天氣預報
2004-02-19, 05:27 PM
攻擊時間表
Paul Proctor/MetaGroup•鍾瑩譯 2004/02/17
將各式各樣偵測、回應技術的價值一一表列出來並非易事,因而要讓組織選擇一套完整且符合所需的安全工具組也就困難重重。
META趨勢:威脅與安全弱點管理將加快整合步調,由(披上「預防入侵」外衣)的入侵偵測瓜分更多的安全弱點與資產資訊(asset information)市場(2004/05)。雖然自動化警示的技術將普及於各組織,但直至2005/2006之前,其用途仍相當有限。對於這類由中心統籌管理的相關產品(諸如漏洞預警、入侵偵測等系統),市場需求持續暢旺,供應商雖已由各自為政邁向整合,但技術將遲至2007年才會趨於成熟。
研究顯示,直至2008年,監測與偵防將持續在企業成長壯大。為了進一步了解偵測技術,有必要了解完成偵測所需的時間,一來係因並非所有的攻擊火力都相當,二來是尋找新的解決方案時,易流於指鹿為馬,無法對症下藥。本文提供攻擊的時間表(timeline),方便大家了解偵測、反應、以及其他安全技術該怎麼用,以及該用於什麼地方。
時間表(見圖一)本身是一個連續體,在中心點「零時」的位置上,出現的是攻擊事件。攻擊事件兩邊分別是監測(monitoring)與入侵偵測技術登場的各個時間點。整體而言,出現在時間表左邊的機制可視為保護行動,出現在時間表右邊的機制可視為偵測行動。極左是評估,極右是原因研判(forensics)。
每一個時間點有其優點與必備的技術條件。涵蓋多個時間點始能建立完整的點對點監測-入侵偵測網。時間表旨在提供組織具體的時間架構,讓與會者站在共識的基礎上,深入討論如何偵測、碰到入侵又該如何因應。有些技術會標示在時間點之上,讓大家充分了解它的用途。一些特定事件也會標示在時間點之上,方便大家了解攻擊造成的衝擊與為害範圍。
遇襲之前數天或數週
此時段是多方評估目標系統設定恰當與否的最佳時機,評估對象包括已知的修補程式、政策、安全弱點。傳統上,此時所需的技術包括手動分析─諸如安全態勢評估、滲透測試等,外加安全弱點評估與企業安全政策管理工具,但不限於這些技術。這時段所作的評估目的是確認系統安全無虞,或者至少無可讓攻擊者乘虛而入的弱點。
遇襲前數小時
這時段的評估通常屬於週期性,不過圖一的第二個時間點顯示,數小時一次的評估頻率vs數天數週數月一次的評估頻率(如弱點評估、滲透測試等)。
遇襲前剎那
閘道口監視機制啟動,針對過往資料流量決定是否讓它通過,在這種情況下,存取控管機制可以在事前有效阻止攻擊。
零時(遇襲)
這個時點表面上看似單純,實則不然。在這個背景之下,似乎可以輕而易舉了解為何能攔到欲存取未被授權檔案或植入Sobig之類病蟲的意圖,不過許多導致重大損失的攻擊,用的是更為複雜且綿密的手法。舉例而言,一家大型軟體製造商2001年遇襲,入侵者花了十二天的時間多次登錄,每次用的都是合法的用戶帳號以及密碼,入侵者最後終於如願發現廠商某個重要企業應用的原始碼,下載了其中一部份。此例衍生的問題如下:
怎樣才算攻擊?
原始碼被下載之前,算是攻擊嗎?
零時等於第一次非法登錄的時間點嗎?
共被非法登錄了幾次?若超過一次,算是多次攻擊嗎?
顯而易見遇襲的定義與必備的偵測攻擊機制可能模糊不清,無法讓人清楚掌握。由是之故,組織有必要清楚交代哪些攻擊算攻擊,以及需要安裝哪些機制防範入侵。有些攻擊次數只有一次,但許多攻擊屬於多發性動作,合計加起來算一次,所以零時應該落在哪個點上,並不容易拿捏。
遇襲後瞬間
傳統上又稱即時偵測(real-time detection)。積極的偵防機制旨在極短的時間內搜尋誤用模式。業界對於即時的定義鎖定在遇襲後五秒至五分鐘之間。組織應該了解自己對即時的定義,確認技術足以勝任即時反應。
遇襲後數小時
通常又稱後處理偵測(post-processing detection)。將資料彙整後統一處理,由於有些管道傳來的資料也許會有時間差,待所有管道提供的資料全部到齊後再處理,好處是防範漏網之魚。後處理偵測所動用的網路與資源少於即時偵測。
遇襲後數日數週
研判原因領域(forensics)擁有的應用跨了數個領域,包括長期性的入侵偵測、危害評估、調查支援、甚至保護(根據過去的來襲偵測,顯示弱點區)。長期性的攻擊偵測向來被漠視,不過一般常識顯示,高達80%的損失歸因於內部誤用或濫用。內部資料可顯示多重攻擊的作案時間可以拉得蠻長。時間表的用途可以嘉惠許多流程。(見圖二)
結論:攻擊時間表對組織是一個相當重要的概念,有助於了解市面上各式各樣安全工具的性能,以及自己公司對偵測的技術需求。
企業衝擊:無法了解自己需要什麼樣的偵測技術可能買到錯誤的技術,以致法讓現有工具發揮其所長。
http://taiwan.cnet.com/enterprise/technology/0,2000062852,20087552,00.htm
