【22】資安的原罪 ch.3-3.d 監控、偵測與回應

本章見證現代進階的防禦、偵測和應對技術。

什麼是 IDS、IPS、IDPS？

隨著網路威脅的持續演變，僅依賴傳統的防火牆與防毒軟體已不足以全面防禦各種資安攻擊。防火牆雖然可以過濾不合法的網路連線，防毒軟體能偵測和清除已知的惡意程式，但它們往往無法即時識別出針對系統漏洞、異常行為或內部威脅的入侵行為。因此，我們需要更進階的安全機制來補足這些不足之處——這就是 IDS、IPS 和 IDPS 的主要任務。

IDS（入侵偵測系統）

IDS（Intrusion Detection System，入侵偵測系統）負責監控網路流量或主機活動，藉由比對攻擊特徵或行為模式來偵測可疑行為或潛在的入侵事件。當發現異常時，IDS 會發出警示通知管理員，但不會主動阻擋攻擊。因此，它是一種被動式防禦工具，重點在於「偵測」。

IDS 的類型：

1. NIDS（網路入侵偵測系統）：

   • 監控網路層的流量，偵測攻擊行為或政策違規事件。
   • 可辨識如 DDoS 攻擊、連接埠掃描、惡意軟體通信等異常流量。
   • 例子：NIDS 可能會發現某個 IP 地址傳送異常大量流量，疑似發動 DDoS 攻擊。

2. HIDS（主機入侵偵測系統）：

   • 監控個別主機（如伺服器或桌面電腦）的系統活動。
   • 可偵測檔案被非法修改、權限異動或惡意軟體行為。
   • 例子：HIDS 會警示伺服器系統檔案被未經授權的修改企圖。

3. PIDS（通訊協定入侵偵測系統）：

   • 部署於伺服器前端，監控進出裝置的通訊協定流量，確保協定遵從性。

4. APIDS（應用程式通訊協定入侵偵測系統）：

   • 監控一組伺服器間的應用層協定流量，針對應用層的攻擊進行偵測。

5. 混合式 IDS：

   • 結合多種 IDS 類型，提供更全面的入侵偵測功能。

IPS（入侵防禦系統）

IPS（Intrusion Prevention System，入侵防禦系統）不僅能偵測異常行為，還能主動攔截或阻擋可疑的流量或行為，如封鎖惡意 IP、終止連線或丟棄封包等。這讓 IPS 成為一個具備主動防禦能力的安全設備。

IPS 的類型：

1. NIPS（網路入侵防護系統）：

   • 監控並保護整個網路流量，阻止網路層的攻擊。

2. WIPS（無線入侵防護系統）：

   • 專門監控企業內部的無線網路，防範無線網路相關威脅。

3. HIPS（主機入侵防護系統）：

   • 部署於關鍵主機或裝置，監控並防範主機層級的攻擊。

4. NBA（網路行為分析）：

   • 根據網路流量模式分析異常行為，輔助偵測和防禦複雜攻擊。

IDPS 是什麼？

IDPS（Intrusion Detection and Prevention System，入侵偵測與防禦系統） 結合 IDS 的偵測能力與 IPS 的主動防護能力，能在偵測到可疑行為時即時採取防禦動作（例如封鎖來源 IP、丟棄封包、終止會話），同時保留詳細稽核記錄以供後續調查。IDPS 常被部署於網路邊界或關鍵分段，並在策略上依組織風險接受度選擇「偵測模式（monitor）」或「防禦模式（inline/prevent）」。

部署建議：對業務可承受暫時中斷的環境可啟用防禦模式；對高可用性服務建議先以偵測模式觀察調校後再切換為防禦模式。

WAF 是什麼？

除了偵測與阻擋惡意流量外，針對網站這類應用層的攻擊，我們需要更精細的防禦機制——WAF（網頁應用防火牆，Web Application Firewall） 是一種專門用來保護網站與網頁應用程式安全的防火牆。它主要運作於應用層（第七層），能夠監控、過濾並阻擋惡意的 HTTP/HTTPS 流量，有效防止駭客針對網站弱點所發動的攻擊。例如：

