top of page

【Tech Tip】揭開神秘面紗:現場網路分析儀在網路安全評估中的關鍵作用

這篇文章主要探討為什麼現場網路安全分析儀 (field analyzers),對於進行全面和準確的組織資安狀態與準備程度、識別網路漏洞、以及讓資安人員採取糾正措施是至關重要的;特別是,這篇文章詳細介紹了現場網路安全分析儀如何能夠檢測到網路監控系統無法偵測到的安全漏洞。

Photo by Nahel Abdul Hadi on Unsplash
Photo by Nahel Abdul Hadi on Unsplash

這篇文章還介紹了CyberScope - NetAlly最新的手持式現場網路安全分析儀,CyberScope是全球首款專為進行現場網路安全評估而設計的現場分析儀。


網路安全評估的需求日益增加


現今網路攻擊變得更加複雜且頻繁,組織必須保持警惕,並定期評估其網路安全準備狀況,以應對潛在的威脅,網路安全評估是評估組織對抗網路攻擊準備程度的最有效方式之一。


網路安全評估提供了組織如何保護其網路資產、防範網路攻擊的方式,對於一個站點的用戶端、終端裝置、網路連接、分割、和服務進行徹底檢查,讓組織能夠識別出網路罪犯、或其他惡意角色可能利用的弱點。


每個網路安全評估中的四項關鍵任務


網路安全評估的主要目標是識別組織IT基礎架構中的漏洞;一個網路安全評估至少應該包括以下四項任務:

  1. 確定連接到網路上的終端裝置和網路節點的實際位置: 一種常見的方法是透過網路設備的物理連接來確定它們的位置,每個終端裝置和網路節點通常都有一個唯一的物理網路地址,如:MAC位址,透過網路設備的MAC位址,可以追蹤該設備的物理位置,例如其所連接的交換機或路由器。 另一種方法是使用位置追蹤技術,如:Wi-Fi定位、或RFID,這些技術可以利用無線訊號、或無線射頻識別來確定設備的位置,例如,使用Wi-Fi定位技術可以透過設備與附近的Wi-Fi接入點之間的訊號強度和延遲來估算設備的位置。

  2. 區分連接或試圖連接到網路的設備: 辨識和區分連接到網路的設備能夠幫助組織識別正常的、授權的設備與潛在的風險設備之間的區別。這樣的區分使組織能夠優先處理潛在的安全威脅和風險,從而降低可能的攻擊和入侵;因此組織能夠更快速和準確地識別和回應安全事件,當有異常活動或未知設備試圖連接到網路時,組織可以立即採取相應的應對措施,例如隔離、或阻止該設備的連接,以減少潛在的損害和影響。

  3. 分析有線和無線接入網路的配置和分割情況: 評估網路的拓撲結構,包括有線和無線設備的佈局和連接方式,這可以透過 NetAlly 現場網路分析儀獲取網路拓撲圖,接著檢查有線和無線設備的配置,包括:路由器、交換機、無線存取點等,這包括評估設備的安全設置、網路協定的配置、存取控制列表(ACL)的設置等;並使用漏洞掃描工具對網路中的設備進行掃描,以檢測可能存在的漏洞和弱點。這可以幫助發現有線和無線設備中的安全漏洞,並及時採取修補措施。

  4. 驗證網路存取服務(例如DHCP、DNS和VPN)是否遵循產業最佳的實踐方式,並且沒有遭受惡意設備欺騙,以下為幾個例子:

    • DHCP(動態主機設定協定) 確保DHCP服務的設置符合最佳實踐,包括:適當的IP位址池管理、有效期限設定和安全驗證機制;例如,限制DHCP服務僅向授權用戶提供IP位址,避免未經授權的設備加入網路。

    • DNS(域名系統): 確保DNS服務的配置符合最佳實踐,包括:防止DNS劫持和DNS緩存污染 (DNS cache poisoning) 等攻擊,例如:設定DNS安全擴展(DNSSEC)以確保域名查詢的真實性和完整性。

    • VPN(虛擬私人網路) 驗證VPN服務是否遵循產業最佳實踐,包括:適當的身份驗證和加密機制,例如:使用強大的加密協議(如OpenVPN或IPsec),並實施多因素身份驗證以增加安全性。

