iT邦幫忙

2025 iThome 鐵人賽

DAY 22
0
Security

資安的原罪系列 第 22

【22】資安的原罪 ch.3-3.d 監控、偵測與回應

  • 分享至 

  • xImage
  •  

【22】資安的原罪 ch.3-3.d 監控、偵測與回應

本章見證現代進階的防禦、偵測和應對技術。


什麼是 IDS、IPS、IDPS?

隨著網路威脅的持續演變,僅依賴傳統的防火牆與防毒軟體已不足以全面防禦各種資安攻擊。防火牆雖然可以過濾不合法的網路連線,防毒軟體能偵測和清除已知的惡意程式,但它們往往無法即時識別出針對系統漏洞、異常行為或內部威脅的入侵行為。因此,我們需要更進階的安全機制來補足這些不足之處——這就是 IDS、IPS 和 IDPS 的主要任務。

IDS(入侵偵測系統)

IDS(Intrusion Detection System,入侵偵測系統)負責監控網路流量或主機活動,藉由比對攻擊特徵或行為模式來偵測可疑行為或潛在的入侵事件。當發現異常時,IDS 會發出警示通知管理員,但不會主動阻擋攻擊。因此,它是一種被動式防禦工具,重點在於「偵測」。

IDS 的類型:

  1. NIDS(網路入侵偵測系統)

    • 監控網路層的流量,偵測攻擊行為或政策違規事件。
    • 可辨識如 DDoS 攻擊、連接埠掃描、惡意軟體通信等異常流量。
    • 例子:NIDS 可能會發現某個 IP 地址傳送異常大量流量,疑似發動 DDoS 攻擊。
  2. HIDS(主機入侵偵測系統)

    • 監控個別主機(如伺服器或桌面電腦)的系統活動。
    • 可偵測檔案被非法修改、權限異動或惡意軟體行為。
    • 例子:HIDS 會警示伺服器系統檔案被未經授權的修改企圖。
  3. PIDS(通訊協定入侵偵測系統)

    • 部署於伺服器前端,監控進出裝置的通訊協定流量,確保協定遵從性。
  4. APIDS(應用程式通訊協定入侵偵測系統)

    • 監控一組伺服器間的應用層協定流量,針對應用層的攻擊進行偵測。
  5. 混合式 IDS

    • 結合多種 IDS 類型,提供更全面的入侵偵測功能。

IPS(入侵防禦系統)

IPS(Intrusion Prevention System,入侵防禦系統)不僅能偵測異常行為,還能主動攔截或阻擋可疑的流量或行為,如封鎖惡意 IP、終止連線或丟棄封包等。這讓 IPS 成為一個具備主動防禦能力的安全設備。

IPS 的類型:

  1. NIPS(網路入侵防護系統)

    • 監控並保護整個網路流量,阻止網路層的攻擊。
  2. WIPS(無線入侵防護系統)

    • 專門監控企業內部的無線網路,防範無線網路相關威脅。
  3. HIPS(主機入侵防護系統)

    • 部署於關鍵主機或裝置,監控並防範主機層級的攻擊。
  4. NBA(網路行為分析)

    • 根據網路流量模式分析異常行為,輔助偵測和防禦複雜攻擊。

IDPS 是什麼?

IDPS(Intrusion Detection and Prevention System,入侵偵測與防禦系統) 結合 IDS 的偵測能力與 IPS 的主動防護能力,能在偵測到可疑行為時即時採取防禦動作(例如封鎖來源 IP、丟棄封包、終止會話),同時保留詳細稽核記錄以供後續調查。IDPS 常被部署於網路邊界或關鍵分段,並在策略上依組織風險接受度選擇「偵測模式(monitor)」或「防禦模式(inline/prevent)」。

部署建議:對業務可承受暫時中斷的環境可啟用防禦模式;對高可用性服務建議先以偵測模式觀察調校後再切換為防禦模式。


WAF 是什麼?

除了偵測與阻擋惡意流量外,針對網站這類應用層的攻擊,我們需要更精細的防禦機制——WAF(網頁應用防火牆,Web Application Firewall) 是一種專門用來保護網站與網頁應用程式安全的防火牆。它主要運作於應用層(第七層),能夠監控、過濾並阻擋惡意的 HTTP/HTTPS 流量,有效防止駭客針對網站弱點所發動的攻擊。例如:

  • SQL注入(SQL Injection)
  • 跨站腳本攻擊(XSS)
  • 跨站請求偽造(CSRF)
  • 文件包含攻擊等

UTM 是什麼?