• SQL注入（SQL Injection）
• 跨站腳本攻擊（XSS）
• 跨站請求偽造（CSRF）
• 文件包含攻擊等

UTM 是什麼？

UTM（統合威脅管理，Unified Threat Management） 是一種將多種網路安全功能整合在同一設備中的安全解決方案。它通常結合了防火牆、入侵偵測與防禦（IDS/IPS）、防毒、垃圾郵件過濾、內容過濾、VPN等多種功能。

UTM 的特色：

• 多合一：把多種安全功能集中管理，減少設備數量和管理複雜度。
• 方便管理：透過單一介面，統一設定與監控網路安全狀況。
• 適合中小企業：提供全方位的安全防護，但成本和管理負擔比多套專門設備低。

什麼是EDR, NDR, XDR

這三者都是現代網路安全中進階的威脅偵測與回應技術，主要是建立在持續監控基礎上的智能偵測系統，針對不同面向的攻擊行為提供深度防護。

1. EDR（Endpoint Detection and Response，端點偵測與回應）

• 作用範圍：聚焦於終端設備（如筆電、桌機、伺服器、行動裝置等）。

• 功能：即時監控端點行為，偵測並回應複雜攻擊，如無檔案惡意軟體（fileless malware）、勒索軟體、持續滲透攻擊（APT）。

• 優點：

  • 詳細紀錄端點活動（進程、網路連線、文件變更）。
  • 支援快速調查和回溯攻擊軌跡。
  • 能自動隔離受感染設備或終止惡意程序。

• 適用場景：端點被駭入或攻擊的情況，尤其是傳統防毒軟體無法偵測的威脅。

2. NDR（Network Detection and Response，網路偵測與回應）

• 作用範圍：針對整個企業網路流量，特別是內部橫向移動和加密流量。

• 功能：

  • 監控網路封包與流量行為。
  • 利用行為分析與機器學習技術，偵測異常流量或攻擊行為（如橫向移動、異常通訊）。
  • 可在加密流量中進行深度分析（例如TLS解密與分析）。

• 優點：

  • 能發現內部滲透與橫向擴散攻擊。
  • 輔助識別難以透過端點檢測的威脅。

• 適用場景：防堵攻擊者在內部網路移動、滲透其他系統的行為。

3. XDR（Extended Detection and Response，擴展偵測與回應）

• 作用範圍：整合多種資料來源，包含端點（EDR）、網路（NDR）、雲端、安全資訊和事件管理系統（SIEM）等。

• 功能：

  • 將不同安全系統的偵測資料匯集到一個統一平台。
  • 提供整體威脅視圖，支持跨層級、跨環境的分析與回應。
  • 自動化威脅調查與回應流程，提高反應速度與準確度。

• 優點：

  • 打破安全孤島，實現全面且協同的威脅管理。
  • 減少誤報，提升安全團隊效率。
  • 支援整合第三方安全產品。

• 適用場景：大型企業或組織需要整合多種安全資料，建立更智能、統一的威脅偵測與應對機制。

監控與日誌

除了依賴程式自動化偵測，專業的資安人員也會透過監控、數據分析與應變處理來強化防護，並在事後進行鑑識調查。

監控的範圍涵蓋資料在網路中的傳輸流動、電腦系統內的檔案儲存狀況，以及系統操作或處理過程中所產生的日誌紀錄。

日誌

日誌是一種紀錄系統運作細節或資料傳輸過程的檔案。例如：網路通訊日誌。

以路由器為例，其日誌可能包含連線嘗試、驗證失敗的記錄，以及頻道切換等事件。

透過持續監控這些日誌，資安人員能夠及早偵測潛在的網路攻擊跡象，例如異常的登入行為或未經授權的系統活動。

監控管理工具

SIEM（安全資訊與事件管理系統）

SIEM（security information and event management）系統會從防火牆、伺服器和應用程式等來源收集並分析安全資料，能夠偵測異常行為並針對潛在威脅產生警報。

主要特點

• 即時偵測：能辨識可疑行為，例如異常登入、資料外洩或惡意程式特徵。
• 輸出：產生警報和事件資料，供進一步調查分析使用。

SOAR（安全協調、自動化與回應平台）

SOAR（security orchestration, automation, and response） 平台能自動處理由 SIEM 所產生的警報，協調不同團隊與工具之間的工作流程，減少人工作業，加速威脅回應。

