【21】資安的原罪 ch.3-3.c 防火牆與防毒軟體

本章見證保護電腦的基本產品。

什麼是防火牆

防火牆是一種用來監控和控制進出網路流量的安全系統。它的目的是保護你的裝置（電腦、智慧型手機等）或網路，防止未經授權的存取和惡意活動。

防火牆的類型：

• 硬體防火牆：置於網路與互聯網之間的實體設備，用來過濾流量並阻擋惡意資料。
• 軟體防火牆：安裝在個別電腦或裝置上，作為裝置與互聯網之間的屏障來控制流量。
• 雲端防火牆：用於保護雲端服務和數據，通常更具擴展性，適合大型網路使用。

🔄 有狀態與無狀態防火牆：

✅ 有狀態防火牆（Stateful Firewall）

從內部網路發出一個 HTTP 請求到網站，回應的資料會被視為「這個連線的合法回覆」，防火牆會自動放行。

• 能夠記住並追蹤每個連線的狀態（例如：已建立、正在進行中、關閉等）。
• 分析整個連線的上下文，而不只是單一封包。
• 能自動允許合法的回應流量（例如：你連上網站後，回傳的資料會被允許）。
• 安全性更高，適合複雜網路環境。

❌ 無狀態防火牆（Stateless Firewall）

即使回應是合法的，如果沒有明確設定放行，無狀態防火牆也可能會把它擋下來。

• 不追蹤連線的狀態，只根據靜態規則對每個資料封包單獨判斷。
• 無法區分這個封包是新的連線，還是現有連線的回應。
• 通常設定上需要同時允許「請求」與「回應」方向的流量。
• 效能較高但安全性較低，適用於簡單或特定的網路環境。

有狀態防火牆就像一位守門人，記得你剛進去時的樣子，如果你回來了，他會認出你並讓你進。
無狀態防火牆則像一位不記人的保全，每次都要你出示證件，不論你是不是剛從裡面出來。

🔐 防火牆政策（Firewall Policy）

防火牆的核心功能是依據一套規則（Policies）來判斷哪些網路流量應該被允許（Allow）、拒絕（Deny）或封鎖（Block）。這些規則可以非常細緻，根據多種條件進行判斷，例如：

• IP 位址（來源或目的地）
• 網段（如 192.168.1.0/24）
• 通訊埠（Port，如 HTTP 的 80，HTTPS 的 443）
• 協定（如 TCP、UDP、ICMP）

📋 黑名單（Blacklist）與白名單（Whitelist）

這兩種是最常見的防火牆存取控制策略：

✅ 白名單（Whitelist）

僅允許在清單上的對象，其餘全部封鎖。

• 用途：只讓特定 IP、裝置或應用可以連接。

• 好處：安全性高，因為所有非列名的流量都會被封鎖。

• 範例：

  • 只允許公司內部的 IP 存取內部系統。
  • 只讓特定的國家或地區的 IP 存取網站。

❌ 黑名單（Blacklist）

封鎖清單上的對象，其餘允許通過。

• 用途：阻擋已知的惡意 IP、來源或應用程式。

• 好處：較為彈性，適合應對已知威脅。

• 範例：

  • 封鎖某些國家的 IP。
  • 阻擋特定惡意軟體的通訊端口或協定。

✨ 結合策略使用

在實務中，防火牆通常會同時使用白名單和黑名單，例如：

• 白名單：只允許公司內部 IP 存取資料庫。
• 黑名單：封鎖知名惡意 IP，避免攻擊。

這樣可以在不犧牲便利性的情況下，大幅提升網路安全性。

什麼是代理防火牆

代理防火牆（也稱為應用層閘道器）是一種應用層防火牆，它透過在使用者（或裝置）與網際網路之間充當中介來運作。它不會直接將請求轉發到目的地，而是代表使用者進行代理或轉送請求。這種方式在應用層上提供了額外的安全防護層，能過濾請求以提升安全性。

代理防火牆的主要概念：

1. 應用層過濾：

   • 傳統防火牆通常在網路層（如IP、TCP/UDP）運作，而代理防火牆則在應用層（如HTTP、FTP等）工作。這表示代理防火牆能檢查實際交換的數據內容（例如網頁請求、電子郵件內容），而不只是看標頭或元數據。

2. 更細緻的流量控制：

   • 由於代理防火牆能深入檢查流量內容，因此它提供更高的力度來控制和過濾應用程序。例如，可以阻擋特定網頁、限制某些服務的使用（如聊天或影片串流），或防止下載符合已知惡意軟體模式的檔案。