UTM(統合威脅管理,Unified Threat Management) 是一種將多種網路安全功能整合在同一設備中的安全解決方案。它通常結合了防火牆、入侵偵測與防禦(IDS/IPS)、防毒、垃圾郵件過濾、內容過濾、VPN等多種功能。

UTM 的特色:

  • 多合一:把多種安全功能集中管理,減少設備數量和管理複雜度。
  • 方便管理:透過單一介面,統一設定與監控網路安全狀況。
  • 適合中小企業:提供全方位的安全防護,但成本和管理負擔比多套專門設備低。

什麼是EDR, NDR, XDR

這三者都是現代網路安全中進階的威脅偵測與回應技術,主要是建立在持續監控基礎上的智能偵測系統,針對不同面向的攻擊行為提供深度防護。

1. EDR(Endpoint Detection and Response,端點偵測與回應)

  • 作用範圍:聚焦於終端設備(如筆電、桌機、伺服器、行動裝置等)。

  • 功能:即時監控端點行為,偵測並回應複雜攻擊,如無檔案惡意軟體(fileless malware)、勒索軟體、持續滲透攻擊(APT)。

  • 優點

    • 詳細紀錄端點活動(進程、網路連線、文件變更)。
    • 支援快速調查和回溯攻擊軌跡。
    • 能自動隔離受感染設備或終止惡意程序。
  • 適用場景:端點被駭入或攻擊的情況,尤其是傳統防毒軟體無法偵測的威脅。

2. NDR(Network Detection and Response,網路偵測與回應)

  • 作用範圍:針對整個企業網路流量,特別是內部橫向移動和加密流量。

  • 功能

    • 監控網路封包與流量行為。
    • 利用行為分析與機器學習技術,偵測異常流量或攻擊行為(如橫向移動、異常通訊)。
    • 可在加密流量中進行深度分析(例如TLS解密與分析)。
  • 優點

    • 能發現內部滲透與橫向擴散攻擊。
    • 輔助識別難以透過端點檢測的威脅。
  • 適用場景:防堵攻擊者在內部網路移動、滲透其他系統的行為。

3. XDR(Extended Detection and Response,擴展偵測與回應)

  • 作用範圍:整合多種資料來源,包含端點(EDR)、網路(NDR)、雲端、安全資訊和事件管理系統(SIEM)等。

  • 功能

    • 將不同安全系統的偵測資料匯集到一個統一平台。
    • 提供整體威脅視圖,支持跨層級、跨環境的分析與回應。
    • 自動化威脅調查與回應流程,提高反應速度與準確度。
  • 優點

    • 打破安全孤島,實現全面且協同的威脅管理。
    • 減少誤報,提升安全團隊效率。
    • 支援整合第三方安全產品。
  • 適用場景:大型企業或組織需要整合多種安全資料,建立更智能、統一的威脅偵測與應對機制。


監控與日誌

除了依賴程式自動化偵測,專業的資安人員也會透過監控、數據分析與應變處理來強化防護,並在事後進行鑑識調查。

監控的範圍涵蓋資料在網路中的傳輸流動、電腦系統內的檔案儲存狀況,以及系統操作或處理過程中所產生的日誌紀錄。

日誌

日誌是一種紀錄系統運作細節或資料傳輸過程的檔案。例如:網路通訊日誌。

以路由器為例,其日誌可能包含連線嘗試、驗證失敗的記錄,以及頻道切換等事件。

透過持續監控這些日誌,資安人員能夠及早偵測潛在的網路攻擊跡象,例如異常的登入行為或未經授權的系統活動。


監控管理工具

SIEM(安全資訊與事件管理系統)

SIEM(security information and event management)系統會從防火牆、伺服器和應用程式等來源收集並分析安全資料,能夠偵測異常行為並針對潛在威脅產生警報。

主要特點

  • 即時偵測:能辨識可疑行為,例如異常登入、資料外洩或惡意程式特徵。
  • 輸出:產生警報和事件資料,供進一步調查分析使用

SOAR(安全協調、自動化與回應平台)

SOAR(security orchestration, automation, and response) 平台能自動處理由 SIEM 所產生的警報,協調不同團隊與工具之間的工作流程,減少人工作業,加速威脅回應。

主要特點

  • 自動化:可自動執行任務,如封鎖惡意 IP、隔離受感染系統或管理事件處理單。
  • 輸出:提升回應速度,優化處理流程。

摘要表格

名稱 專注領域 主要功能 時代/起源
IDS/IPS 網路 偵測/阻擋入侵行為 1980年代-2000年代
UTM 網路(多功能) 整合式安全功能 2000年代初期
WAF 網頁應用程式 保護網頁應用免受攻擊 2000年代中期
EDR 端點 端點威脅偵測與回應 2010年代
NDR 網路 網路威脅偵測與回應 2010年代
XDR 多個領域 統一的偵測與回應 2010年代末-2020年代
SIEM 企業層級日誌資料 事件管理與威脅偵測 2000年代初期
SOAR 自動化與協調 自動化事件回應 2010年代末期

