Tipping Point:建立資安先遣軍 防範零時差空窗攻擊

儘管惡意攻擊的手法推陳出新,但唯有「零時差攻擊」可說是資安人員的永恆艱難挑戰,隨之而來的「資安空窗期」,更是造成企業資安防線崩潰的主要原因。

企業應用漏洞尚未修補更新,或新興威脅的特徵碼尚未部署之前,企業系統與網路將十分脆弱,非常容易在這段空窗期中被駭客成功入侵。更令人擔心的是,若軟體商尚未發現自身漏洞,或資安業者尚未試探出新威脅的特徵模式,駭客即已發動攻擊,更可能讓駭客長時間躲藏在企業網路中竊取各種機密資料。

IXIA減輕現有資訊設備負擔 提高企業安全

現今企業買入各式各樣的資安設備,卻也影響了網路效能。在安全與效能的兩難間,IXIA提供了解決方案。

IXIA最為人所知的是高階網路安全測試產品,市面上許多知名網路及資安設備大廠,如思科、3Com和趨勢科技等都是NSS 測試套件(NSS Test Pack)的用戶。IXIA的測試技術適用於各類型網路設備包括網頁應用掃瞄(Web Application Security, WAS)、閘道型防火牆、入侵偵測系統(IDS),可執行網路第2層到第4層的檢測,所有網路設備皆需通過NSS認證,可說是網路安全的圭臬。IXIA區域業務經理蔡瑞城並指出,IXIA 2012年收購的Breaking Point更是曾專屬於北約及聯合國同盟國部隊使用,2014年12月底之前禁止輸出的先進安全技術。

IXIA區域業務經理蔡瑞城

而因應企業網路資安需求,IXIA也擴展到企業安全領域。現今企業資安設備愈買愈多,一方面安全攻擊情形不見減緩,另一方面卻造成網路安全風險。他以一家客戶實際網路環境為例,從閘道防火牆、網頁防火牆、入侵偵測、進階攻擊防護(Advanced Threat Protection, ATP)防護系統無一不具備,其中防火牆還設了備援(High Availability)架構。而在不斷更新過程中可能出現小瑕疵的累積,而在面對大量流量衝擊時導致單點失效(single point of failure)的風險。

圖 1:疊床架屋的網路設備增加管理複雜性及成本

Threat Armor可以扮演企業網路的第一道防線。利用IXIA在網路節點進行網路封包側錄(TAP)分析,它具備SSL流量解碼能力,能封鎖外部進來的威脅,同時阻斷由內而外的惡意連線。以前述例子而言,Threat Armor它能先行過濾進入的流量中的惡意程式,之後再評估後端防火牆的運行狀態,將世界最大的每秒20萬道Netflow的速度,將流量導向運作正常的節點做進階分析。

這種做法可提供企業數重效益。首先,在流量過濾且重新導送過程中IXIA Threat Armor同時防堵惡意威及進行負載平衡,一方面維持網路營運不輟,另一方面大幅減輕後端網路安全設備的負擔,後者尤其關鍵。事實上防火牆、入侵偵測等等網路設備都有相當好的防護偵測能力,然而過濾規則設得愈多,對網路運作效能衝擊愈大,因此IT往往調降這些設備的防護層級,這也說明了何以安全設備愈買愈多,但卻仍然遭到惡意程式攻擊。而在使用Threat Armor後,安全設備負擔減輕,企業即可強化規則設定的嚴謹度,使網路安全得到提升。更好的是,在重新導送過程中,IXIA產品過程中完全不會掉任何封包。

另一項好處是成本節省。執行大數據分析最大挑戰之一是企業必須購買非常大的儲存設備來儲存進入的流量,即使實際上分析並不需要那麼多資料。該公司一家電信業客戶為了大數據專案必須添購傳輸速度高達6Gbps的設備,但在經Threat Armor過濾之後,需求降到1.3Gbps,因而省下可觀的費用。

圖 2:利用IXIA ThreatArmor作為網路第一道防線過濾流量,可減輕後方安全設備的流量負擔,進而將安全功能發揮到最大

IXIA作為第一道防線來過濾及導送安全流量,使企業不再需要添購過多儲存設備,而原有安全設備,如防火牆、IDP、WAS等也能發揮最大效用,不但提升了網路安全性,企業也因避免了設備疊床架屋的弊病,使網路環境獲得簡化及成本撙節的效益。

