網路防護是一個廣泛的用詞,意指保護所有運算資源,防止資源因駭客攻擊而使其可用性、機密性與一致性遭破壞,包括:惡意程式防護、防火牆、入侵防護、資料外洩防護以及其他防護。
網路防護是針對網路而添加的保護性控管技術,多年來,這類控管技術已有長足的進展,而且,隨著我們對網路防禦的了解更加透徹,以及駭客不斷開發出新的攻擊技巧,網路防護也持續不斷演進。
想要獲得最有效的防護,首先您必須先了解當前的威脅情勢與網路弱點。其中很重要的一點就是要了解您有有哪些種類的控管技術可用,如此才能為您的網路挑選適當的廠商、解決方案,以及網路組態。
所謂的威脅,是指任何可能破壞資源的機密性、可用性或一致性的潛在問題,這些威脅包括:機敏資料外洩、資料遭到篡改,甚至是服務遭到阻斷。
威脅情勢的組成包括了威脅本身、製造威脅的歹徒,以及歹徒發動攻擊的威脅管道。所謂的歹徒,是指利用既有威脅來造成危害的個人與團體。
例如,如果是筆電被偷,那麼歹徒就是竊賊。威脅管道是指歹徒攻擊的途徑,例如:未上鎖的門,以及未牢牢栓在桌上的筆記型電腦。
威脅要能得逞,必須要有機可乘,也就是漏洞。漏洞是指歹徒可用來對抗安全管制政策的弱點或瑕疵。
沿用前面筆記型電腦的例子,輕量化設計、攜帶性與方便性等等,都是筆記型電腦吸引客戶的特點,但這些特點同時也是筆記型電腦容易失竊的弱點。因此,一些安全管制措施,如門鎖或纜線式防盜鎖,就能拖延歹徒的犯案速度,降低筆記型電腦被盜的機率,進而降低整體風險。
機密性、一致性與可用性 (簡稱 CIA),是決定任何資安流程目標的主要因素。資安流程的訂定牽涉到許多策略和活動,主要分成三個階段:防範、偵測及回應。
防範階段有以下幾項重點,這些都需要透過明確的政策來實踐:
接下來是偵測,也就是建置一些功能來監控並記錄系統的活動。負責偵測的系統在發現可疑的入侵或惡意活動時,應立即通知負責的單位或人員。為了讓偵測階段發揮應有價值,接下來必須要有迅速而有計畫的後續回應。
回應是一種預先規劃好的資安事件矯正動作,包括:阻斷進行中的攻擊、套用最新的修補更新,或是變更防火牆的組態設定。
了解網路防護的一些基本觀念非常重要,身為善良的一方,若您對漏洞和歹徒沒有清楚的認知,您就不知道如何建置最有效的資安控管。例如您必須具備一個觀念,那就是使用者在存取系統之前,得先經過身分驗證才行。有了這些基本觀念,您才能夠挑到正確的廠商和解決方案。
存取控管幾乎是每個人都熟悉的一種資安控管機制。今日絕大多數人都會使用密碼來登入電腦,搞不好幾分鐘前才剛登入。此外,您應該也會使用密碼來存取網路、應用程式或檔案,平均每個人至少會用到 10 個密碼。
存取控管機制可分成四個部分:身分識別、認證、授權、責任歸屬 (簡稱 IAAA)。此流程使用一個獨一無二的識別碼來確認使用者的身分,例如:使用者 ID、使用者名稱、帳號等等。
系統會查驗使用者所記得的憑證來確認使用者的身分,例如:使用者名稱加密碼。或是使用者所持有的東西,例如:ID 卡或一次性密碼。在系統確認過使用者身分之後,接下來就是透過授權程序來提供使用者存取權限。
最後一部分 (也就是責任歸屬) 包括追蹤使用者的活動,讓存取系統的使用者對自己在系統上的行為負責。密碼並非今日唯一的認證機制,還有許多其他替代選項,包括:由硬體或軟體產生的一次性密碼、智慧卡,以及生物特徵。不論是何種網路資源的存取認證,在挑選時都要經過審慎的評估。