資安相關團隊

SOC(安全營運中心)

SOC(Security Operations Center )是一個負責持續監控與防禦組織 IT 環境的團隊。他們運用 SIEMSOAR 工具,實時追蹤、分析並回應各種資安事件。

主要任務:

  • 監控來自 SIEM 的警報,進行事件分類與處理,必要時進行升級通報。
  • 利用 SOAR 工具提升回應流程的效率。

CSIRT(電腦資安事件應變小組)

資安事件被確認後,CSIRT(Computer Security Incident Response Team) 負責接手處理。他們管理攻擊的隔離、緩解與復原工作。

主要任務:

  • 調查具體事件(例如:惡意程式感染、資料外洩等)。
  • 進行鑑識分析,並提供事件後的報告與改進建議。

異常偵測

對於大型機構而言,可能會有更進階的管制機制與單位。像是觀察通訊的特性(連接時間、通訊方式、連接者、操作的種類、操作的裝置),來判斷是否出現異於常態的活動。

今年 8 月,台積電即是透過員工的異常行為偵測,成功揪出一起機密外洩事件,成為異常偵測應用的典型案例。^7


原罪

1. 偵測的極限

除了訓練惡意行為模式本身就存在困難外,還面臨訓練資料取得與標註上的重大挑戰——如何在真實環境中擷取不含攻擊的純淨樣本?
若訓練資料中混入攻擊樣本,可能導致模型學習到錯誤的判準,反而做出相反的判斷。

實務上,也不存在一道明確的界線能將「正常行為」與「惡意行為」完全區分。例如,同樣是從銀行帳戶提領 600 萬,既可能是合規的交易,也可能是詐騙。

從現實中屢見不鮮的入侵案例來看,許多攻擊甚至能安全潛伏數月甚至數年^2 ^3 ^4 ^5 ^6,可見當攻擊者刻意規避偵測時,偵測機制的效果非常有限。

2. 應對問題

面對偵測系統所發出的異常警報,如何有效應對是一大挑戰。

例如 IDS 與 IPS 的選擇:若選用 IPS 自動採取阻斷行動,一旦遭遇大量誤報或測試型攻擊,可能導致服務頻繁中斷,進而影響系統正常運作;若交由資安團隊(如 SOC)判斷,即使排除人為疏忽,在 24 小時全年無休的壓力轟炸下,也容易造成誤判、漏判,難以及時精準地辨識真正威脅。

3. 數據偽造(Data Tampering)

只要監控程式與數據記錄運行在同樣可能遭入侵的裝置上,就無法避免成為攻擊目標。

一旦攻擊者成功滲透系統並取得高權限,不僅能避開偵測機制,還可能竄改資安系統所回報的數據與狀態資訊,讓防護系統呈現「一切正常」的假象。

在資安人員被錯誤數據誤導,相信一切安全的情況下,攻擊者可持續操控受感染裝置,擴大攻擊規模,甚至竊取機密資料而不被發現。

4. 數據判讀困難

即使取得的數據未遭竄改,這些日誌、警報等資安資訊,仍常因以下因素而難以即時與清晰地分析與判讀:

  • 資料量過多或不足
  • 資訊傳遞不良
  • 誤報與漏報(False Positives / Negatives)
  • 資料冗餘與不一致
  • 異質的 IT 環境與架構

這些問題大幅增加了判讀的難度與反應時間。

以 DNC 遭駭事件為例,雖然荷蘭情報單位當時已掌握關鍵影片作為證據,足以證明 DNC 遭受入侵,但事件處理過程中仍陷入「通報—調查無異狀」的反覆循環,長達九個多月未能確認真相^8


補充

筆者抱歉,上一張關於防毒軟體的部分沒有來得及完成修改,在這裡補上。

防毒特徵碼的極限

現在新型態多樣的進階攻擊,讓傳統防毒軟體抵擋某種固定惡意程式的思維完全不適用。就算是面對這種沒針對特定目標大量散布的惡意軟體,往往透過點微小改動(如包裝、混淆、碼多態或延遲載入,特徵值就判別不到,未曾見過的的也完全無法捕捉。


上一篇
【21】資安的原罪 ch.3-3.c 防火牆與防毒軟體
系列文
資安的原罪22
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言