3. 匿名性與隱私：

   • 代理防火牆可以隱藏使用者的IP地址，讓外部伺服器無法直接看到用戶的真實IP。
   • 這對於安全瀏覽尤其有用，可以隱藏身份或避免被追蹤。

4. 隔離作用：

   • 代理防火牆位於內部網路與外部網路之間，能隔離內部網路免於直接暴露於互聯網，防止客戶端與伺服器直接通訊，提供額外保護層。

工作原理：

• 攔截請求
  當使用者或設備想要連接網際網路時，會先將請求送到代理防火牆，而非直接連接到目的伺服器。

• 檢查流量
  代理防火牆會檢查這些請求（有時甚至會檢查內容），以確保符合安全政策。

• 轉送請求
  如果請求被允許，代理防火牆會代表使用者向目的伺服器發出真正的請求。伺服器回應後，代理防火牆再將回應轉發給使用者。

• 無直接連線
  使用者的設備不會與目的伺服器有直接連線，所有通訊都是經由代理防火牆轉送。這樣做可以隱藏使用者的身份及內部網路結構，提升安全性。

代理防火牆的類型：

1. 正向代理（Forward Proxy）：

   • 最常見的代理防火牆形式，代表客戶端或內部網路代為發送請求到目標伺服器。它還可以快取內容以提升效能，並阻擋惡意網站的訪問。

2. 反向代理（Reverse Proxy）：

   • 反向代理代表伺服器或網路服務，處理來自外部用戶的請求，並將其轉發給適當的內部伺服器。這種代理能提供負載平衡、網頁加速，以及隱藏內部伺服器結構等安全功能。

🛡️ 什麼是防毒軟體？

防毒軟體是一種用來偵測、預防和移除惡意軟體（Malware）的安全工具。大多數現代防毒軟體會在背景持續運作，主動掃描系統中的檔案與活動，防止病毒、木馬、間諜程式等惡意軟體入侵裝置。

當偵測到可疑檔案或行為時，防毒軟體通常能夠採取以下動作：

• 🔒 隔離：將可疑檔案與系統其他部分隔離，防止其執行或擴散。
• 🗑️ 刪除：移除確認為惡意的檔案或程式。
• 🛠️ 修復：若可能，修復已被感染或損壞的檔案。

🔍 常見的惡意軟體的偵測方式

特徵碼偵測（Signature-based Detection）

• 利用一個包含已知惡意軟體特徵碼（Signature）的資料庫。
• 掃描目標檔案，並比對是否符合已知惡意程式的模式。
• 類似「指紋比對」，對已知病毒準確率極高。

✅ 優點：快速、精準，對已知威脅效果極佳

規則式比對（Rule-based Matching）

• 使用規則（如YARA）來比對檔案中的文字、位元組模式、正則表達式等。

• 可以根據條件組合（如檔案大小、匯入函式、熵值）來建立更彈性的偵測規則。

• 常用於：

  • 威脅獵捕（Threat Hunting）
  • 惡意軟體家族分類
  • 識別新變種

✅ 優點：彈性高、可自訂、適合安全研究人員與資安團隊

行為式偵測（Behavioral-based Detection）

行為式偵測透過觀察程式執行時的實際行為來辨識是否為惡意軟體，而不是僅分析靜態檔案內容。

• 大量修改或刪除系統檔案

• 自我複製、感染其他檔案

• 未授權存取網路、攝影機或麥克風

• 嘗試關閉防毒軟體或系統安全機制

• 加密使用者檔案（例如勒索軟體）

• 偵測時不依賴程式碼樣本，而是判斷「做了什麼」。

✅ 優點：有機會偵測未知威脅、變種、零時差攻擊

📌 行為偵測常搭配機器學習技術，分析大量正常與惡意行為樣本以建立預測模型，提升偵測準確度與自動化能力。

動態啟發式分析（Dynamic Heuristic Analysis）

動態啟發式分析是指在受控環境（如沙箱）中執行程式，並根據一套預先定義的啟發式規則，監控程式的執行行為。這些規則是根據專家經驗設定，旨在辨識出「可疑」或具惡意行為的動作。

• 動態分析：實際執行程式，觀察其行為，而非僅分析靜態程式碼結構。

• 啟發式規則：使用專家制定的規則，例如：

  • 寫入系統目錄
  • 修改登錄檔（Registry）鍵值
  • 向其他程序注入程式碼

• 情境感知：不僅偵測單一行為，而是考慮行為的順序與上下文關係。

🔄 比較表

靜態啟發式分析（Static Heuristic Analysis）

• 不執行程式，而是靜態分析檔案結構與指令碼，尋找可疑特徵，包括：

  • 可疑 API 匯入（如：CreateRemoteThread, VirtualAlloc）
  • 可執行檔（PE）頭異常或加殼（Packing）特徵
  • 匯入表模糊化（Import Table Obfuscation）
  • 高熵（High Entropy）區塊 → 可能代表加密或壓縮資料

• 分析結果通常會產生一個「可疑分數（Suspicion Score）」而非明確結論。

✅ 優點：能在不執行程式的情況下發現潛在威脅

什麼是沙箱

沙箱（sandbox）是一種安全機制，用來在受控環境中隔離並測試可疑檔案、程式或行為，防止它們對系統其他部分造成傷害。在防毒軟體的範疇中，沙箱技術是將檔案或軟體放在一個安全、隔離的空間（稱為「沙箱」）中執行，讓它們無法影響實際系統或網路。

