HOME 回資訊服務處首頁 Login
2016年第16期
簡訊
8月11日至25日舉辦本院新版網站版型設計票選活動
微軟發出重大等級安全公告,請立即進行更新
近期惡意信件整理
資安通報
資通安全教育訓練課程公告
資訊推廣課程公告
二項資料庫開放使用
9月2日至5日第十三屆台北3C電腦電器空調影音大展
資訊安全
淺談資安防禦哲學與CSIRT
 
資訊安全 >
上一篇 | 返回電子報
 
淺談資安防禦哲學與CSIRT
 
資安組:林子煒

壹、 前言
 近年來各行各業的資訊安全事件頻傳,部份資安事件造成企業巨大的財物損失,並且危及企業的生存。藉由媒體對資安事件的大幅報導,讓社會大眾對資訊安全的重要性有了基本的了解,企業界也在資訊安全的相關防護上投入了相當的人力與財力。然而,如何以最小的投資達到最大的防禦效益,而且又能降低對資訊安全設備無止境採購的需求,已是企業界現階段真正要面對的課題了。

 本文將針對上述總總問題,介紹去年Blackhat曾談及的資訊安全防禦思維,以及針對CSIRT的機制及未來如何進行資訊安全措施,做一較深入的探討,希望能提供一個思考的方向。

貳、 安全議題

 
圖1 Blackhat USA 2015會場(圖片來源:筆者拍攝)

 Blackhat USA 2015 去年在美國拉斯維加斯舉行,其中Splunk研究團隊發表了以《從誤報到可操作的分析:行為入侵偵測機器學習機制與資安維運中心 (From False Positives to Actionable Analysis: Behavioral Intrusion Detection Machine Learning and the SOC)》為題之研究。該團隊經過了經年累月的努力,在全世界收集了超過九千個惡意程式樣本,依其研究,平均每個惡意程式含125行的程式碼,但為了做到防禦這些惡意程式,光是防禦單一個惡意程式就需撰寫一萬行程式;再者,在市面上的產品質量不確定的情形下,資訊安全市場其實是個資訊不對稱的檸檬市場(Lemons Market),相關產品將呈現品質下降的趨勢;另外,一般企業的思維是,等出事了再來評估資訊安全產品,「除非為時已晚,否則我不買這些資安產品」。因此,Splunk研究團隊的講者Joseph Zadeh介紹了對於防禦的哲學及該團隊發展的理論。

參、 防禦的哲學

 
圖2《復仇忠孝傳(報讐忠孝伝)》中所繪之宮本武藏(圖片來源:Wikipedia)

 在資訊安全領域中,對於「防禦」這件事一直未有較為大眾認同與接受的概念或作法。在這場演說中,Joseph Zadeh引用了一句英文名言:

"If you know the Way broadly you will see it in everything."

 這句話的原創者並非來自西方的哲人,而這句話的原文也不是來自英文。這句話其實是出自日本江戸時代初期的劍術家與兵法家,是「二天一流」劍法的始祖宮本武藏(Musashi Miyamoto)。上述英文句子出自於他所著之既為劍法也為兵法的《五輪書》之地之卷,此章節為本書之大綱與導讀解說,亦在本卷初步解釋二天一流的兵法意涵。上述英文名言應出自於以下段落:

『其道にあらざるといへども、道を廣くしれば、物ごとに出合事也。』

 宮本武藏的這番話,後世解釋為宮本武藏對於「武士道」的解讀:「武士道跟其他的修煉之路(儒家、道家、茶道家、舞蹈家)不同,只要你能清楚武士道為何物,你就可以很自然地與你人生中所遇見的其他道路相對應。」

 
圖3 Joseph Zadeh介紹宮本武藏(圖片來源:筆者拍攝)

 Splunk研究團隊認為,宮本武藏的這番哲學,與「碎形理論(Fractal Theory)」十分相近。碎形又稱分形、殘形,一般被定義為「一個粗糙或零碎的幾何形狀,可以分成數個部分,且每一部分都近似整體縮小後的形狀」,即具有自相似的性質。

 
圖4曼德博集合(Mandelbrot Set)是碎形的很好例子(圖片來源:維基百科)