    • 防火牆和安全設備: 確保防火牆和其他安全設備的配置符合最佳實踐,包括:確保適當的存取控制和安全政策,例如:限制特定區域或用戶的網路存取,並實施防火牆規則以過濾惡意流量。

    • 針對網路存取服務的漏洞掃描: 使用漏洞掃描工具對網路存取服務進行定期掃描,以發現可能存在的漏洞和弱點,例如,檢查DHCP、DNS和VPN服務的版本漏洞,並及時修補和更新。

確定網路資產實際位置的重要性


不知道網路節點的實際位置可能會導致未經授權的存取、監控上的困難、缺乏實體安全措施、增加實體威脅的脆弱性、以及合規問題;維護一份最新的網路節點清單及其實際位置,對於減輕這些風險至關重要。


網路映射工具 (Network-based mapping tool) 可以建立網路拓撲圖,幫助呈現網路結構,這些工具能夠顯示網路中各個節點之間的連接關係,以及它們的配置情況,透過網路拓撲圖,使用者可以清楚地了解網路的組成和架構,有助於更好地管理和維護網路資源。


現場網路安全分析儀可以建立一個即時、準確的網路邏輯拓撲圖,這是透過使用各種技術實現的,其中包括:

  • 網路探索:探索出網路上所有設備的MAC和IP位址

  • 埠掃描:確定設備所連接到的交換器埠號

  • 透過SNMP(Simple Network Management Protocol)和API,查詢網路基礎架構的各種設備和系統

  • 無線掃描:定位無線存取點 (AP) 和連接的無線設備

透過這些技術,現場網路分析儀協助建立終端裝置的準確地圖,讓資安人員能夠保護免受未經授權的存取,改善網路監控,並符合規範或監管要求,其中組織必須知道網路節點的位置。


提升終端裝置分類準確性的重要性


準確分類終端裝置,能夠讓資安人員評估不同終端裝置所帶來的風險,並針對這些風險應用不同的安全策略、存取控制、和補救措施,以減輕風險;例如,物聯網(IoT)設備可能比筆記型電腦更不安全,或者已知的惡意軟體可能針對特定的設備類型。


以網路為基礎的控制和執行系統,利用終端裝置的分析來進行設備類型的分類,其中包括分析設備的特徵,這些特徵包括獨特的MAC位址、特定的作業系統和軟體版本等,透過對這些特徵的分析和比對,系統可以辨識出設備的類型,並將其分類為特定的終端裝置類別,例如筆記型電腦、智慧手機、物聯網設備等。為了評估終端裝置識別的正確性,通常會使用確定度指標,這指標衡量了系統對於終端裝置識別的信心水平,即對識別結果的可靠程度;透過該確定度指標,安全專業人員可以了解系統對於終端裝置的分類結果的信賴程度,並根據需要調整相應的安全措施和策略,從而降低潛在風險和保護網路資源的安全。


使用現場分析儀可以顯著提高對終端裝置正確分類的確定度,具體方法包括:

  • 允許實際定位和目視觀察設備

  • 收集有關設備配置、軟體版本、和安全策略的訊息

  • 將發現的設備與預配置的授權網路節點清單進行比較

通過提高終端裝置分類的確定度,現場網路分析儀可以幫助資安團隊更明智地制定網路安全策略和協定,它還可以提升事件應對速度,增強整體網路可見性。


檢查網路配置和分割的弱點


分析網路配置和分割 (subnets、VLANs) 有助於確保存取控制正確配置和執行,配置錯誤的網路節點可能造成安全漏洞,攻擊者可以輕易利用這些漏洞;定期檢查網路配置在任何業務環境中都是入侵保護和控制敏感資源存取的第一道防線。


現場網路分析儀能夠即時捕捉並分析經過特定有線、或無線網路節點的所有流量;相比於僅使用網路或雲端的工具,這種直接存取流量的能力使得現場網路分析儀能夠提供更準確和詳盡的網路狀態和資料視圖,這也有助於檢測和識別可能存在的網路問題、安全漏洞或異常活動。


現場網路分析儀透過執行以下任務,來評估網路配置和網路分割:

  • 識別連接到網路的所有設備,包括交換機、路由器、伺服器、工作站和其他網路設備。

  • 分析流經網路的資料流量,識別發送、或接收封包的各種設備。

  • 確定網路如何被分割為不同的子網、或虛擬區域網路(VLANs),並識別連接到錯誤的虛擬區域網路、或子網的設備。

  • 分析網路上每個設備的配置,並識別可能導致安全漏洞、或性能問題的錯誤配置。

現場網路分析儀使資安人員能夠高效率地進行定期而系統化的網路檢查,識別網路漏洞讓資安人員可以採取適當的修復、或緩解措施來保護網路;對於需要對網路進行分割以保護敏感資料的HIPAA和PCI-DSS規範(註1) 來說,這也可能非常重要。


註1、

HIPAA:

全名為「美國醫療保險可攜性和責任法案」(Health Insurance Portability and Accountability Act),主要規範美國醫療保險產業中的個人健康訊息的隱私保護和資料安全;該法案主要在確保個人的醫療訊息得到適當的保護,限制醫療機構和保險公司對這些信息的使用和披露,同時還推動了醫療訊息的電子化和訊息交換的標準化。


PCI-DSS

全名為「支付卡產業資料安全標準」(Payment Card Industry Data Security Standard),主要規範支付卡產業中的資料安全標準;該標準由支付卡產業的主要品牌(如Visa、MasterCard、American Express等)共同制定,主要在保護持卡人資料的安全性,防止信用卡詐騙和資料洩露。 PCI-DSS要求支付卡產業的組織和商家確保其環境中的信用卡資料安全,該標準涵蓋了一系列安全要求,包括建立和維護安全的網路系統、保護持卡人資料的傳輸、實施強大的儲存安全措施、定期進行安全性評估和測試等;遵守PCI-DSS標準對於避免資料泄露、減少信用卡詐騙風險、以及保護消費者的信任至關重要。


驗證網路存取服務遵循產業標準


遵循產業標準或規範,包括標準協議、安全配置和安全協議,以及及時採用最新的漏洞修補程式,可以確保網路的穩定性、性能和安全性;其中,將DHCP和DNS伺服器設定為推薦的配置和安全設置,對於防止未經授權的存取和偽造攻擊 (spoofing attacks, 註2) 至關重要,這涉及遵循推薦的配置指南,設定正確的IP地址範圍、子網遮罩、默認網路閘道、以及DNS服務器的參數,同時,使用強大密碼組件、和可靠身份驗證協議的VPN,可以有效防範各種安全威脅,例如竊聽 (eavesdropping) 和中間人 (man-in-the-middle, 註3) 攻擊;透過這些措施,可以提升網路的安全性,確保只有經授權的使用者可以正確存取網路資源,並防止敏感資料的洩漏或被篡改。


註2、偽造攻擊 (spoofing attacks)

是指攻擊者冒充其他合法實體的身份或者網路資訊,以欺騙受害者、或繞過安全措施;攻擊者可能會使用不正當手段修改、或偽造網路通訊協定中的關鍵資訊,例如IP位址、MAC位址、網域名稱等,使其看起來像是合法的通訊來源或目標;透過偽造攻擊,攻擊者可以迷惑系統或使用者,從而實施各種惡意行為,例如:竊聽敏感資訊、執行中間人攻擊、進行資料偷竊或干擾正常的網路通訊;保護系統免受偽造攻擊是網路安全中的重要議題,需要適當的安全措施和防護機制來檢測和阻止偽造行為。


註3、中間人攻擊 (man-in-the-middle attack)

是一種網路攻擊技術,其中攻擊者在兩個通訊方之間插入自己,假扮成合法的通訊對象,並監聽、竄改或干擾他們之間的通訊。攻擊者通常使用特定的技術和工具,例如ARP欺騙、DNS劫持、公開無線網路側錄等,來截取通訊流量,並在不被察覺的情況下進行攻擊;在中間人攻擊中,攻擊者可以竊聽通訊內容、修改傳輸的資料,甚至偽造新的通訊,使兩個合法通訊方認為他們正在直接通訊,而實際上所有通訊都通過攻擊者進行中轉;這使得攻擊者能夠獲取敏感資訊,例如:使用者名稱、密碼、信用卡資訊等,或者將惡意軟體注入通訊流量中,以進一步入侵系統或執行其他惡意行為。


