以Honeynet彙集大數據 緊盯資安威脅趨勢演進 智慧應用 影音
vishay
ST Microsite

以Honeynet彙集大數據 緊盯資安威脅趨勢演進

  • DIGITIMES企劃

國家高速網路與計算中心研究員蔡一郎。
國家高速網路與計算中心研究員蔡一郎。

不可否認,在一片資通訊科技議題中,當前最炙手可熱的項目,無疑就是物聯網(IoT)。然而人們在興奮迎接IoT時代來臨之際,殊不知危機已悄然近身,只因為當人、事、物都搭著大量新的終端設備而連上網路,必然會帶來新的資安議題。

國家高速網路與計算中心研究員蔡一郎歸納,行動裝置的資安威脅主要可分為8類,分別是「資料遺失」、「惡意程式的資料竊取」、「應用程式的資安威脅」、「設備的弱點」、「通訊的資安威脅」、「管理功能的不足」,及「NFC與近場通訊的安全」。

但在上述表象背後,蘊含了一些容易讓人們有所忽略,甚至迄今尚且渾然不知的威脅來源。其中包括了山寨版的熱門軟體,自動化網路組織設定所造成的安全隱憂,網站久未維護因而出現漏洞、導致有莫名東西植入,不易用IP位址追查的駭客中控台,甚至是肇因於雲端服務平台與開放資料風潮,導致大眾運輸系統出現安全問題,以及由於行車資訊的數位化,造成行車安全的隱憂,哪天就算出現實體SQL Injection也不讓人意外。

善用誘捕網路 發掘未知攻擊行為

面對這麼多令人防不勝防的新興威脅,企業或使用者應該如何防範?蔡一郎認為「誘捕系統」(Honeypot/Honeynet)堪稱是解決難題的好工具,他進一步解釋,此套工具係透過存在於系統或應用軟體上的弱點,藉以掌握網路上的攻擊與威脅來源,而目前誘捕網路採用低互動與高互動的偵測架構,配合主動式的資訊探勘,發掘未知的攻擊行為。

截至目前,國家高速網路與計算中心在教育部資訊及科技教育司、台灣大學、台科大、交通大學、宜蘭大學、中興大學、東華大學、中正大學、台東大學、成功大學、中山大學設立多處偵測環境(位於台灣學研網路環境),廣泛蒐集日誌、樣本與網路流量,據以厚植巨量資料分析的基礎。

蔡一郎指出,目前可供部署的誘捕系統,可分為諸多類型,包括「Dionaea/Nepenthes」:可模擬系統與應用軟體弱點,接受來自網路上的攻擊,藉此蒐集惡意程式與網路流量;「Kippo」:旨在模擬SSH服務,統計帳號?密碼猜測次數、攻擊者行為模式,以蒐集駭客工具;「Amun」:模擬網站服務弱點,蒐集攻擊的資料與手法;「Glastopf」:模擬網站應用程式弱點,偵測與蒐集攻擊者探測、入侵等巨量攻擊行為;「Conpot」:模擬SCADA系統、AC/DC控制器,蒐集惡意攻擊來源、偵測IoT網路中異常通訊。

現今國家高速網路與計算中心所佈建的誘捕系統,動用逾6,000個IPv4位址,採用虛擬主機架構規劃,其中95%皆為低互動式誘捕系統。而在2014年期間,共計偵測到2,081百萬次攻擊次數,其中來自Dionaea系統的1,680百萬次為最多。

經由即時偵測來自網際網路的攻擊與進行威脅分析,平均每天偵測到的攻擊數量達6百萬次,尖峰值超過3,000萬次,特別是在2014年4月8日微軟停止維護Windows XP、Office 2003,及驚爆Open SSL或IE 10重大漏洞的同時,皆出現大規模自動化攻擊行為。

總計2014年攻擊行為特性,較為明顯的趨向,包括因應放大攻擊的手法已運用關鍵服務(DNS、NTP),2014年3月初已持續約40天偵測到巨量的攻擊行為;惡意程式巨量出現,在首次偵測到的24小時內,端點防護設備平均檢出率低於5%;DDoS攻擊行動配合惡意程式與殭屍網路大規模運作。若以每月新型態惡意程式的角度來觀察,則可發現惡意程式變種速度極快,活躍的殭屍網路變種週期約1~3天;新型態的惡意程式透過編碼、加殼機制、程式產生器進行變種。

目前誘捕網路於2014年,陸續掌握69,194種新型態惡意程式,採用沙箱測試與行為分析進行攻擊行為定義;殭屍網路攻擊對象已涵蓋Android系統。

殭屍網路為主要威脅 且戰場擴及行動裝置

上述發現,輔以與國際資訊安全組織的情資交換,成為國家高速網路與計算中心賴以建構惡意程式知識庫的來源,目前累積建立的惡意程式樣本達1,200萬種,惡意程式分析報告為160萬份,攻擊威脅來源清單為2,500筆。

「偵測到來自台灣的攻擊,近9成的惡意程式,具備區域網路擴散能力,利用網路芳鄰進行感染與擴大影響範圍,」蔡一郎說,至於偵測到來自海外的攻擊,除網路芳鄰攻擊外,另針對常用的網路應用服務進行掃描及弱點攻擊,仍為主要目標。

而攻擊端使用之OS,仍為Windows XP,另在攻擊事件的受害主機,則採用Windows XP SP1、SP2與SP3的合計比重極高,佔85%之譜,此外針對攻擊來源國家、最活躍IP來源、來源IP活動規律,該中心皆有詳盡統計報告。

總括而論,蔡一郎表示,殭屍網路仍為當前網路安全威脅的主要來源;匿蹤技術的演進造成追蹤上的困難;預期未來DDoS攻擊威脅將持續增加;現階段惡意程式的活動,以資料竊取為主要目的;多層次巨量資料分析與時間上的挑戰亟待克服;視覺化處理,為今後處理資安資訊的核心技術;行動裝置已成為殭屍網路的新戰場。