主要特點

• 自動化：可自動執行任務，如封鎖惡意 IP、隔離受感染系統或管理事件處理單。
• 輸出：提升回應速度，優化處理流程。

摘要表格

資安相關團隊

SOC（安全營運中心）

SOC（Security Operations Center ）是一個負責持續監控與防禦組織 IT 環境的團隊。他們運用 SIEM 和 SOAR 工具，實時追蹤、分析並回應各種資安事件。

主要任務：

• 監控來自 SIEM 的警報，進行事件分類與處理，必要時進行升級通報。
• 利用 SOAR 工具提升回應流程的效率。

CSIRT（電腦資安事件應變小組）

當資安事件被確認後，CSIRT（Computer Security Incident Response Team） 負責接手處理。他們管理攻擊的隔離、緩解與復原工作。

主要任務：

• 調查具體事件（例如：惡意程式感染、資料外洩等）。
• 進行鑑識分析，並提供事件後的報告與改進建議。

異常偵測

對於大型機構而言，可能會有更進階的管制機制與單位。像是觀察通訊的特性(連接時間、通訊方式、連接者、操作的種類、操作的裝置)，來判斷是否出現異於常態的活動。

今年 8 月，台積電即是透過員工的異常行為偵測，成功揪出一起機密外洩事件，成為異常偵測應用的典型案例。^7

原罪

1. 偵測的極限

除了訓練惡意行為模式本身就存在困難外，還面臨訓練資料取得與標註上的重大挑戰——如何在真實環境中擷取不含攻擊的純淨樣本？
若訓練資料中混入攻擊樣本，可能導致模型學習到錯誤的判準，反而做出相反的判斷。

實務上，也不存在一道明確的界線能將「正常行為」與「惡意行為」完全區分。例如，同樣是從銀行帳戶提領 600 萬，既可能是合規的交易，也可能是詐騙。

從現實中屢見不鮮的入侵案例來看，許多攻擊甚至能安全潛伏數月甚至數年^2 ^3 ^4 ^5 ^6，可見當攻擊者刻意規避偵測時，偵測機制的效果非常有限。

2. 應對問題

面對偵測系統所發出的異常警報，如何有效應對是一大挑戰。

例如 IDS 與 IPS 的選擇：若選用 IPS 自動採取阻斷行動，一旦遭遇大量誤報或測試型攻擊，可能導致服務頻繁中斷，進而影響系統正常運作；若交由資安團隊（如 SOC）判斷，即使排除人為疏忽，在 24 小時全年無休的壓力轟炸下，也容易造成誤判、漏判，難以及時精準地辨識真正威脅。

3. 數據偽造（Data Tampering）

只要監控程式與數據記錄運行在同樣可能遭入侵的裝置上，就無法避免成為攻擊目標。

一旦攻擊者成功滲透系統並取得高權限，不僅能避開偵測機制，還可能竄改資安系統所回報的數據與狀態資訊，讓防護系統呈現「一切正常」的假象。

在資安人員被錯誤數據誤導，相信一切安全的情況下，攻擊者可持續操控受感染裝置，擴大攻擊規模，甚至竊取機密資料而不被發現。

4. 數據判讀困難

即使取得的數據未遭竄改，這些日誌、警報等資安資訊，仍常因以下因素而難以即時與清晰地分析與判讀：

• 資料量過多或不足
• 資訊傳遞不良
• 誤報與漏報（False Positives / Negatives）
• 資料冗餘與不一致
• 異質的 IT 環境與架構

這些問題大幅增加了判讀的難度與反應時間。

以 DNC 遭駭事件為例，雖然荷蘭情報單位當時已掌握關鍵影片作為證據，足以證明 DNC 遭受入侵，但事件處理過程中仍陷入「通報—調查無異狀」的反覆循環，長達九個多月未能確認真相^8。

補充

筆者抱歉，上一張關於防毒軟體的部分沒有來得及完成修改，在這裡補上。

防毒特徵碼的極限

現在新型態多樣的進階攻擊，讓傳統防毒軟體抵擋某種固定惡意程式的思維完全不適用。就算是面對這種沒針對特定目標大量散布的惡意軟體，往往透過點微小改動（如包裝、混淆、碼多態或延遲載入，特徵值就判別不到，未曾見過的的也完全無法捕捉。