置的資安防護應根據今日以及未來的威脅情勢發展而定,這一點對家庭、企業或服務供應商的網路皆適用。

有效的網路防護須考量到已知的漏洞、駭客與其他歹徒,以及網路攻擊當前的發展趨勢。您必須完全掌握您企業暴露在外的所有資產設備,以及它們可能如何遭到入侵,才能有效建置適當的網路防護。

威脅情勢

威脅情勢或外在環境包括了許多您必須掌握並了解的重要因素。如此,您才能具備採取適當行動的所需知識。

讓我們先從歹徒談起,這些是發動攻擊及入侵系統的不肖分子。這些不肖分子是一些個人或團體,他們各有其目的,視其類型而定。

  • 網路恐怖攻擊專門攻擊一些國家基礎設施來打擊某個國家,例如攻擊該國的電力網。
  • 國家級駭客,其攻擊動機是為了服務他們的政府,他們會攻擊另一國的政府機構來達成其國家的某種目的。
  • 組織型犯罪或網路犯罪集團是為了賺錢,對他們來說,這是一份工作,或是一份收入來源。他們透過無形而非有形的方式竊取企業的財產。
  • 駭客激進分子想要的是傳達某種訊息,他們也是透過無形方式攻擊企業。
  • 初階腳本駭客通常使用別人開發的攻擊工具,他們不具備發動網路攻擊的知識,只能利用這類工具。
  • 內賊是企業內部的員工,通常是因為某種原因而想要報復公司。

威脅管道

威脅管道是指攻擊所採取的途徑,這有時相當單純,歹徒可能只是利用簡單的社交工程技巧來讓別人幫忙開門好讓他們進入一棟建築。有時則相當複雜,而且需要具備相當的技能才辦得到。

比方說,駭客經常在攻擊的一開始先使用一種名為網路釣魚的社交工程技巧。當使用者掉入網路釣魚郵件的陷阱,其系統就會被安裝惡意軟體,該軟體會在系統上開啟後門讓駭客進入。駭客會經由此後門來存取系統,搜尋系統上的資源,或者在網路內四處遊走。

漏洞

漏洞是某種技術當中存在的弱點或缺陷,可能出現漏洞的技術包括防火牆、防毒軟體、惡意程式防護等資安產品,同時也包括一般的端點裝置,如:伺服器、工作站、筆記型電腦、攝影機、恆溫控制器、電冰箱等等。此外,還包括像路由器與交換器這類網路裝置。漏洞主要分成三大類:

  1. 已知且已經修正或修補的漏洞 (N-day 漏洞)。
  2. 已知但尚未修正或修補的漏洞 (N-day 漏洞)。
  3. 未知的漏洞 (0-Day 漏洞)。

 

有些網站 (例如 MITRE) 專門蒐集並記錄前兩種漏洞,並將這些漏洞會列入其「Common Vulnerabilities and Exposures (CVE)」(通用漏洞揭露) 清單。而美國國家標準與技術局 (National Institute of Standards and Technology,簡稱 NIST) 的一個網站也蒐集了一份名為「National Vulnerability Database (NVD)」(國家漏洞資料庫) 的已知漏洞清單。

您可藉由掃描您的網路來發掘您網路上是否存在漏洞。一些不錯的工具,例如 Tenable 公司的 Nessus 漏洞掃描工具可自動將發現到的軟體與已知的漏洞資料庫做連結。漏洞掃描報告也會指出一些疑似漏洞但不確定是否可能被攻擊的問題。接下來再確認這些問題可否從網路上攻擊,並採取措施來保護系統。

例如,如果您網路上有一台 Microsoft Windows Server 2019 伺服器,漏洞掃描工具應該會發現這台伺服器可能含有 Zerologon 漏洞。掃描工具首先會發現這台 Windows Server 2019 伺服器,接著會搜尋已知的漏洞資料庫。

此時就會發現一個 NIST 稱為 Zerologon 的 CVE,它可讓駭客取得不當的權限。這個 CVE 在 Common Vulnerability Severity Score (CVSS) 漏洞嚴重性評分系統中的分數是滿分 10 分,也就是最嚴重等級的漏洞,因此必須立即解決。CVE 的網頁提供了一些資安公告、解決方案與工具的連結。同時也連結至 Common Weakness Enumeration (CWE) 網頁來提供更多攻擊相關的資訊。

紅藍對抗

企業有許多不同的工具和方法可用來測試其網路的漏洞。其中一種方法就是對企業發動模擬攻擊,也就是所謂的「滲透測試」。企業可聘請一些善良駭客來從事這項工作。

善良駭客會一邊攻擊網路,一邊發掘網路的漏洞。這些善良駭客之所以有別於一般駭客,是因為他們是經過授權來攻擊系統。他們會證明網路是否存在著 CVE 上所列的漏洞,或是發掘一些組態設定問題,甚至是未知的漏洞。

有一種執行滲透測試的方法稱為「紅藍對抗」(red teams and blue teams)。紅隊使用實際的駭客工具來試圖突破現有的網路防線。籃隊則扮演事件應變小組,使用既有的事件應變計畫 (或教戰手冊) 來回應進行中的攻擊。

當這兩個團隊共同合作執行滲透測試時,效果會比一般標準滲透測試更好。紅隊可以發現漏洞,藍隊則有機會練習回應。由於企業的網路總有一天會遭到真正的駭客所攻擊,所以讓事件應變團隊預先做好準備相當重要。而練習是達到這項目標的重要關鍵。

防範、偵測、回應

網路防護的首要目標就是防範攻擊。然而當攻擊真正發生時,第一件事就是要能夠偵測。一旦發現攻擊之後,接下來最重要的就是要能夠回應:檢查和評估損害、了解受害範圍、修補漏洞,或是調查攻擊的執行路徑。這整套流程通常稱為「防範、偵測、回應」(PDR)。

防範

防範工作包括採用一些資安控管來強化系統防禦,強化的方式包括:

  • 修補系統。
  • 移除預設帳號 (如果可以的話)。
  • 變更預設的密碼 (如果無法移除預設帳號的話)。
  • 關閉不必要的連接埠。
  • 停用或移除不必要的服務。
  • 增設一些資安控管,如:惡意程式防護軟體與防火牆。

偵測

偵測工作主要是透過記錄檔,像入侵偵測 (IDS) 這樣的系統,可監控流量並記錄下可疑的活動。接著再將記錄下來的活動傳送至一個 Syslog 伺服器。然後利用資安事件管理 (SIEM) 系統來交叉關聯及分析記錄檔,並在偵測到入侵指標 (IoC) 時發出警示以通知資安人員。收到通知之後,資安部門或事件應變團隊應採取一些動作來確認是否真的遭到入侵,同時並矯正環境來避免同樣的事件再次發生。

回應

回應的動作有時只是單純地下載修補更新到系統上,但也有需要花費許多力氣的時候。有時必須分析防火牆、入侵防護 (IPS)、路由器,以及所有其他網路與防護軟體和裝置目前的組態設定,來查出到底哪個環節設定不正確。

還有些時候必須在網路上增加一些新的或不同的防護工具來回應,而這將是一個牽涉廣泛的過程,而且需要一套妥善規劃。

相關文章

相關研究