Paul Proctor/MetaGroup•鍾瑩譯 2004/02/17
將各式各樣偵測、回應技術的價值一一表列出來並非易事,因而要讓組織選擇一套完整且符合所需的安全工具組也就困難重重。
META趨勢:威脅與安全弱點管理將加快整合步調,由(披上「預防入侵」外衣)的入侵偵測瓜分更多的安全弱點與資產資訊(asset information)市場(2004/05)。雖然自動化警示的技術將普及於各組織,但直至2005/2006之前,其用途仍相當有限。對於這類由中心統籌管理的相關產品(諸如漏洞預警、入侵偵測等系統),市場需求持續暢旺,供應商雖已由各自為政邁向整合,但技術將遲至2007年才會趨於成熟。
研究顯示,直至2008年,監測與偵防將持續在企業成長壯大。為了進一步了解偵測技術,有必要了解完成偵測所需的時間,一來係因並非所有的攻擊火力都相當,二來是尋找新的解決方案時,易流於指鹿為馬,無法對症下藥。本文提供攻擊的時間表(timeline),方便大家了解偵測、反應、以及其他安全技術該怎麼用,以及該用於什麼地方。
時間表(見圖一)本身是一個連續體,在中心點「零時」的位置上,出現的是攻擊事件。攻擊事件兩邊分別是監測(monitoring)與入侵偵測技術登場的各個時間點。整體而言,出現在時間表左邊的機制可視為保護行動,出現在時間表右邊的機制可視為偵測行動。極左是評估,極右是原因研判(forensics)。
每一個時間點有其優點與必備的技術條件。涵蓋多個時間點始能建立完整的點對點監測-入侵偵測網。時間表旨在提供組織具體的時間架構,讓與會者站在共識的基礎上,深入討論如何偵測、碰到入侵又該如何因應。有些技術會標示在時間點之上,讓大家充分了解它的用途。一些特定事件也會標示在時間點之上,方便大家了解攻擊造成的衝擊與為害範圍。
遇襲之前數天或數週
此時段是多方評估目標系統設定恰當與否的最佳時機,評估對象包括已知的修補程式、政策、安全弱點。傳統上,此時所需的技術包括手動分析─諸如安全態勢評估、滲透測試等,外加安全弱點評估與企業安全政策管理工具,但不限於這些技術。這時段所作的評估目的是確認系統安全無虞,或者至少無可讓攻擊者乘虛而入的弱點。
遇襲前數小時
這時段的評估通常屬於週期性,不過圖一的第二個時間點顯示,數小時一次的評估頻率vs數天數週數月一次的評估頻率(如弱點評估、滲透測試等)。
遇襲前剎那
閘道口監視機制啟動,針對過往資料流量決定是否讓它通過,在這種情況下,存取控管機制可以在事前有效阻止攻擊。
零時(遇襲)
這個時點表面上看似單純,實則不然。在這個背景之下,似乎可以輕而易舉了解為何能攔到欲存取未被授權檔案或植入Sobig之類病蟲的意圖,不過許多導致重大損失的攻擊,用的是更為複雜且綿密的手法。舉例而言,一家大型軟體製造商2001年遇襲,入侵者花了十二天的時間多次登錄,每次用的都是合法的用戶帳號以及密碼,入侵者最後終於如願發現廠商某個重要企業應用的原始碼,下載了其中一部份。此例衍生的問題如下:
怎樣才算攻擊?
原始碼被下載之前,算是攻擊嗎?
零時等於第一次非法登錄的時間點嗎?
共被非法登錄了幾次?若超過一次,算是多次攻擊嗎?
顯而易見遇襲的定義與必備的偵測攻擊機制可能模糊不清,無法讓人清楚掌握。由是之故,組織有必要清楚交代哪些攻擊算攻擊,以及需要安裝哪些機制防範入侵。有些攻擊次數只有一次,但許多攻擊屬於多發性動作,合計加起來算一次,所以零時應該落在哪個點上,並不容易拿捏。
遇襲後瞬間
傳統上又稱即時偵測(real-time detection)。積極的偵防機制旨在極短的時間內搜尋誤用模式。業界對於即時的定義鎖定在遇襲後五秒至五分鐘之間。組織應該了解自己對即時的定義,確認技術足以勝任即時反應。
遇襲後數小時
通常又稱後處理偵測(post-processing detection)。將資料彙整後統一處理,由於有些管道傳來的資料也許會有時間差,待所有管道提供的資料全部到齊後再處理,好處是防範漏網之魚。後處理偵測所動用的網路與資源少於即時偵測。
遇襲後數日數週
研判原因領域(forensics)擁有的應用跨了數個領域,包括長期性的入侵偵測、危害評估、調查支援、甚至保護(根據過去的來襲偵測,顯示弱點區)。長期性的攻擊偵測向來被漠視,不過一般常識顯示,高達80%的損失歸因於內部誤用或濫用。內部資料可顯示多重攻擊的作案時間可以拉得蠻長。時間表的用途可以嘉惠許多流程。(見圖二)
結論:攻擊時間表對組織是一個相當重要的概念,有助於了解市面上各式各樣安全工具的性能,以及自己公司對偵測的技術需求。
企業衝擊:無法了解自己需要什麼樣的偵測技術可能買到錯誤的技術,以致法讓現有工具發揮其所長。
http://taiwan.cnet.com/enterprise/technology/0,2000062852,20087552,00.htm