於上一篇Google講師安排了將目前常見的攻擊方式,包括後門及封包攔截經由各種方式入侵,最為主要的仍舊是透過不安全的環境,包括作業系統、應用程式、上網的各種行為、防火牆設定的規則不夠嚴謹,組織內員工行為..等方式入境企業內容。這些都是威脅的來源,所以於前幾篇有提到多個目前業界常用的管理架構與稽核項目,主要就是經由這些檢查的內容將企業內的保護更佳強化,管理及降低被入侵的風險。
今日Google講師的規劃是針對這些威脅該如何降低提出了安全分析師對於資安的職責內容,及作業系統強化的重點項目,網路除了主動的防火牆、路由器設置規則外,一些針對日常封包主動偵測及維護作業提出了建議,讓我們看看講師所安排的內容吧。
安全強化的重要性
安全分析師和其組織必須主動保護系統,這是安全強化的核心所在。
定義:安全強化是加強系統以減少其漏洞和攻擊面的過程。
攻擊面:指威脅行為者可能利用的所有潛在漏洞。
安全強化的比喻:網路可比作房子,攻擊面就像房子的所有門窗,強化過程就像將這些門窗上鎖,減少入侵的機會。
安全強化的常見措施
一個不安全的作業系統可能會導致整個網路遭受攻擊。
作業系統的安全強化實踐
補丁更新的重要性
基線配置的意義
硬體與軟體的處置
強密碼策略
**定期執行任務 **
一次性執行任務
SIEM 工具
總結
網路強化是保障網路安全的重要一環。透過定期執行和一次性執行的任務,以及使用SIEM工具,可以有效地降低網路受到攻擊的風險。
重點
您將了解用於保護網路安全的四種設備的作用:防火牆、入侵偵測系統、入侵防禦系統以及安全事件和事件管理工具
** 防火牆 **
到目前為止,在本課程中,您已經了解了無狀態防火牆、有狀態防火牆和新一代防火牆 (NGFW) 以及它們各自的安全優勢。
大多數防火牆的基本功能都是相似的。防火牆根據一組規則允許或阻止流量。當封包進入網路時,將根據其連接埠號碼檢查封包標頭並允許或拒絕。 NGFW 也能夠檢查資料包有效負載。每個系統都應該有自己的防火牆,無論網路防火牆如何。
** 入侵防禦系統 (IPS) Intrusion Prevention System **
是一種監視系統活動是否存在入侵活動並採取措施阻止該活動的應用程式。它比 IDS 提供更多的保護,因為它會在檢測到異常時主動停止,而 IDS 則只是將異常報告給網路管理員。
IPS 搜尋已知攻擊和資料異常的特徵。 IPS 向安全分析師報告異常情況,並阻止特定的發送者或丟棄可疑的網路封包。
** IDS (Intrusion Detection System,入侵偵測系統) **
IDS是一種網路安全工具,主要用於監控網路流量,分析是否有潛在的安全威脅或異常行為發生。它會根據已知的威脅模式或異常行為,對可疑活動發出警告或報告,但不會主動阻止攻擊。這與 IPS(入侵防禦系統)不同,IPS 不僅會檢測到威脅,還會主動攔截攻擊。
IDS 的功能
為何 IDS 在 Switch 後方運作
在這張圖中,IDS 被部署在 Switch 後方(LAN 內部網路的出口),其原因有幾個:
監控內部網路流量
Switch 連接了 LAN 內的所有主機,放置在此位置的 IDS 可以有效監控所有內部的網路流量,檢測是否有來自內部主機的異常行為或潛在的攻擊。例如,內部員工誤點擊釣魚郵件、惡意軟體橫向傳播等,IDS 都可以監測到。
識別內外部威脅:由於流量在進入防火牆和路由器之前經過 Switch,IDS 在此位置可以識別內部網路與外部網路之間的互動,幫助識別來自內外的潛在威脅。
減少負載:如果 IDS 放在網路邊界的防火牆之前(直接面對來自網際網路的大量外部流量),會導致處理過多的非目標流量,而 Switch 後方的流量通常是經過過濾、相對較少的目標性流量,這可以減少 IDS 的負載,提升效率。
更易監控:放置在 LAN 與 Switch 之間能夠更全面地監控進出內部網路的流量,而不僅僅是針對外部攻擊,這對內部威脅的偵測尤為重要。
IDS 通常會部署在 Switch 後方,因為它能夠全面監控內部網路的流量並檢測潛在的威脅,同時降低處理過多外部流量的壓力。通過及時報告異常行為,IDS 可以協助管理員快速應對可能的入侵威脅。
