本章見證現代進階的防禦、偵測和應對技術。
隨著網路威脅的持續演變,僅依賴傳統的防火牆與防毒軟體已不足以全面防禦各種資安攻擊。防火牆雖然可以過濾不合法的網路連線,防毒軟體能偵測和清除已知的惡意程式,但它們往往無法即時識別出針對系統漏洞、異常行為或內部威脅的入侵行為。因此,我們需要更進階的安全機制來補足這些不足之處——這就是 IDS、IPS 和 IDPS 的主要任務。
IDS(Intrusion Detection System,入侵偵測系統)負責監控網路流量或主機活動,藉由比對攻擊特徵或行為模式來偵測可疑行為或潛在的入侵事件。當發現異常時,IDS 會發出警示通知管理員,但不會主動阻擋攻擊。因此,它是一種被動式防禦工具,重點在於「偵測」。
NIDS(網路入侵偵測系統):
HIDS(主機入侵偵測系統):
PIDS(通訊協定入侵偵測系統):
APIDS(應用程式通訊協定入侵偵測系統):
混合式 IDS:
IPS(Intrusion Prevention System,入侵防禦系統)不僅能偵測異常行為,還能主動攔截或阻擋可疑的流量或行為,如封鎖惡意 IP、終止連線或丟棄封包等。這讓 IPS 成為一個具備主動防禦能力的安全設備。
NIPS(網路入侵防護系統):
WIPS(無線入侵防護系統):
HIPS(主機入侵防護系統):
NBA(網路行為分析):
IDPS(Intrusion Detection and Prevention System,入侵偵測與防禦系統) 結合 IDS 的偵測能力與 IPS 的主動防護能力,能在偵測到可疑行為時即時採取防禦動作(例如封鎖來源 IP、丟棄封包、終止會話),同時保留詳細稽核記錄以供後續調查。IDPS 常被部署於網路邊界或關鍵分段,並在策略上依組織風險接受度選擇「偵測模式(monitor)」或「防禦模式(inline/prevent)」。
部署建議:對業務可承受暫時中斷的環境可啟用防禦模式;對高可用性服務建議先以偵測模式觀察調校後再切換為防禦模式。
除了偵測與阻擋惡意流量外,針對網站這類應用層的攻擊,我們需要更精細的防禦機制——WAF(網頁應用防火牆,Web Application Firewall) 是一種專門用來保護網站與網頁應用程式安全的防火牆。它主要運作於應用層(第七層),能夠監控、過濾並阻擋惡意的 HTTP/HTTPS 流量,有效防止駭客針對網站弱點所發動的攻擊。例如:
UTM(統合威脅管理,Unified Threat Management) 是一種將多種網路安全功能整合在同一設備中的安全解決方案。它通常結合了防火牆、入侵偵測與防禦(IDS/IPS)、防毒、垃圾郵件過濾、內容過濾、VPN等多種功能。
這三者都是現代網路安全中進階的威脅偵測與回應技術,主要是建立在持續監控基礎上的智能偵測系統,針對不同面向的攻擊行為提供深度防護。
作用範圍:聚焦於終端設備(如筆電、桌機、伺服器、行動裝置等)。
功能:即時監控端點行為,偵測並回應複雜攻擊,如無檔案惡意軟體(fileless malware)、勒索軟體、持續滲透攻擊(APT)。
優點:
適用場景:端點被駭入或攻擊的情況,尤其是傳統防毒軟體無法偵測的威脅。
作用範圍:針對整個企業網路流量,特別是內部橫向移動和加密流量。
功能:
優點:
適用場景:防堵攻擊者在內部網路移動、滲透其他系統的行為。
作用範圍:整合多種資料來源,包含端點(EDR)、網路(NDR)、雲端、安全資訊和事件管理系統(SIEM)等。
功能:
優點:
適用場景:大型企業或組織需要整合多種安全資料,建立更智能、統一的威脅偵測與應對機制。
除了依賴程式自動化偵測,專業的資安人員也會透過監控、數據分析與應變處理來強化防護,並在事後進行鑑識調查。
監控的範圍涵蓋資料在網路中的傳輸流動、電腦系統內的檔案儲存狀況,以及系統操作或處理過程中所產生的日誌紀錄。
日誌是一種紀錄系統運作細節或資料傳輸過程的檔案。例如:網路通訊日誌。
以路由器為例,其日誌可能包含連線嘗試、驗證失敗的記錄,以及頻道切換等事件。
透過持續監控這些日誌,資安人員能夠及早偵測潛在的網路攻擊跡象,例如異常的登入行為或未經授權的系統活動。
