iT邦幫忙

2019 iT 邦幫忙鐵人賽

DAY 2
2

網路安全監控(NSM)乃跡象與警告的集結、分析與提升,以便偵測和回應事件
Network security monitoring (NSM) is the collection, analysis, and escalation of indications and warnings to detect and respond to intrusions.
-Richard Bejtlich與 Bamm Visscher《實戰網路安全監控:入侵偵測與因應之道》

網路安全監控(NSM)目的

相信大家都有類似經驗:當自己向主管介紹一項新的技術/設備,主管常問「這個東西會阻止駭客入侵嗎?」 這種想法往往希望買很強大的設備,運用最新的技術(例如現在火紅的AI 人工智慧) ,建造厚實的網路城牆,打造堅固的虛擬堡壘,用Firewall, NGFW, IPS, UTM 等等把入侵者死死的檔在牆外。 但是觀察近幾年來的資安環境不難發現:建造完美防禦幾乎不可能。新的漏洞不斷被發現,入侵手段越來越複雜,花大筆預算建立網路城牆後,往往沒有餘力應付來自內部的威脅,甚至一但被入侵突破便可能全面失守,讓駭客在內網橫向移動感染系統、竊取資料或潛伏靜待日後發作。

NSM主要目的是偵測、找出入侵者,提高能見度。它建立在「我們一定會被攻擊,而且最終防禦一定會被突破」的思惟上。假設意志堅決的駭客最終打穿我們辛苦建立的防禦,但只要能在入侵者進一步破壞、感染系統前偵測、做出回應,讓入侵者無法達到目的,便能阻擋這波攻擊;而且入侵者也很聰明,用複雜的手法入侵系統後,並不一定會馬上造成破壞或偷取資料,可能有一段潛伏期,慢慢橫向移動繼續入侵更重要的系統,甚至一點一滴的竊取資料,運用種種手法防止被偵測,刪除入侵紀錄。若沒有足夠能見度,當系統被入侵了仍渾然不知,又怎麼阻擋、預防呢?

資訊安全為主的監控

一般網路監控運用例如SNMP(Simple Network Management Protocol,簡易網路管理協定)來定期查詢設備取得資訊,或是讀取設備日誌LOG進行分析,或者收集FLOW DATA 如Netflow, sFlow, JFlow 等等,藉由監測端點和流量來發現異常狀態,好比看著電話帳單,研究來電者和接聽者是否正確(source / destination)?是否用對設備接聽(protocol/port)?電話頻率是否在基準範圍左右(baseline)?但是網路安全監控需要蒐集更多更詳細的資料,才能讓偵測工具分析、檢視。這些資料包括:

  • 全文 Full content
  • 提取內容 Extracted content
  • Session 資料 Session data
  • 處理資料 Transaction data
  • 統計資料 Statistical data
  • 元資料Metadata
  • 警告資料 Alert data

一般網路監控從metadata下手,不會深入full content或extracted content等等資料;而SIEM﹝Security Information and Event Management,安全資訊和事件管理﹞平台主要處理警告資料。NSM不是等接收IDS/IPS等等資安設備觸發警示後才開始收集,而是平時便預先主動收集資料,提供NSM平台審視、分析,強化可見度,主動找出入侵軌跡。所以NSM可說是一個「透過提高能見度,強化偵測,縮短反應時間」來阻止駭客入侵的方案。

https://ithelp.ithome.com.tw/upload/images/20181017/20084806zUIFyR0R2D.jpg
LEGO version of Theramore, built by Mark Erickson.


上一篇
NSM 01: 前言
下一篇
NSM 03: 網路安全監控概論之二
系列文
學習網路安全監控的30天30

2 則留言

0
beckedc
iT邦新手 4 級 ‧ 2018-10-17 11:39:58

/images/emoticon/emoticon12.gif

期待下一篇 ~

Sergeyau iT邦研究生 4 級‧ 2018-10-19 10:46:43 檢舉

請多指教

0
SunAllen
iT邦好手 1 級 ‧ 2018-10-17 12:16:46

等待下一篇啊/images/emoticon/emoticon31.gif

Sergeyau iT邦研究生 4 級‧ 2018-10-19 10:46:36 檢舉

請多指教

我要留言

立即登入留言