 簡而言之,碎形理論下產生的形狀,無論從大而觀或從小而見,都十分相似。Joseph Zadeh認為,「資訊安全」結合了偵測、防禦及回應於一體,因此不管從單一系統去檢視,抑或是從整體企業去規劃,無論規模大小所做的事情應為十分類似。因此在他們的白皮書《規模防禦:為資安維運中心建置中樞神經系統(Defense at Scale: Building a Central Nervous System for the SOC)》中,發展出一個數學公式,以偵測惡意行為的手法、技術與過程(Tactics, Techniques, and Procedures (TTPs),包含攻擊特徵、惡意軟體、暴露之弱點、使用工具、事件架構、受害目標等),並認為此套理論可以被利用在各種不同使用情境及規模,這樣的防禦方式稱為「碎形防禦(Fractal Defense)」。

 已有越來越多資安產品強調以「行為模式」偵測並防禦攻擊行為,Joseph Zadeh認為,透過機器學習機制,掌握攻擊者的行為特徵(包含手法、技術與過程),比起利用變動頻率越來越大的IP及域名黑名單或特徵(Signature)偵測,無論攻擊或應用的規模大小皆可達到有效防禦。若想對Splunk研究團隊的「碎形防禦」及其發展出的安全防禦架構Lambda Security有更進一步的瞭解,可逕行至參考資料來源1與2之連結,進一步深入研究。

肆、 CSIRT簡介
 鑑於網路攻擊事件的規模越來越大,因此,需要一個統籌協調機關,進行資訊安全通報之統籌工作,必要時提供適當協助。

一、 簡史
 CSIRT在一開始並非稱為CSIRT,而是CERT (Computer Emergency Response Teams)。全世界第一個CERT是由美國卡內基美隆大學(Carnegie Mellon University)成立,起因為調查1988年的莫里斯蠕蟲案(Morris Worm,依據美國1986年的《計算機欺詐及濫用法案(Computer Fraud and Abuse Act, CFAA)》而定罪的第一宗案件)。至此之後,卡內基美隆大學更成立CERT/CC (CERT Coordination Center)作為各地CERT的協調中心,各地的CERT亦如雨後春筍般冒出。後來,因為其他CERT想要與登記在卡內基美隆大學校內的CERT有所區別,因此紛紛改以CSIRT (Computer Security Incident Response Team)為名。國內則有TWCERT/CC(台灣電腦網路危機處理暨協調中心)、TACERT(台灣學術網路危機處理中心)及GSN-CERT/CC (GSN政府網路危機處理中心)等含CERT字眼之組織。

  
圖5 TWCERT/CC、TACERT及GSN-CERT/CC(圖片來源:各單位網站截圖)

二、 功用
 如CSIRT文字本身所述,即是負責電腦相關安全事故對應處理之團隊。更進一步可定位為「類似組織內部災害應變機制的緊急應變團隊」或「資訊系統實際應變負責小組」,前者指檢視是否依循組織內部持續營運計畫或ISMS,後者指負責來自團隊外部委託的對應處置。

 CSIRT平時負責協助組織內安全相關政策的施行,並作為組織的安全代表與外部進行情資交流;一旦有事件發生,必須有能力確實掌握狀況應變,將災害減至最輕,並隨時接受外部情資,有必要時須與管理層報告。

三、 業務
 業務範圍依組織所屬之事業及目的而定,並從組織內商用系統、內部系統、特殊用途系統、全部的資訊系統中挑選可涵蓋的對象,並針對特定威脅、網路安全威脅或非網路相關安全威脅有清楚定義。

四、 必要人才
 日本NTT DATA安全事業部事件回應部長植草祐則認為,理想的CSIRT所含的人才,應包括擁有豐富安全技術經驗及相關知識見解的人,並有事件管理能力、有耐心、具抗壓力的談判人員。如果發展到一個程度,CSIRT內成員可進行分工。如此,成員間有機會互相交流提升彼此技術能力;團隊的領導必須縱觀事件全貌,並提出適切的技術對應,以早日結案為首要目標。但現況是,由於每個人面臨事件的機會並不均等,因此,相關人才培育工作是既困難且耗時,此為「人才不足」的其中一個原因。日本對此情形,發展一套名為CyberRange的系統,作為日本國內教育機構及中央機關的演習系統,透過此系統,可以有效率的進行假想的網路攻擊,CSIRT成員可以面對各種攻擊情境及手法進行應變、操作、體驗的練習,更有機會縮短人才培育時間,並培養出一定程度的安全人才。