中間人攻擊對於網路安全構成威脅,因為它破壞了通訊的保密性和完整性,為了防止中間人攻擊,常見的防護措施包括:使用加密通訊協定(如HTTPS)、確保通訊通道的安全性和真實性、識別和阻止可疑的網路行為,以及提高用戶的安全意識和教育。


網路監控系統和現場網路分析儀的結合,可以全面而準確地評估最佳實務的採用情況,儘管兩者在功能上有些重疊,但現場網路分析儀可以使用感測器和分析工具收集即時數據、評估網路的物理屬性;儘管需要極度謹慎,現場網路分析儀還可以執行特定的壓力測試,並確認網路對已知漏洞的保護程度。


現場網路分析儀可以執行以下一些任務:

  • 識別和檢查網路服務及相關協議(如DHCP、DNS和VPN)的配置。

  • 從客戶端的角度檢查網路服務的性能。

  • 確認網路對已知攻擊的防護程度。


現場網路分析儀收集即時資料,為我們提供寶貴的洞察資訊,以確認是否對網路存取服務(如DHCP、DNS和VPN)實施了最佳實務做法,這對於確保網路的安全性並降低受到攻擊的風險至關重要。


CyberScope - NetAlly最新的手持式現場網路分析儀

NetAlly 是手持式網路分析儀領域的領導者,在 2023 年 4 月的 RSAC 展會上推出了CyberScope,CyberScope 是全球首款專為現場進行網路安全評估而設計的現場網路分析儀 (on-site cyber security assessments)。


如今,網路安全現場評估是由資安專家,使用在不同硬體和軟體平台上運行的各種工具進行的,CyberScope 整合了進行全面網路安全現場評估所需的工具,只需要在一個平台上進行操作。

CyberScope 的設計圍繞著一個工作流程,確保安全評估任務以一致性和可預測性完成;一致性指的是在進行安全評估時,按照相同的方法和標準進行操作,以確保結果的可比較性和可重複性,不論是哪個資安專家進行評估,都能夠按照相同的程序進行,從而產生一致的結果;可預測性指的是在進行安全評估時,能夠預測和計劃整個評估過程的進展和結果,這包括確定所需的資源、時間和人力,並制定明確的評估計劃和目標,以確保評估能夠按時完成並達到預期的結果。這兩個概念的結合,可以確保安全評估在不同場景下的一致性和可靠性,使組織能夠更有效地進行安全評估並制定相應的改進措施,減少了網路安全評估的成本和複雜性。


該工作流程始於對有線和無線網路上的所有設備進行探索;接下來,根據其威脅程度,將這些設備進行分類;然後,識別設備的連接方式並自動建立準確的網路拓撲圖 (network topology);在收集資料之後,利用NetAlly的專用分析儀結合Nmap進行資料評估;隨後,通過簡化的使用者界面顯示結果,包括檢測到的網路漏洞。


或許,CyberScope 最令人興奮的功能,是它不需要資安專家親自到現場進行網路安全評估,只需透過幾個簡單的點擊,非技術人員就能啟動手持式的 CyberScope,走遍現場收集資料;資料會即時上傳到 NetAlly 的 Live-Link 分析和報告平台;讓資安專家可以從遠端直接監督資料收集過程,確保遠程網路安全評估符合組織的指引和最佳實務。


總體而言,CyberScope 現場網路分析儀既是一個儀器、也是一個過程,可提供組織資安準備的全面視角,包括硬體、軟體和網路配置;這些資訊有助於組織識別潛在的安全威脅和漏洞,使其能夠採取明智且主動的措施,保護其資產免受網路攻擊的侵害,並在發生安全漏洞時減少潛在損失;進行定期的網路安全評估不僅能展示組織對於保護敏感資訊和資產的重視,還能表明組織對於安全的承諾和努力;這種承諾有助於建立組織的信任和聲譽,並向合作夥伴和客戶展示組織在數據保護方面的成熟度和責任心。


延伸閱讀


文章來源:Dr. Avril S. @LinkedIn

翻譯與整理:翔宇科技量測事業部



Comments


歡迎 訂閱翔宇科技主題式電子報 >,您將可同步掌握最新的產業新訊以及技術文章。
bottom of page