** 資訊和事件管理系統 (SIEM) **
完整的資料包擷取設備對於網路管理員和安全專業人員來說非常有用。這些設備可讓您記錄和分析透過網路傳輸的所有資料。它們還可以幫助調查 IDS 建立的警報。
安全資訊和事件管理系統 (SIEM)是一種收集和分析日誌資料以監視組織中關鍵活動的應用程式。 SIEM 工具即時運作,在集中儀表板中報告可疑活動。 SIEM 工具還可以分析來自 IDS、IPS、防火牆、VPN、代理程式和 DNS 日誌的網路日誌資料。 SIEM 工具是一種聚合安全事件資料的方法,以便將所有資料顯示在一個地方供安全分析師進行分析。
Chronicle ,您可以查看 Google Cloud 的 SIEM 工具 Chronicle 中的儀表板範例。Chronicle是一款雲端原生工具,旨在保留、分析和搜尋資料。
** Splunk **
是另一個常見的 SIEM 工具。 Splunk 提供不同的 SIEM 工具選項:Splunk Enterprise 和 Splunk Cloud。這兩個選項都包含詳細的儀表板,可協助安全專業人員查看和分析組織的資料。還有其他類似的 SIEM 工具可用,對於安全專業人員來說,研究不同的工具以確定哪一種對組織最有利非常重要。
SIEM 工具不會取代安全分析師的專業知識,也不會取代本課程中介紹的網路和系統強化活動的專業知識,但它們可以與其他安全方法結合使用。安全分析師通常在安全營運中心 (SOC) 工作,在那裡他們可以監控整個網路的活動。然後,他們可以利用自己的專業知識和經驗來確定如何回應儀表板上的信息,並決定事件何時滿足升級到監督的標準。
重點
這些設備或工具的購買、安裝和維護都需要花錢。組織可能需要雇用額外的人員來監控安全工具,就像 SIEM 的情況一樣。決策者的任務是根據組織的成本和風險選擇適當的安全等級。您將在課程後面了解有關選擇安全等級的更多資訊
保護雲端安全
在本課程的前面部分,我們向您介紹了雲端運算。雲端運算是一種允許方便且按需網路存取可配置運算資源共享池的模型。這些資源可以透過最少的管理工作或與服務提供者的互動來配置和釋放。就像其他 IT 基礎架構一樣,雲端基礎架構也需要受到保護。本閱讀內容將解決雲端特有的一些主要安全注意事項,並向您介紹用於雲端安全的共享責任模型。許多使用雲端資源和基礎設施的組織對其資料和資源的隱私表示擔憂。這個問題可以透過密碼學和其他附加安全措施來解決,這將在本課程後面討論。
雲端安全注意事項
許多組織選擇使用雲端服務,因為這些選項易於部署、部署速度快、節省成本且可擴展。雲端運算帶來了網路安全分析師需要注意的獨特安全挑戰。
身分存取管理
* 身分存取管理 (IAM)是幫助組織管理其環境中的數位身分的流程和技術的集合。該服務還授權用戶如何使用不同的雲端資源。組織在使用雲端時面臨的常見問題是雲端使用者角色的鬆散配置。不正確配置的使用者角色會允許未經授權的使用者存取關鍵的雲端操作,從而增加風險。
配置
攻擊面
*雲端服務提供者 (CSP) 以低成本為組織提供大量應用程式和服務。 網路上的每個服務或應用程式都有自己的風險和漏洞,並增加了組織的整體攻擊面。必須透過增強安全措施來補償增加的攻擊面。 利用許多服務的雲端網路為組織的網路引入了許多入口點。然而,如果網路設計正確,利用多種服務不會在組織的網路設計中引入更多的入口點。這些入口點可用於將惡意軟體引入網路並造成其他安全漏洞。值得注意的是,與傳統的本地網路相比,通訊服務提供者通常會採用更安全的選項,並且經過更多的審查。
零時差攻擊
對於使用雲端或傳統本地網路解決方案的組織來說,零時差攻擊是一個重要的安全考慮因素。零時差攻擊是一種以前未知的漏洞。 CSP 更有可能先於傳統 IT 組織了解零時差攻擊的發生。 CSP 有辦法修補虛擬機器管理程式並將工作負載遷移到其他虛擬機器。這些方法可確保客戶不會受到攻擊的影響。還有多種工具可用於組織可以使用的作業系統層級的修補程式。
可見性和追蹤