SIEM(security information and event management)系統會從防火牆、伺服器和應用程式等來源收集並分析安全資料,能夠偵測異常行為並針對潛在威脅產生警報。
主要特點
SOAR(security orchestration, automation, and response) 平台能自動處理由 SIEM 所產生的警報,協調不同團隊與工具之間的工作流程,減少人工作業,加速威脅回應。
主要特點
名稱 | 專注領域 | 主要功能 | 時代/起源 |
---|---|---|---|
IDS/IPS | 網路 | 偵測/阻擋入侵行為 | 1980年代-2000年代 |
UTM | 網路(多功能) | 整合式安全功能 | 2000年代初期 |
WAF | 網頁應用程式 | 保護網頁應用免受攻擊 | 2000年代中期 |
EDR | 端點 | 端點威脅偵測與回應 | 2010年代 |
NDR | 網路 | 網路威脅偵測與回應 | 2010年代 |
XDR | 多個領域 | 統一的偵測與回應 | 2010年代末-2020年代 |
SIEM | 企業層級日誌資料 | 事件管理與威脅偵測 | 2000年代初期 |
SOAR | 自動化與協調 | 自動化事件回應 | 2010年代末期 |
SOC(Security Operations Center )是一個負責持續監控與防禦組織 IT 環境的團隊。他們運用 SIEM 和 SOAR 工具,實時追蹤、分析並回應各種資安事件。
主要任務:
當資安事件被確認後,CSIRT(Computer Security Incident Response Team) 負責接手處理。他們管理攻擊的隔離、緩解與復原工作。
主要任務:
對於大型機構而言,可能會有更進階的管制機制與單位。像是觀察通訊的特性(連接時間、通訊方式、連接者、操作的種類、操作的裝置),來判斷是否出現異於常態的活動。
今年 8 月,台積電即是透過員工的異常行為偵測,成功揪出一起機密外洩事件,成為異常偵測應用的典型案例。^7
除了訓練惡意行為模式本身就存在困難外,還面臨訓練資料取得與標註上的重大挑戰——如何在真實環境中擷取不含攻擊的純淨樣本?
若訓練資料中混入攻擊樣本,可能導致模型學習到錯誤的判準,反而做出相反的判斷。
實務上,也不存在一道明確的界線能將「正常行為」與「惡意行為」完全區分。例如,同樣是從銀行帳戶提領 600 萬,既可能是合規的交易,也可能是詐騙。
從現實中屢見不鮮的入侵案例來看,許多攻擊甚至能安全潛伏數月甚至數年^2 ^3 ^4 ^5 ^6,可見當攻擊者刻意規避偵測時,偵測機制的效果非常有限。
面對偵測系統所發出的異常警報,如何有效應對是一大挑戰。
例如 IDS 與 IPS 的選擇:若選用 IPS 自動採取阻斷行動,一旦遭遇大量誤報或測試型攻擊,可能導致服務頻繁中斷,進而影響系統正常運作;若交由資安團隊(如 SOC)判斷,即使排除人為疏忽,在 24 小時全年無休的壓力轟炸下,也容易造成誤判、漏判,難以及時精準地辨識真正威脅。
只要監控程式與數據記錄運行在同樣可能遭入侵的裝置上,就無法避免成為攻擊目標。
一旦攻擊者成功滲透系統並取得高權限,不僅能避開偵測機制,還可能竄改資安系統所回報的數據與狀態資訊,讓防護系統呈現「一切正常」的假象。
在資安人員被錯誤數據誤導,相信一切安全的情況下,攻擊者可持續操控受感染裝置,擴大攻擊規模,甚至竊取機密資料而不被發現。
即使取得的數據未遭竄改,這些日誌、警報等資安資訊,仍常因以下因素而難以即時與清晰地分析與判讀:
這些問題大幅增加了判讀的難度與反應時間。
以 DNC 遭駭事件為例,雖然荷蘭情報單位當時已掌握關鍵影片作為證據,足以證明 DNC 遭受入侵,但事件處理過程中仍陷入「通報—調查無異狀」的反覆循環,長達九個多月未能確認真相^8。
筆者抱歉,上一張關於防毒軟體的部分沒有來得及完成修改,在這裡補上。
現在新型態多樣的進階攻擊,讓傳統防毒軟體抵擋某種固定惡意程式的思維完全不適用。就算是面對這種沒針對特定目標大量散布的惡意軟體,往往透過點微小改動(如包裝、混淆、碼多態或延遲載入,特徵值就判別不到,未曾見過的的也完全無法捕捉。