• 整合於偵測機制中：沙箱常被作為防毒軟體的一部分，用於在受控環境中分析檔案。它並非總是獨立功能，而是一種用於即時惡意軟體分析的先進技術。你可以將沙箱技術放在防毒軟體的「惡意軟體偵測」或「進階偵測方法」部分介紹。

沙箱如何運作：

• 隔離運行：可疑檔案（例如新下載的軟體、電子郵件附件或未知執行檔）會在虛擬環境中執行。
• 行為監控：沙箱會監測該檔案的行為，例如是否試圖修改系統檔案、傳送資料到外部伺服器或存取其他應用程式。任何惡意活動都會被立即標記。

什麼是蜜罐

蜜罐（honeypot）是一種誘餌系統或網路，設計用來吸引並監控網路攻擊。它模擬一個看似脆弱的目標，讓攻擊者嘗試利用，藉此讓防禦者觀察攻擊者的戰術、技術和程序（TTPs）。蜜罐通常用於較進階的安全架構中，用以收集情報和研究攻擊模式，但在防毒和更廣泛的惡意軟體偵測策略中也扮演一定角色。

• 作為輔助技術：蜜罐通常不會直接整合於防毒軟體中，但可作為更廣泛網路防禦策略的一部分。如果你想在防毒部分提及蜜罐，可以將它們描述為一種輔助工具，用來早期偵測威脅並提供情報，以改進惡意軟體資料庫。可歸類於威脅情報或行為分析相關內容。

蜜罐的運作方式：

• 誘捕攻擊者：蜜罐呈現為看似弱點多、易受攻擊的系統（例如過時軟體、開放埠口等），以**吸引網路犯罪分子。**一旦攻擊者接觸蜜罐，系統會記錄其行動。
• 資料收集：蜜罐會蒐集有價值的資料，例如攻擊者的IP地址、利用漏洞的手法，以及他們嘗試部署的惡意軟體類型。
• 防止擴散：當攻擊者專注於誘餌系統時，有助於防止其攻擊真實且重要的網路資產。

在防毒軟體中的好處：

• 威脅情報：蜜罐收集的資料能幫助提升防毒軟體的偵測能力，提供有關新攻擊手法、惡意軟體變種或新興威脅的洞察，這些威脅可能先前未被發現。
• 早期警示：蜜罐可作為早期警告系統，在威脅完全在網路或裝置上展現之前就識別出來。

什麼是VPN

VPN 是「虛擬私人網路」（Virtual Private Network）的縮寫。簡單來說，VPN 是一種技術，能幫助使用者在公共網路（像是咖啡店的Wi-Fi或公共網路）上建立一條加密的、安全的「隧道」，讓使用者的資料傳輸更加安全，並且隱藏的真實IP地址。

用VPN可以達到以下幾個主要目的：

1. 保護隱私與安全：避免資料被駭客、網路監控或其他第三方攔截。
2. 匿名上網：隱藏你的真實IP地址，讓網站或服務無法輕易追蹤你的真實位置。
3. 突破地理限制：有些網站或服務根據地區限制內容，透過VPN可以模擬你在其他國家的IP地址，訪問被封鎖或限制的內容。

原罪

防火牆規則

防火牆根據設定的規則阻擋特定流量，但這種方式並不代表攔截真正的惡意行為。惡意程式仍有可能藉由模仿合法流量的方式通過檢查，或是直接在防火牆上偷開一條規則。此外，防火牆規則的設定對一般使用者來說過於複雜，即使是企業或大型組織也面臨設定選擇的挑戰，光是允許 HTTP/HTTPS 的流量，就代表無可避免會接觸到惡意流量。DNS 查詢通常也不會阻擋，因此也成為常見的通道。

惡意程式偵測極限

偵測在面對未知的、刻意迴避的、進行混淆的惡意程式效果非常有限，因為永遠沒有辨識惡意行為的絕對方法，即使是完全一致的行為，有可能是源自使用者，亦有可能是源自惡意攻擊者。

偵測到不等於解決問題

就算真的能偵測到可疑的惡意行為，也必須面對假警報的問題。當資安人員每天面對成千上萬的警報，要如何應對？像是在Neiman Marcus駭客行為觸發了6萬多次警報，資安人員並未採取行動，因為這數量僅是平時的百分之一^1。

沙盒技術的限制

惡意程式可能具備「反沙箱」技術，透過檢測是否在虛擬環境中運行進而改變行為，導致偵測與分析的誤判。而且只要沙盒與主機仍然運行在同一套實體硬體上，就存在沙盒跳出（sandbox escape）的問題，使惡意軟體有機會突破隔離入侵宿主系統，竄改、偽造數據誤導研究人員。

VPN服務提供商

VPN服務提供商本身有可能成為攻擊目標，一旦遭到駭客入侵，使用者的資料可能因此外洩。令人不願去想的是，部分VPN業者甚至可能會主動收集並販售用戶的資料，違背了其宣稱的隱私保護原則。