以Honeynet彙集大數據　緊盯資安威脅趨勢演進

國家高速網路與計算中心研究員蔡一郎。

不可否認，在一片資通訊科技議題中，當前最炙手可熱的項目，無疑就是物聯網(IoT)。然而人們在興奮迎接IoT時代來臨之際，殊不知危機已悄然近身，只因為當人、事、物都搭著大量新的終端設備而連上網路，必然會帶來新的資安議題。

國家高速網路與計算中心研究員蔡一郎歸納，行動裝置的資安威脅主要可分為8類，分別是「資料遺失」、「惡意程式的資料竊取」、「應用程式的資安威脅」、「設備的弱點」、「通訊的資安威脅」、「管理功能的不足」，及「NFC與近場通訊的安全」。

但在上述表象背後，蘊含了一些容易讓人們有所忽略，甚至迄今尚且渾然不知的威脅來源。其中包括了山寨版的熱門軟體，自動化網路組織設定所造成的安全隱憂，網站久未維護因而出現漏洞、導致有莫名東西植入，不易用IP位址追查的駭客中控台，甚至是肇因於雲端服務平台與開放資料風潮，導致大眾運輸系統出現安全問題，以及由於行車資訊的數位化，造成行車安全的隱憂，哪天就算出現實體SQL Injection也不讓人意外。

善用誘捕網路　發掘未知攻擊行為

面對這麼多令人防不勝防的新興威脅，企業或使用者應該如何防範？蔡一郎認為「誘捕系統」(Honeypot/Honeynet)堪稱是解決難題的好工具，他進一步解釋，此套工具係透過存在於系統或應用軟體上的弱點，藉以掌握網路上的攻擊與威脅來源，而目前誘捕網路採用低互動與高互動的偵測架構，配合主動式的資訊探勘，發掘未知的攻擊行為。

截至目前，國家高速網路與計算中心在教育部資訊及科技教育司、台灣大學、台科大、交通大學、宜蘭大學、中興大學、東華大學、中正大學、台東大學、成功大學、中山大學設立多處偵測環境(位於台灣學研網路環境)，廣泛蒐集日誌、樣本與網路流量，據以厚植巨量資料分析的基礎。

蔡一郎指出，目前可供部署的誘捕系統，可分為諸多類型，包括「Dionaea/Nepenthes」：可模擬系統與應用軟體弱點，接受來自網路上的攻擊，藉此蒐集惡意程式與網路流量；「Kippo」：旨在模擬SSH服務，統計帳號？密碼猜測次數、攻擊者行為模式，以蒐集駭客工具；「Amun」：模擬網站服務弱點，蒐集攻擊的資料與手法；「Glastopf」：模擬網站應用程式弱點，偵測與蒐集攻擊者探測、入侵等巨量攻擊行為；「Conpot」：模擬SCADA系統、AC/DC控制器，蒐集惡意攻擊來源、偵測IoT網路中異常通訊。

現今國家高速網路與計算中心所佈建的誘捕系統，動用逾6,000個IPv4位址，採用虛擬主機架構規劃，其中95%皆為低互動式誘捕系統。而在2014年期間，共計偵測到2,081百萬次攻擊次數，其中來自Dionaea系統的1,680百萬次為最多。

經由即時偵測來自網際網路的攻擊與進行威脅分析，平均每天偵測到的攻擊數量達6百萬次，尖峰值超過3,000萬次，特別是在2014年4月8日微軟停止維護Windows XP、Office 2003，及驚爆Open SSL或IE 10重大漏洞的同時，皆出現大規模自動化攻擊行為。

總計2014年攻擊行為特性，較為明顯的趨向，包括因應放大攻擊的手法已運用關鍵服務(DNS、NTP)，2014年3月初已持續約40天偵測到巨量的攻擊行為；惡意程式巨量出現，在首次偵測到的24小時內，端點防護設備平均檢出率低於5%；DDoS攻擊行動配合惡意程式與殭屍網路大規模運作。若以每月新型態惡意程式的角度來觀察，則可發現惡意程式變種速度極快，活躍的殭屍網路變種週期約1~3天；新型態的惡意程式透過編碼、加殼機制、程式產生器進行變種。

目前誘捕網路於2014年，陸續掌握69,194種新型態惡意程式，採用沙箱測試與行為分析進行攻擊行為定義；殭屍網路攻擊對象已涵蓋Android系統。

殭屍網路為主要威脅　且戰場擴及行動裝置

上述發現，輔以與國際資訊安全組織的情資交換，成為國家高速網路與計算中心賴以建構惡意程式知識庫的來源，目前累積建立的惡意程式樣本達1,200萬種，惡意程式分析報告為160萬份，攻擊威脅來源清單為2,500筆。

「偵測到來自台灣的攻擊，近9成的惡意程式，具備區域網路擴散能力，利用網路芳鄰進行感染與擴大影響範圍，」蔡一郎說，至於偵測到來自海外的攻擊，除網路芳鄰攻擊外，另針對常用的網路應用服務進行掃描及弱點攻擊，仍為主要目標。

而攻擊端使用之OS，仍為Windows XP，另在攻擊事件的受害主機，則採用Windows XP SP1、SP2與SP3的合計比重極高，佔85%之譜，此外針對攻擊來源國家、最活躍IP來源、來源IP活動規律，該中心皆有詳盡統計報告。

總括而論，蔡一郎表示，殭屍網路仍為當前網路安全威脅的主要來源；匿蹤技術的演進造成追蹤上的困難；預期未來DDoS攻擊威脅將持續增加；現階段惡意程式的活動，以資料竊取為主要目的；多層次巨量資料分析與時間上的挑戰亟待克服；視覺化處理，為今後處理資安資訊的核心技術；行動裝置已成為殭屍網路的新戰場。