雲端資訊安全實務140.125.45.29/courses/files/network...
TRANSCRIPT
GoogleMe.
2
• 蔡⼀郎 Steven• 學歷:國⽴成功⼤學電腦與通訊⼯程研究所博⼠候選⼈• 現任:財團法⼈國家實驗研究院 國家⾼速網路與計算中⼼ 研究員• 重要經歷:
– 國⽴成功⼤學研究發展基⾦會 助理研究員– 中華民國資料保護協會 1st監事– 中華民國南部科學園區產學協會 5th理事、6th監事– 台灣科技化服務協會 3rd理事– 台灣雲端安全聯盟 1st理事長– 台灣資訊安全聯合發展協會 1st 監事– TheHoneynetProjectTaiwanChapter,Leader– CloudSecurityAllianceTaiwanChapter,FounderandDirectorofResearch– TaiwanComputerSecurityIncidentResponseTeam,ManagerandResearchFellow– 部落客:http://blog.yilang.org– Facebook:Yi-LangTsai– ⾃由作家
• 電腦圖書著作34本• InformationSecurity(資安⼈)、LinuxGuide、NetAdmin、網路資訊等⽂章,計80餘篇
• 專業證照:– RHCE、CCNA、CCAI、CEH、CHFI、ACIA、ITILFoundation、ISO27001LAC、ISO20000LAC、BS10012LAC、
CSASTARAuditing
8
•
• TheHoneynetProject CloudSecurityAlliance FIRSTShadowserverFoundation…
•
• TheHoneynetProjectAnnualWorkshop CloudSecurityAllianceCongress RSA Blackhat DEFCon AVAR
•
• RAT SHIELD
•
• HITCON
•
• HoneyCon CSATaiwan IRCON
每天不斷的處理與研究資安事件• 每天收集來⾃學研網路的攻擊⽇誌、網路流量
• 6000 IP
• 每天掌握台灣超過3,000筆的資安事件
• 每天看著CVE編號的成長
• 每天尋著Exploit-Code的實現
• 每天聽著社群網路上的「夢⾒」與「解夢」
• 每天吸收著來⾃國際組織的「情資」
• 每天找著Zone-h、烏雲、vulreport上有沒有資安營運範圍內的對象
• …• 要做的事好多,但是資安事件還是不斷發⽣…
雲端時代的⾰命
• 當我們身處⼀個快速變化與資訊洪流的時代,企業如何凝聚營運智慧,以適應這個時代︖
• 當企業發展需要跨出國界時,如何因應資訊服務架構上的調整,以符合企業永續發展的需求︖
• 資訊安全對於企業的影響,遠⾼出我們現有的認知,⾯對新型態的資訊安全威脅,企業該如何因應︖
請思考以上的問題︖
資訊的增長速度以秒計算
• IDC預計全球資料量將急速攀升– 從2013年至2020年將成長10倍的資料量,資料總量將從4.4ZB增加至44ZB
– 其中有三分之⼆的資料量是由個⼈所產⽣,約為2.9ZB– 2013年,全球有60%的資料來⾃於成熟市場,也就是已開發國家,包含美、加、紐、澳、⽇、西歐,僅約30%的資料來⾃於新興市場,包含中國、巴西、印度、俄國和墨西哥
– 2020年,情況則相反,60%的資料來⾃於新興市場,⽽成熟市場的資料量則降至40%。
資料來源:IDC說明:1 Zettabyte (ZB) = 1,024 EB = 1,048,576 PB = 1,073,741,824 TB
物聯網(IOT)的興起
• 物聯網(IOT, Internet of Things)
– Internet:網路提供資訊傳遞的平台
– Things:⼈、物、通訊、資料…等
• 資通訊的環境以⾏動通訊為主 – ⾏動裝置的時代、無線通訊為主
• 資訊交換時間的縮短
• ⾼速運算能⼒的需求
• 巨量資料的加值與應⽤
• 下⼀代的網路(NGN)
– 資訊交換的⽅式改變
– 資訊交換的對象多樣化
雲端架構下的資安問題
• 虛擬化衍⽣的安全問題– 網站應⽤服務主機
– 網路交換器
– 資料儲存
• 端點裝置的安全– ⾏動裝置的使⽤(BYOD)與安全政策
– 雲端內部主機的風險管理
• 傳統資訊安全防禦架構的失能– 防⽕牆、入侵偵測系統
– APT攻擊
⾏動裝置的資安威脅
• 資料遺失(Dataloss)– 設備遺失、退休的設備等
• 惡意程式(MobileMalware)的資訊竊取• 應⽤程式的資安威脅