網路管理員可以透過本地網路和雲端網路存取透過網路的每個資料包。他們可以嗅探和檢查資料包,以了解網路效能或檢查可能的威脅和攻擊。 這種可見性也透過串流日誌和工具(例如資料包鏡像)在雲端中提供。 CSP 負責雲端中的安全,但他們不允許使用其基礎架構的組織監控 CSP 伺服器上的流量。許多 CSP 提供強大的安全措施來保護其基礎設施。儘管如此,對於習慣完全存取其網路和營運的組織來說,這種情況可能會令人擔憂。雲端服務供應商支付第三方審核費用,以驗證雲端網路的安全性並識別潛在的漏洞。審計可以幫助組織確定任何漏洞是否源自於本地基礎設施以及其 CSP 是否存在任何合規性錯誤。
雲中的事物變化很快
CSP 是努力跟上科技進步的大型組織。對於習慣於控制對其網路進行的任何調整的組織來說,這可能是一個需要應對的潛在挑戰。雲端服務更新可能會影響使用它們的組織的安全考量。例如,連線配置可能需要根據 CSP 的更新進行變更。
使用 CSP 的組織通常必須更新其 IT 流程。組織可以繼續遵循變更、配置和其他安全注意事項的既定最佳實踐。但是,組織可能必須採用不同的方法來適應 CSP 所做的變更。
雲端網路提供了各種可能對小公司有吸引力的選項,而這些選項是他們永遠無法在自己的場所建立的。然而,重要的是要考慮到每項服務都會增加組織安全性設定檔的複雜性,並且他們將需要安全人員來監控所有雲端服務。
共享責任模型確保 CSP 和使用者都同意他們的安全責任從哪裡開始和結束。當組織認為 CSP 正在處理他們並未負責的安全性時,就會出現問題。雲端應用程式和配置就是一個例子。 CSP 負責保護雲端的安全,但組織有責任確保根據其組織的安全要求正確配置服務。
之前有談論到CSF概念,下面將說明實際施作的要點
這些核心功能幫助組織管理網路安全風險,實施風險管理策略,並從先前的錯誤中學習。基於此框架的計畫應不斷更新,以領先於最新的安全威脅。核心功能有助於確保組織免受潛在威脅、風險和漏洞的影響。每個功能都可用於提高組織的安全性:
識別:透過定期審核內部網路、系統、設備和存取權限來管理安全風險,以識別潛在的安全漏洞。
保護:透過實施有助於減輕網路安全威脅的政策、程序、培訓和工具,制定保護內部資產的策略。
偵測:掃描潛在的安全事件並提高監控能力,以提高偵測的速度和效率。
回應:確保使用適當的程序來遏制、消除和分析安全事件,並對安全流程實施改進。
復原:使受影響的系統恢復正常運作並恢復受事件影響的系統資料和資產。
針對五個核心職能中的每一個需要提出的一些問題包括:
確認
建立需要保護的組織系統、流程、資產、資料、人員和能力的清單:
技術/資產管理:哪些硬體設備、作業系統和軟體受到影響?追蹤通過內部網路的攻擊流程。
流程/業務環境:哪些業務流程在攻擊中受到影響?
人員:誰需要存取受影響的系統?
探測
使用偵測威脅和攻擊所需的工具設計和實現系統:
異常和事件:可以使用哪些工具來偵測異常和安全事件並向 IT 安全人員發出警報,例如安全資訊和事件管理系統 (SIEM) 工具?
安全持續監控:需要哪些工具或 IT 流程來監控網路安全事件?
偵測過程:需要什麼工具來偵測安全事件,例如IDS?
回應
設計應對威脅和攻擊的行動計畫:
回應計畫:需要實施哪些行動計畫來應對未來類似的攻擊?
溝通:如何在組織內部以及與受攻擊直接影響的人員(包括最終使用者和 IT 員工)溝通安全事件回應程序?
分析:針對類似的攻擊應採取哪些分析步驟?
緩解措施:可以使用哪些回應步驟來減輕攻擊的影響,例如離線或隔離受影響的資源?
改進:未來需要進行哪些改進來改進回應程序?
恢復
制定計劃並實施用於恢復和恢復受影響的系統和/或資料的框架:
恢復計畫:攻擊後如何恢復資源?
改進:目前的復原系統或流程是否需要進行任何改進?
溝通:如何在組織內部以及與直接受攻擊影響的人員(包括最終使用者和 IT 員工)溝通恢復程序?
總結來說,現今企業面臨的資安威脅主要來自於不安全的環境、系統漏洞、員工行為等多方面。為了應對這些威脅,Google講師提出了多項資安強化措施,包括軟體更新、配置管理、移除不必要的服務,以及透過滲透測試識別漏洞。作業系統和網路的強化實踐也同樣重要,尤其是定期進行補丁更新、強密碼策略、加密資料及網路分段。此外,使用防火牆、IPS、IDS及SIEM等工具來防範和監控網路攻擊,也是有效降低企業風險的關鍵策略。
到目前的課程安排,已經將相關的理論架構及網路基本個概念作初步的說明了,於下一章潔開始,進入了技術相關的內容了,會開始解說作業系統及SQL,讓讀者能透過課程實際操作與了解指令。