本章見證保護電腦的基本產品。
防火牆是一種用來監控和控制進出網路流量的安全系統。它的目的是保護你的裝置(電腦、智慧型手機等)或網路,防止未經授權的存取和惡意活動。
✅ 有狀態防火牆(Stateful Firewall)
從內部網路發出一個 HTTP 請求到網站,回應的資料會被視為「這個連線的合法回覆」,防火牆會自動放行。
❌ 無狀態防火牆(Stateless Firewall)
即使回應是合法的,如果沒有明確設定放行,無狀態防火牆也可能會把它擋下來。
有狀態防火牆就像一位守門人,記得你剛進去時的樣子,如果你回來了,他會認出你並讓你進。
無狀態防火牆則像一位不記人的保全,每次都要你出示證件,不論你是不是剛從裡面出來。
防火牆的核心功能是依據一套規則(Policies)來判斷哪些網路流量應該被允許(Allow)、拒絕(Deny)或封鎖(Block)。這些規則可以非常細緻,根據多種條件進行判斷,例如:
這兩種是最常見的防火牆存取控制策略:
僅允許在清單上的對象,其餘全部封鎖。
用途:只讓特定 IP、裝置或應用可以連接。
好處:安全性高,因為所有非列名的流量都會被封鎖。
範例:
封鎖清單上的對象,其餘允許通過。
用途:阻擋已知的惡意 IP、來源或應用程式。
好處:較為彈性,適合應對已知威脅。
範例:
✨ 結合策略使用
在實務中,防火牆通常會同時使用白名單和黑名單,例如:
這樣可以在不犧牲便利性的情況下,大幅提升網路安全性。
代理防火牆(也稱為應用層閘道器)是一種應用層防火牆,它透過在使用者(或裝置)與網際網路之間充當中介來運作。它不會直接將請求轉發到目的地,而是代表使用者進行代理或轉送請求。這種方式在應用層上提供了額外的安全防護層,能過濾請求以提升安全性。
應用層過濾:
更細緻的流量控制:
匿名性與隱私:
隔離作用:
攔截請求
當使用者或設備想要連接網際網路時,會先將請求送到代理防火牆,而非直接連接到目的伺服器。
檢查流量
代理防火牆會檢查這些請求(有時甚至會檢查內容),以確保符合安全政策。
轉送請求
如果請求被允許,代理防火牆會代表使用者向目的伺服器發出真正的請求。伺服器回應後,代理防火牆再將回應轉發給使用者。
無直接連線
使用者的設備不會與目的伺服器有直接連線,所有通訊都是經由代理防火牆轉送。這樣做可以隱藏使用者的身份及內部網路結構,提升安全性。
正向代理(Forward Proxy):
反向代理(Reverse Proxy):
防毒軟體是一種用來偵測、預防和移除惡意軟體(Malware)的安全工具。大多數現代防毒軟體會在背景持續運作,主動掃描系統中的檔案與活動,防止病毒、木馬、間諜程式等惡意軟體入侵裝置。
當偵測到可疑檔案或行為時,防毒軟體通常能夠採取以下動作:
✅ 優點:快速、精準,對已知威脅效果極佳
使用規則(如YARA)來比對檔案中的文字、位元組模式、正則表達式等。
可以根據條件組合(如檔案大小、匯入函式、熵值)來建立更彈性的偵測規則。
常用於:
✅ 優點:彈性高、可自訂、適合安全研究人員與資安團隊
行為式偵測透過觀察程式執行時的實際行為來辨識是否為惡意軟體,而不是僅分析靜態檔案內容。
大量修改或刪除系統檔案
自我複製、感染其他檔案
未授權存取網路、攝影機或麥克風
嘗試關閉防毒軟體或系統安全機制
加密使用者檔案(例如勒索軟體)
偵測時不依賴程式碼樣本,而是判斷「做了什麼」。
✅ 優點:有機會偵測未知威脅、變種、零時差攻擊
📌 行為偵測常搭配機器學習技術,分析大量正常與惡意行為樣本以建立預測模型,提升偵測準確度與自動化能力。