– 寫的不好,造成資訊處理風險• 設備的弱點
– 作業系統、應⽤程式、裝置設計• 通訊的資安威脅
– 不安全的WiFi通訊、暱名(不合法)的AP存取點• Insecureorroguemarketplaces• 管理功能不⾜
– 身份管理、功能限制• NFC與近場通訊的安全
– NFC通訊的風險、駭客就在你身邊
資訊安全問題
24
• 從事件調查看資安問題
• 新型態的攻擊層出不窮
• 傳統安全防禦機制失靈
• 複雜且難以管理的安全政策
• 惡意程式⼤量出現,⾃動化攻擊模式影響範圍廣
• 須同時兼顧系統、網路、應⽤程式與架構上的安全設計
• 身份認證機制
• 無線通訊的安全問題
SecurityTaxonomy
MobileDeviceSecurity
Encryption
SecurityManagement
InternalSecurity
Identity&AccessManagement
PerimeterSecurity
StorageSecurity
PhysicalSecurity
成為APT的⽬標︖
• APT(AdvancedPersistentThreat)-進階持續威脅攻擊
• 通常涉及⼀個精⼼製作的漏洞入侵⽂件,
• 藉由某種形式的社交⼯程
• 傳送給⽬標組織或產業中的使⽤者
• 希望建⽴取得進入⽬標組織的管道
34
惡意程式資料庫
建置TWMAN分析架構,提供網路威脅與惡意程式行為分析 ● 建置誘捕平台偵測惡意攻擊
• 6,000+誘捕系統 • 搜集平均60GB/天巨量資料
● 國內唯一惡意程式知識庫 • 收集超過1,300萬種惡意程式樣本
● 建立台灣電腦安全事件應變中心TWCSIRT ● 接軌國際資安組織,掌握全球網路安全威脅情資
• 資訊整合監控– 以N-Tier監控架構,進⾏設備資訊收集與狀態監測– ⾃⾏開發web-based資訊安全監控平台,以整合設備監控、網路流量分析、資訊安全事件、流程管理系統與報表系統
– 採⽤opensource為基礎架構,降低維運成本• 視覺化分析平台
– 建置網路流量、系統⽇誌紀錄視覺化分析平台– 以動態⽅式呈現數據資料– 結合地理資訊呈現
資安資訊整合監控平臺
國網中⼼SOC防護機制特⾊
36
• 建置於國家⾼速網路與計算中⼼• 涵蓋範圍
– TANet出⼜、雲嘉區網、⾼澎屏區網– 花蓮區網、台中區網(101年7⽉)– 台南區網、台東區網(101年12⽉)
• 全天候資訊安全監控中⼼– 具備全天候資訊安全事件偵測、分析與應變能⼒
– 主動發佈資訊安全事件– 結合國際資訊安全情資進⾏偵蒐
• 擁有被動與主動偵測系統– 區網中⼼建置入侵偵測系統與誘捕網路– 收集惡意程式樣本與進⾏威脅分析– 具備快速分析與分享惡意網站能⼒,提供各級網管單位進⾏防護
資訊分析架構
Collection Analysis Detection Tracking Reaction
佈建Honeynet/偵測系統
•收集惡意程式 •收集Bot 樣本 •偵測Attack Connect •偵測Malicious Web Server •收集校園網路行為資訊
產出
•惡意程式樣本 •系統日誌
建置Traffic Flow平台
•收集邊界路由器Netflow •收集攻擊流量 •收集惡意程式流量
產出
•Netflow流量資料
分析技術
•Cloud Computing •Hiding Channel •Behavior •Correlation •Fast-Flux Domain
產出
•惡意程式特性行為報告
檢測技術
•數位鑑識 •Sandbox測試 •TWMAN測試 •IP位址判定 •反組譯與逆向工程 •Testbed •Fast-Flux Domain測試
產出
•惡意網站黑名單(Blacklist) •Botnet Master
分析技術
•通訊協定分析 •統計分析 •關聯性分析(演算法)
產出
•Netflow協定分析平台
追蹤技術
•將Blacklist整合至Netflow平台 •整合過濾規則以實現自動預警機制 •由點、線擴展成全面的追蹤
產出
•Botnet Community •Botnet關聯圖
應變機制
•SOC資訊安全事件標準作業流程 •事件分類與分級 •服務水準協議(SLA)
產出
•資訊安全事件通報平台 •通報並提供參考方案 •通報ISP,提供防禦方案或步驟 •ISAC資訊交換 •攻擊事件圖
事件通報
37
資安事件攻擊軌跡追蹤
• 由惡意程式來源進⾏追蹤– 取得惡意程式來源位址
– 確定惡意程式攻擊⽬的
– 進⾏來源追蹤
• 結合網路流量分析影響範圍– 由已知攻擊來源
– 分析骨幹網路流量
– 確定受害主機39