所謂的網路分段,是將一個實體網路細分成多個邏輯網路以便對各邏輯網路之間的流量進行管制的一種手段。這樣做不僅能提升安全,還可改善效能。虛擬區域網路 (VLAN) 就是一種常見的網路分割方法,可建置在企業內部或者透過雲端基礎架構來達成,在雲端上,這稱為虛擬私有雲 (VPC)。
傳統位於實體資料中心內的網路都有清楚明確的邊界,那就是資料中心對外連線的交界處。然而今日的網路邊界很難定義,但我們卻仍然沿用著許多舊式的防護技術。
包括防火牆 (FW)、入侵偵測 (IDS) 以及入侵防護 (IPS)。當您在定義一個邊界時,您必須決定要允許哪些資料、語音、視訊等流量通行。一旦您想好該讓哪些類型的流量通行之後,接下來就能設定對應的控管機制。
所謂的加密,是利用一把金鑰來將資料從明碼轉成暗碼,以確保資料在傳輸過程或儲存狀態下的機密性與一致性。加密技術主要分成:對稱式與非對稱式加密兩大類型。
古埃及人使用對稱式加密來保護機密。今日所用的概念大致相同,但採用的演算法卻複雜許多。例如,如果您要確保銀行連線階段的機密性,您可能會採用對稱式加密。但為了確認銀行網站的真實性,您可能會透過非對稱式加密來安全地交換該連線階段使用的對稱式加密金鑰。
雜湊值是透過演算法來將原始訊息或資料轉換成一個數值,進而產生一串固定長度的隨機字串。這字串可當成一個金鑰,用來確保原始訊息或資料的一致性。
雜湊值演算法是資料通訊當中用來驗證資料一致性的方法。例如,當您在閱讀這句話時,您怎麼確定您讀到的是我當初所寫的文字? 這句話是否曾經被不小心或惡意篡改?
雜湊值演算法可用來確認這句話中的字母 (也就是每個最小單元) 沒有被不小心變更。如果將雜湊值加密,還可確保文字沒有被駭客惡意篡改。雜湊值目前已被廣泛用於:安全地儲存密碼、監控檔案內容、確保通訊一致性等等。
一套縱深防禦的網路防護,主要包含以下幾項元素:人員、作業、技術。一旦找出威脅您企業的風險並且加以妥善評估之後,您就能決定您的網路防護需求,包括您的邊界防禦、防火牆警示回應、入侵偵測及防護、記錄檔等等該採用何種技術。我們先從防火牆開始。
防火牆是一種非常傳統的資安機制,它保護網路與終端系統的歷史已超過 25 年。對防火牆而言,網路流量基本上分為兩種:一種是可放行的正常流量,另一種是必須攔截的不當流量。封包過濾器是最早專門用來過濾不當流量的一種防火牆。
目前,防火牆廠商已開發出各式各樣的方法來分析流量並加以自動分類,進而衍生出多種不同的防火牆,包括:第一代封包過濾器、新一代防火牆,以及目前的雲端防火牆。
有別於防火牆,入侵偵測及防護 (IDPS) 會監測網路上的惡意活動、通報網路資安事件與潛在威脅,並且自動採取回應動作。而防火牆的做法是讓正常流量通行,其餘的就加以攔截。
入侵偵測 (IDS) 會尋找不該存在的流量,並且專門尋找來自駭客或其他不法之徒的流量。不過,在其技術發展的過程當中,一定有人提會出這樣一個問題:既然我們已經知道某些流量是來自駭客,那為何我們只是將它記在記錄檔內? 為何我們不要一發現就將該流量的封包丟棄? 這就衍生出所謂的入侵防護 (IPS)。
IPS 在特性上屬於主動式防護,當它發現某個流量是來自駭客時,就會主動採取行動來破壞其通訊,這聽起來是個很棒的點子。但實務上,這類系統調校起來非常複雜,很不容易找到平衡點,如果調校不當,反而會讓正常流量被攔截,而駭客流量確能正常通行。因此,大部分的企業都只導入 IDS,然後將事件寫入記錄檔,再配合一套資安事件管理 (SIEM) 系統,以及事件應變計畫與應變團隊。