 
圖6 CyberRange
(圖片來源:《サイバー攻撃に対応できる組織づくりと、人材の育成》)

伍、 結論
 資訊安全防禦並不是哪裡有漏洞,就補哪裡的頭痛醫頭腳痛醫腳的處理方式,而是一個全面性預防的概念。如前面章節所述,「資訊安全」結合了偵測、防禦及回應於一體,必須綜觀進行部署,才能達到相較有效的防禦策略。然而,看起來再完美的系統或防禦計畫,都有讓攻擊者有機可趁之漏洞,此時,注重的就是「有效的處理與回應」,而CSIRT即是以此為目標之組織。國內的國家高速網路與計算中心,已於2014年宣布成立協助解決國際資安通報時的國際資安事件處理小組TWCSIRT (TaiWan Computer Security Incident Response Team,臺灣電腦安全事件應變中心),除了彙整國際資安事件通報,並提供進一步資安事件的緊急應變處理等支援(詳見參考資料14)。但CSIRT的人才培育始終是各國的難題,而日本的CyberRange系統或許可以作為可行的解決方案之一。

參考資料來源:

  1. Joseph Zadeh, George Apostolopoulos, Christos Tryfonas, and Muddu Sudhakar, “Defense at Scale: Building a Central Nervous System for the SOC”. URL: https://www.blackhat.com/docs/us-15/materials/us-15-Zadeh-From-False-Positives-To-Actionable-Analysis-Behavioral-Intrusion-Detection-Machine-Learning-And-The-SOC-wp.pdf
  2. Joseph Zadeh, “From False Positives to Actionable Analysis: Behavioral Intrusion Detection Machine Learning and the SOC”. URL: https://www.blackhat.com/docs/us-15/materials/us-15-Zadeh-From-False-Positives-To-Actionable-Analysis-Behavioral-Intrusion-Detection-Machine-Learning-And-The-SOC.pdf
  3. Yahoo!ジオシティーズ,《五輪書》〈地之巻—太刀の徳〉. URL: http://www.geocities.jp/themusasi2g/gorin/g104.html#r107
  4. Wikipedia, “Miyamoto Musashi”. URL: https://en.wikipedia.org/wiki/Miyamoto_Musashi
  5. 維基百科,《五輪書》. URL: https://zh.wikipedia.org/wiki/%E4%BA%94%E8%BC%AA%E6%9B%B8
  6. 維基百科,《檸檬市場》. URL: https://zh.wikipedia.org/wiki/%E6%9F%A0%E6%AA%AC%E5%B8%82%E5%9C%BA
  7. 維基百科,《碎形》. URL: https://zh.wikipedia.org/wiki/%E5%88%86%E5%BD%A2
  8. 林子煒,《淺談以STIX實現網路威脅情報標準化框架》. URL: http://newsletter.ascc.sinica.edu.tw/news/read_news.php?nid=3010
  9. 植草祐則,《サイバー攻撃に対応できる組織づくりと、人材の育成》,URL:http://www.nttdata.com/jp/ja/insights/innovation_eye/2016080301.html
  10. Wikipedia, “Computer emergency response team”. URL: https://en.wikipedia.org/wiki/Computer_emergency_response_team
  11. Wikipedia, “CERT Coordination Center”. URL: https://en.wikipedia.org/wiki/CERT_Coordination_Center
  12. ウィキペディア, “CSIRT”. URL: https://ja.wikipedia.org/wiki/CSIRT
  13. Wikipedia, “Morris worm”. URL: https://en.wikipedia.org/wiki/Morris_worm
  14. iThome,《國網中心成立首個國際資安事件處理小組》. URL: http://www.ithome.com.tw/news/91320



上一篇 | 返回電子報
 
 本電子報所有文字、圖片版權為中央研究院所有 。 電子報出版系統由中央研究院資訊服務處開發。