Tipping Point以低延遲性、高效能網路流量檢查方案 防護各種規模企業

Tipping Point以其高效能網路閘道型入侵偵測及防護產品(NGIPS)聞名,而在加入趨勢科技後則將防護對象,從大型企業延伸到各種規模的企業。

Tipping Point的高效能網路型入侵偵測方案享譽業界,名列Gartner入侵偵測與防護系統魔幻象限(Magic Quadrant)領導者象限,並在2017年NSS Labs效能評比中,以僅個位數的延遲性大勝思科、IBM及McAfee等競爭業者,不但達到99.6%的安全效率,而且幾乎完全不犧牲網路效能,(而且防護每1Mbps的成本僅6美元)。

Tipping Point北亞區解決方案架構師Simon Fan指出,Tipping Point的定位及技術在業界獨樹一格。不同於一般入侵偵測及網路防火牆產品,Tipping Point是在網路層扮演安全廠商的角色。而且有別於絕大多數其他廠商採用連線式(session-based)策略,Tipping Point採用流量式(flow-based)策略。連線式產品需要建立連線表(connection table)的特性,使其容易在駭客發動分散式阻斷攻擊(DDoS)時成為網路瓶頸,而業界唯一採用流量式設計的Tipping Point則可避免類似問題。

Tipping Point北亞區解決方案架構師Simon Fan

Tipping Point具備雙重電源供應器、支援Active-Active/Active-Standby網路備援模式,實現高可用性,也以獨特的技術實現產品的高效能。首先,客制化晶片具備ASIC晶片和高速背板,晶片內建殭屍網路防護過濾名單,得以大幅減低延遲性(latency),低於40微秒。其內建檢查功能可監控產品對封包的檢查時間值,防止過長的檢查引發延遲性、影響網路效能。另外Layer 2 Fallback(透通模式)機制,可在檢測引擎或軟體系統故障(如某個軟體程序中斷時)時,使系統直接將接收到的網路流量在二層就轉發出去,不再進行上層的檢測處理,確保證設備軟體故障時仍能保證網路營運不中斷。值得一提的是,Tipping Point在高可用性、高效能、高安全性之外,還具有誤判率(false positive)極低的特點。

圖3:Tipping Point TX系列在NSS Labs網路標竿測試中,展現遠低於競爭對手的超低延遲性

多數企業較熟悉的是Tipping Point的NX系列,3年前Tipping Point加入趨勢科技後,於2017年秋天推出了TX系列,包括8200及8400兩個機型,適合流量較小的網路環境。精準的URL信譽檢查(URL Reputation)不但能防範惡意網站,還能防止惡意連結放在Dropbox、Google雲端硬碟以避人耳目。進階威脅防護可整合Tipping Point的安全研究中心DV Labs和零時差攻擊研究中心ZDI(Zero Day Initiative)最先進的威脅情報,派送到Tipping Point安全管理系統(security management system, SMS),它還能整合Deep Discovery Analyzer的客制化沙箱模擬分析及檢測系統Deep Discovery Inspector,進一步瞭解網路威脅。最後的分析結果由SMS部署到Tipping Point 威脅防護系統(Threat Protection System, TPS),以即時攔阻威脅。

圖 4:結合Tipping Point SMS及Deep Discovery系列,將進階威脅分析部署到前端的威脅防護系統

此外,它的已知流量檢查迴避(inspection bypass)功能讓用戶可在封鎖有問題流量之外還能依據自訂規則,迴避設備檢查以確保流量效能,或導向外部SSL加解密設備進一步分析。TX系列另一項特點是彈性擴充能力,具備3G到40G的傳輸速度及最高2G的SSL加解密,利用現有AO(Active Optical Cable)堆疊(stack),可支援3台堆疊3G到12G流量傳輸,及5台最高10G的SSL加解密,而整個堆疊操作卻有如單一台那麼容易。最後,透過新增的授權模式,使企業用戶可以更快速依業務需求擴充到必要的容量,使安全防護的布建更為彈性。