虛擬私人網路 (VPN) 可在資料流經您的網路時確保其機密性。VPN 的核心是加密,然後再配合認證。VPN 有三種加密方式,尤其是針對需要透過筆記型電腦或手機從遠端連上公司網路來使用的應用程式。這三種加密方式為:IPSec、SSL/TLS 和 SSH。其他應用程式也會使用這三種加密協定。
IPSec 是一種幾乎可以用於任何情境的加密協定,因為它是在國際標準化組織 International Organization for Standardization,簡稱 ISO) 的開放系統互聯 (Open System Interconnect,簡稱 OSI) 網路模型的第 3 層上運作。第三層是所謂的網路層,負責將網路上的資料、語音或視訊傳送至正確的目的地。所以,如果您採用 IPSec,那麼它會將您的資料以加密的形式傳送至目的地。一個在 VPN 以外的常見用途就是用來保護企業據點對據點之間的連線。
Transport Layer Security (TLS) 是 SSL 的升級版。它原本有可能稱為 SSL 4.0,但其所有權卻在 1999 年從 Netscape 轉手至 International Engineering Task Force (IETF),因而改名。TLS 為 VPN 提供了一種加密選項,但也可用於任何網頁連線。包括從瀏覽器連線至銀行、Amazon 或任何其他網址列上顯示著鎖頭圖示的網站。
Secure Shell (SSH) 主要用於從一台電腦建立遠端連線至另一台電腦。網路系統管理員經常用它來連線至伺服器、路由器及交換器來執行系統管理。這類連線主要用於組態設定與監控。
當您企業有一些內容、書籍、手冊等等希望跟客戶分享,但卻不希望客戶隨意外流時,就可以透過數位版權管理 (DRM) 來解決。DRM 軟體對今日的電腦使用者來說並不陌生。
若您會觀賞 Netflix 或 Amazon Prime Videos,或是會在 Spotify 或 iTunes 上聽音樂,那麼您已接觸過 DRM。當您在 Kindle 上閱讀一本書時,您不能隨意將這本書與任何人分享。Kindle 應用程式的 DRM 軟體通常不允許您這麼做,但這也要看該書的版權而定。
若您企業擔心使用者會發送一些含有機敏資訊 (如信用卡卡號) 的電子郵件給公司以外的人,那麼資料外洩防護 (DLP) 會是個不錯的解決方案。
DLP 工具會監控一些不該傳出企業 (因而導致機密外洩) 的流量,並加以攔截,至少概念上是如此。DLP 非常難以妥善設定,但仍值得考慮,因為它可防止企業意外洩漏機密。
對所有企業來說都很重要的一種資安控管手段就是監控,尤其是監控攻擊、威脅、入侵、駭客等等。談到資安,您最好假設您企業總有一天會遭駭客入侵,而且使用者一定有可能會犯錯。因此,您應隨時留意自己是否遭到攻擊,並預先做好因應的準備。一般企業最大的問題在於甚至不曉得自己已經遭到攻擊。
裝置必須將事件記錄下來,好讓您知道您的網路曾經發生什麼,以及現在正在發生的事。有了事件記錄之後,您應該將這些記錄傳送至一個集中的 Syslog 伺服器來進行分析。
這類分析工具一般稱為資安事件管理 (SIEM) 系統,它可交叉關聯所有事件,尋找可能的入侵指標 (IoC)。此外,當發現 IoC 時,必須有人來檢查相關的事件,並判斷是否必須採取行動來阻斷攻擊,或者在攻擊過後修復及復原系統。