動態啟發式分析是指在受控環境(如沙箱)中執行程式,並根據一套預先定義的啟發式規則,監控程式的執行行為。這些規則是根據專家經驗設定,旨在辨識出「可疑」或具惡意行為的動作。
動態分析:實際執行程式,觀察其行為,而非僅分析靜態程式碼結構。
啟發式規則:使用專家制定的規則,例如:
情境感知:不僅偵測單一行為,而是考慮行為的順序與上下文關係。
特性 | 動態啟發式分析 | 行為式偵測 |
---|---|---|
執行環境 | 沙箱(受控環境) | 真實系統(即時監控) |
偵測依據 | 啟發式規則 | 行為模式與異常 |
著重點 | 符合規則的可疑活動 | 偏離正常行為 |
適應性 | 靜態(需人工更新規則) | 自適應(機器學習模型可進化) |
零時差惡意軟體偵測能力 | 中到高 | 高 |
誤報率 | 中等 | 調校不當可能偏高 |
抗規避能力 | 中等(沙箱識別技術可能被規避) | 高(若實作良好) |
不執行程式,而是靜態分析檔案結構與指令碼,尋找可疑特徵,包括:
CreateRemoteThread
, VirtualAlloc
)分析結果通常會產生一個「可疑分數(Suspicion Score)」而非明確結論。
✅ 優點:能在不執行程式的情況下發現潛在威脅
沙箱(sandbox)是一種安全機制,用來在受控環境中隔離並測試可疑檔案、程式或行為,防止它們對系統其他部分造成傷害。在防毒軟體的範疇中,沙箱技術是將檔案或軟體放在一個安全、隔離的空間(稱為「沙箱」)中執行,讓它們無法影響實際系統或網路。
蜜罐(honeypot)是一種誘餌系統或網路,設計用來吸引並監控網路攻擊。它模擬一個看似脆弱的目標,讓攻擊者嘗試利用,藉此讓防禦者觀察攻擊者的戰術、技術和程序(TTPs)。蜜罐通常用於較進階的安全架構中,用以收集情報和研究攻擊模式,但在防毒和更廣泛的惡意軟體偵測策略中也扮演一定角色。
VPN 是「虛擬私人網路」(Virtual Private Network)的縮寫。簡單來說,VPN 是一種技術,能幫助使用者在公共網路(像是咖啡店的Wi-Fi或公共網路)上建立一條加密的、安全的「隧道」,讓使用者的資料傳輸更加安全,並且隱藏的真實IP地址。
用VPN可以達到以下幾個主要目的:
防火牆根據設定的規則阻擋特定流量,但這種方式並不代表攔截真正的惡意行為。惡意程式仍有可能藉由模仿合法流量的方式通過檢查,或是直接在防火牆上偷開一條規則。此外,防火牆規則的設定對一般使用者來說過於複雜,即使是企業或大型組織也面臨設定選擇的挑戰,光是允許 HTTP/HTTPS 的流量,就代表無可避免會接觸到惡意流量。DNS 查詢通常也不會阻擋,因此也成為常見的通道。
偵測在面對未知的、刻意迴避的、進行混淆的惡意程式效果非常有限,因為永遠沒有辨識惡意行為的絕對方法,即使是完全一致的行為,有可能是源自使用者,亦有可能是源自惡意攻擊者。
就算真的能偵測到可疑的惡意行為,也必須面對假警報的問題。當資安人員每天面對成千上萬的警報,要如何應對?像是在Neiman Marcus駭客行為觸發了6萬多次警報,資安人員並未採取行動,因為這數量僅是平時的百分之一^1。
惡意程式可能具備「反沙箱」技術,透過檢測是否在虛擬環境中運行進而改變行為,導致偵測與分析的誤判。而且只要沙盒與主機仍然運行在同一套實體硬體上,就存在沙盒跳出(sandbox escape)的問題,使惡意軟體有機會突破隔離入侵宿主系統,竄改、偽造數據誤導研究人員。
VPN服務提供商本身有可能成為攻擊目標,一旦遭到駭客入侵,使用者的資料可能因此外洩。令人不願去想的是,部分VPN業者甚至可能會主動收集並販售用戶的資料,違背了其宣稱的隱私保護原則。