有了Tipping Point TX系列的加入,使大型到小型各規模的企業都能獲得完善而高效的網路安全防護。

Tipping Point傲視業界安全解決方案的幕後推手ZDI

Tipping Point以入侵偵測系統提供高效能、低延遲性及更主動、誤判率極低的安全解決方案,很大一部份要歸功於其安全研究團隊ZDI(Zero Day Initiative)。

在漏洞的揭露者中,最為人所知的是Google Project Zero。Project Zero以90天為期限,期限一到即公佈廠商漏洞。而Tipping Point也有這樣一個單位,只是總是隱身在幕後而鮮為人知。簡單的說,ZDI研究團隊的工作是尋找出零時差攻擊及內外部產品漏洞,給予漏洞代碼(CVE Number),連同攻擊資訊及病毒特徵碼(signature)一併提供給客戶。Tipping Point相信「Open Human Source Intelligence」的策略,即人類的智慧是尋找零時差攻擊漏洞不可或缺的元素。Tipping Point南亞與韓國區解決方案架構師Johnny Yum說明,ZDI的宗旨是透過進階的研究分析,幫助企業客戶更早一步獲得保護。

Tipping Point南亞與韓國區解決方案架構師Johnny Yum

他舉例,2016年駭客團體Shadow Broker洩露了美國國安局(National Security Agency, NSA)製造如EternalBule的駭客攻擊工具,引發後患無窮,像是WannaCry挾持超過百萬台PC檔案要求贖金,以及多起資安事件中,駭客利用EternalBlue漏洞入侵電腦,並在PC植入採礦程式來開採另一種加密貨幣門羅幣(Monero)。雖然這些漏洞是2017年揭露,但ZDI早在2014年10月就已經通知客戶。

秉持高標準的自我要求,ZDI自2007年以來即是漏洞揭露的領導業者,平均每週釋出10到15個零時差攻擊的特徵碼。2016年所有獲得驗證的漏洞中,ZDI更以663項(52.5%)成為業界之冠,產品漏洞遍及Adobe、Oracle、微軟、蘋果及Google,當年這個單位研究人員獲頒的抓蟲獎金超過200萬美元。

圖 5:2016年所有獲得驗證的漏洞中,ZDI揭露的漏洞佔52.5%

以比例而言,ZDI揭露的漏洞分別佔微軟1/4及Adobe的1/3。在微軟承認的漏洞中,2016年ZDI佔22%高居第一,遠超過Palo Alto、卡巴斯基、FireEye或Intel Security等安全公司研究部門。而美國國土安全部旗下的ICS-CERT(Industrial Control Systems Cyber Emergency Response Team)認可的漏洞中,ZDI也連續兩年大勝其他業者。

談到提供客戶防護,一般業界講求的是同日防護(same day protection),即在修補程式發佈時,同步釋出惡意程式特徵碼,但ZDI追求的是零時差防護(zero day protection),也就是產品廠商發佈修補程式之前,就已經完成漏洞或惡意程式的研究,而先眾人一步發佈特徵碼。

總計2017年ZDI發佈給趨勢科技客戶的零時差攻擊過濾特徵碼達512個,佔業界的37.4%,而相較產品業者自行發佈漏洞通報的日期,ZDI分別比微軟和Adobe超前了42天及63天,比業界整體平均更是早了2.5個月(72天)。

圖 6:ZDI發佈惡意程式特徵碼的時間,大幅早於軟體公司自己釋出修補程式

至於ZDI在零時差攻擊研究上領先同業的關鍵為何?其中之一是機器學習(machine learning)技術。現今零時差攻擊普遍使用一種「數位產生演算法(digital generation algorithm, DGA)」的技巧,其C&C伺服器不斷變換網域並會從載入的惡意程式移除靜態網域以躲避IDS/IPS偵測。DGA見於近年數個最兇猛的惡意程式,包括Angler EK、Conflicker、CryptoLocker、Dyre及Simda等。

ZDI運用機器學習分析技術,蒐集大量網站發出的回呼(call back)流量辨識出良性及惡意網站,經過特徵選取、模型建立,可以大海撈針的精準度辨識出惡意程式,最後產生惡意程式特徵碼,最後部署到客戶端。這種以機器學習為基礎的偵測最大特色是誤判率遠於其他偵測法。

