目前常見的資安事件中,主要可分成「資料外洩」與「系統遭受攻擊」這兩大類。
在資料外洩方面,又可分成「內部行為」與「外部入侵」這兩種不正常存取方式,由於這些入侵行為通常是在幕後默默進行,因此一般不易在第一時間內發現,等到事件被發現時,犯案者通常已經得手,甚至已經銷聲匿跡,追查時只能進行亡羊補牢工作,對於已經發生的資料外洩與所造成的損失,想要彌補回來,可說是為時已晚。
在系統遭受攻擊方面,最常見的便是遭遇DDoS(Distributed Denial-of-Service)攻擊,攻擊者通常會利用被植入木馬的殭屍電腦,於特定時間內集中對特定目標進行網路存取動作,導致被攻擊的電腦、網站系統無法承受密集的系統存取動作,且造成系統當機或是存取速度變得極慢,這對於被攻擊者的企業不但丟失商機,也對企業形象造成衝擊。
資安日誌與網路流量綜合檢視與判讀
電腦系統中,無論是作業系統還是應用軟體,通常都會在程式的運作過程中留下日誌檔(log file),以便當程式運作出現問題時提供開發者檢驗問題,找出問題的可能發生原因的紀錄資料。不過,這些日誌檔通常都是經由一堆一般使用者難以理解的文字與數字紀錄所組成,除非發生嚴重的系統問題,通常是不會有人去在意與檢視這些日誌檔案。
從系統面看,當系統遭受外部攻擊時,網路流量將會出現異常的狀況,系統也會記錄下網路流量的變化情形。同樣地,這些網路流量的異常變化通常也不會在第一時間通知系統管理者,當系統管理者被告知時,通常系統已經遭受嚴重的攻擊或是出現系統癱瘓現象,不但,管理者來不及制止這些異常的網路存取行為,傷害也已經造成。
事實上,所謂「凡走過必留下痕跡」,任何系統遭受到不正常的存取或是遭受攻擊時,都會在日誌檔與網路流量資料中留下紀錄。但從許多事件案例中,我們可以發現一個共同現象,那便是當發現系統出現異常時,通常已經過了好幾個星期或數個月,一方面只能進行事後的追查,無法防範事件於未然,另一方面有可能因為事件已經發生過一段時日,當時的日誌檔與網路流量資料檔案已經被覆寫,或是因為紀錄檔案過於龐大,導致追查曠日廢時、困難重重。
提早進行防堵,甚至防範於未然
此外,其實網路入侵行為將會同時在系統日誌檔與網路流量資料檔案中出現端倪,但是當前這兩個檔案都是獨立存在的,而無法同時檢視、比較,來儘早發現可疑的網路活動。若有資安檢視系統能夠同時針對系統日誌檔與網路流量資料檔同時進行監測與判讀,將能夠加快找出異常活動的速度,無論是資料外洩或是系統遭受攻擊,如果能夠在事件發生的初期便能夠偵測到不正常的存取動作,提早進行防堵,將能夠避免事件朝向惡化發展,甚至防範於未然。
由於系統、應用軟體、服務的多樣性,入侵與攻擊技巧也在日新月異的演變,如何準確地分析與辨識出可疑的活動,並及早提出警示,減少誤報的現象發生,將是日後對於資安檢測系統的一大挑戰。
如何選擇一套能夠整合檢測系統日誌檔與網路流量資料檔呢?並從中找出彼此的關聯性,依據網路異常行為的模式分析,也針對可疑的內部與外部存取行為進行監控,甚至是對封包的內容進行檢測,以便從中找出可疑的蛛絲馬跡,並對管理者提供一目了然的操作介面,且能及早將可疑的活動提出警告,以便做出相關的因應措施,這將可大幅降低系統管理者的負擔。因此,防範「資安事件」於未然,遠比事後彌補與追查的亡羊補牢更有意義也更為重要。