有了ZDI在幕後以先進分析及更主動的特徵碼釋出的服務,趨勢科技的客戶將因獲得更完善的保護。

Tipping Point完整產品線 為客戶防堵已知與未知安全威脅

隨著網路威脅手法日新月異,Tipping Point發展出多種產品線及服務偵測已知及未知的惡意程式,提供企業最完整的防護。

駭客發展出的攻擊手法林林總總,從漏洞攻擊、Web攻擊、間諜軟體、魚叉式網釣(spear phishing)、暴力攻擊如DDoS或殭屍電腦大軍攻擊、以及Android手機遭偷植入,將手機當成Monero挖礦機等。但駭客社群仍然持續演進發展出新攻擊,像是知名網路論壇GitHub今年2月遭到史上最大、高達1.35TB的DDoS攻擊,造成至少5分鐘的斷線。

此外,Tipping Point北亞區解決方案架構師Simon Fan,不同於傳統以IP偽冒(IP Spoofing)手法,發送大量連線從外塞爆目標對象網頁伺服器,新型態DDoS改採session-based連線,透過大量呼叫後台伺服器,導致連線階段暫停而阻止了後續連線,像是近年流行的DNS為目標的攻擊,此類以應用為基礎的DDoS只產生比平常高一點的流量。此外還有一種DDoS攻擊,是透過從負載平衡伺服器重覆傳送單一流量,藉此癱瘓防火牆。這些新式攻擊從外部偵測卻無從發現。他以此為例說明,企業安全不斷進步,但攻擊者也在演進,因此企業必須要經常從駭客的角度來檢視自己的網路環境,才能做好充足的準備。

而這最有效的方法即是有安全夥伴。趨勢科技2016年收購了Tipping Point之後,兩者技術得以互補成為完整的安全解決方案。針對已知威脅,提供攻擊過濾名單、機器學習等技巧產生的攻擊特徵碼,ZDI(zero day initiative)集結超過3000位安全研究人員嘔心研究的成果,以平均超前業界2.5個月的時間將特徵碼發佈給企業客戶。最後,趨勢科技的客制化沙箱(sandboxing)及進階威脅防護(advanced threat protection, ATP),還能整闔第三方安全產品協助針對未知威脅的偵測及防禦。

圖 7:趨勢科技包含IPS產品線、ZDI研究團隊及外部產品整合,提供已知與未知威脅的防護

以Tipping Point Deep Discovery Inspector(DDI)為基礎的進階威脅防護(ATP)提供電子郵件及網路防護。ATP for Email可偵測與封鎖包含未知惡意附檔和連結的魚叉式網釣郵件攻擊,而ATP for Network能對所有協定的網路流量進行深度分析,可偵察對外而內的隱蔽威脅、由內向外的C&C呼叫,以及惡意程式進入內網後的橫向擴散行為,或是內部人士的可疑活動。這些產品偵測,連同網路上的IPS威脅防護系統(Threat Protection System, TPS)形成完整的網路防禦系統,所有偵測到的事件皆彙整到安全管理系統(security management system, SMS)。SMS平台會部署最新的威脅特徵碼到TPS,以即時防堵已知的網路威脅。

圖 8:Tipping Point的進階威脅防護產品線提供完整的網路防護

此外,趨勢科技的主機型IPS產品 Deep Discovery 威脅防護平台能即時偵測、分析難以偵測的目標式攻擊。Deep Discovery 已經發展出防火牆、Web信譽、Log檢測、入侵防護、惡意程式防堵及Integrity Monitoring 6種模組,提供企業完整防護,它支援VMware、Microsoft Hyper-V、或OpenStack KVM等虛擬機器(VM)、也支援公有雲如Microsoft Azure、Amazon EC2或是Linux 、Windows,可以事件送到沙箱分析,最後將結果送到Smart Protection Center,如此部署從端點到網路端的完整防護。

Tipping Point的IPS支援網路切割(segmentation),能對不同網段實施不同安全政策,有如防火巷的功用,防止攻擊在網路內擴散。

然而再完整的產品線也難以解決所有威脅,這時需要搭配第三方產品。例如因應爆量型的CPS(connections per second)DDoS產生大量連線,趨勢科技可配合外部分析軟體執行流量分析,或是整合PCAP產品以協助分析HTTP流量使用的PCAP格式,最後將分析結果派送到TPS完成在線的封鎖。

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416