原标题:【通过开源软件强化企业内部的主机弱点监控范围】台湾证券交易所打造主机安全网
图片来源:iThome
台湾证券交易所的资讯安全对于国内经济的影响不小,不只确保证券交易得以有效且公平进行,任一系统若是出问题,甚至被恶意软件入侵遭到APT攻击,后果不堪设想。
在本月中2018台湾资安大会现场,台湾证券交易所(以下简称证交所)从自身经验谈起,畅谈他们如何以开源软件建置主机入侵侦测系统(HIDS),以及弱点侦测。
整体而言,他们的证券交易核心系统,是在安全的封闭系统上执行,仍需要提防各种可能的横向移动行为。例如,公司内部离线的主机设备,企业人员可能因为较少维护,一旦为了存取资料或更新软件而接上USB随身碟的状况,就等于有被入侵的风险。
谈到实体隔离,证交所系统维运工程师徐子浩提到:“当你觉得它安全时,它反而不安全。”因此,他们也需要更进一步去重视,并落实单位内的离线与周边主机的安全监控,而不只是单靠防毒软件与防火墙的防御,期望进一步借由入侵侦测系统与合规性的检测,要让未来定期系统健检与维护作业,可以变得更为容易。
不只做好管理交易系统的维运与安控,还要让系统健检深入到各环节为了确保内部系统做好定期健检,徐子浩表示,证交所打算将安全控管的要求,深入每个系统之中。
据了解,他们将从内部的离线主机开始进行,采系统化的方式,做到入侵侦测与合规性检测,而为了维护交易系统安全性,周边还有一些安控维运管理的主机,是跟交易系统介接,也同样有着内部网络设备资安监控的需求。
现场徐子浩也揭露了他们的计划,是通过开源软件Wazuh来实作,并已经完成了概念验证。尽管市面上已有相对应产品,能达一定的要求,但使用开源专案的最大好处是,弹性客制化能力高,例如开源软件内的规则设定,都是明码储存,不像市面上产品有时不易确认内容,因此容易检视,要将自订的侦测条件加入到设定档中,也很方便。
更重要的是,他认为在使用过程中,企业能够借助这样的经验,发现不足之处,若是未来需要评估,或采购市面上的产品时,就能更切重本身的需求。即使有可能发生导入失败的状况,但使用开源码软件的经验,也更容易让自己发现问题症结点。当然,他也考虑到之后的维护问题,因此需要做好相关文件、技术的交接。
不过,徐子浩也提到,最终他们实做出的解决方案,关键在于主管的支持,其他企业如有同样的需求,他也建议可以请自家工程师,借由概念验证环境的实做,来测试评估。
以证交所的经验为例,徐子浩进一步解释其系统架构。在这次专案中,他们是采整合式入侵侦测系统架构,运用的是Wazuh开放原始码软件,其实这结合3个开源软件项目,包括OSSEC、OpenSCAP与ELK。
简单来说,就是以OSSEC协助做好主机系统的完整性检测,以及入侵侦测监控,搭配OpenSCAP而具有检查系统组态与弱点侦测,再加上Elastic△Stack提供日志收集、储存、分析与视觉化呈现,以及稽核报表产出。
运用开源软件OSSEC建立入侵侦测系统基本上,证交所目前采用的OSSEC,其实是偏重于主机型入侵侦测系统,而HIDS的好处在于,代理程式安装于作业系统,可检视档案系统属性是否被变更,误判率相对较低。
徐子浩表示,相较于同性质的开源码软件而言,OSSEC的功能相对全面,整合了系统档案检测的功能,并兼具网络监控,同时包含作业系统的日志(Log)分析,甚至能针对组态档执行检测,非常特别。所以,他们以此作为核心,建构出整合入侵侦测系统的防护。
根据徐子浩的说明,OSSEC有几个主要特色,像是可以帮助监控各种日志档案,检查档案是否被窜改,以及侦测系统遭恶意软件及后门程式入侵的迹象。而且还提供主动防御的措施,而非被动式的监控,也就是从IDS侦测,提升至IPS防护的能力,并可以做到细部的控制。
徐子浩也分析采用OSSEC而来的优势,并且逐一解释。
举例来说,它能够同时部署在多种作业系统,例如,Linux、Solaris、Windows与Mac△OS,具有跨平台的特性;同时,它相容的监视设备类型,也很广泛,能从防火墙、交换器、路由器,接收和分析Syslog事件;而在即时警示方面,可通过SMTP、Syslog,以及JSON格式,输出日志档案,并汇入企业原本建置的系统。
通过OpenSCAP帮助自动执行安全性检测在弱点扫描与合规性检测方面,是提升电脑系统稳定性的强化措施之一。对此,证交所参考的,主要是NIST国家级安全检查计划的清单,从这里提供的SCAP(Security△Content△Automation△Protocol)与GPO(Group△Policy△Objects)检查格式,分别下载对应Linux,及Windows主机的安全性检测。
在实际使用方式上,徐子浩也提出进一步说明。像是通过OpenSCAP,可针对开启SSH连线服务的Linux主机检测,支援Fedora、CentOS、Debian、OpenSUSE、RHEL与Ubuntu等系统。而OpenSCAP并提供许多安全方面的工具,像是漏洞扫描与系统设置安全检查,因此不仅可以扫描已知漏洞,并让使用者能即时套用最新的SCAP政策及内容,自动调整为可符合特定规范的状态。
而且,OpenSCAP支援的安全政策,也包括了许多国家级与产业标准,包括:USGCB、PCI-DSS与STIG等,可协助将安全政策,转换为程式可读取的格式,并通过OpenSCAP,做到稽核、报表产出与套用合规设定,借以简化安全检查清单的比对流程。
另外,针对单机版Windows主机,他则建议使用微软系统的本机群组原则(LGPO)搭配PolicyAnalyzer来执行,而对于Windows△AD网域纳管的主机,则使用AD或SCCM,派送另一套合规性检查格式GPO。
关于台湾证券交易所的核心系统,已经是在安全的封闭系统上执行,近期他们开始重视周边主机的维运与健检,计划以开源专案Wazuh执行整合式HIDS架构,用OSSEC、OpenSCAP与ELK来强化所监控主机的安全性。
利用ELK实现日志的监控与分析,强化监控能力而在HIDS与弱点扫描应用之外,证交所为强化所内系统定期健检的能力,也结合了日志分析工具ELK。
其实,这套工具是3个开源项目的缩写,也就是Elasticsearch搜寻引擎,加上Logstash管道,以及可产出图形化视觉介面报表的Kibana,进而协助这套整合式入侵侦测系统,能有更直觉监看相关检查报表的能力,帮助系统维运工作的执行。
在整合式入侵侦测系统外,搭配不同弱点扫描工具验证另一方面,为了验证这套整合系统所监控的主机,是否存在未修补漏洞或弱点,例如,NVD资料库本身可能遗漏的部分,证交所也搭配其他开源弱点扫描工具,像是OpenVAS、Nmap△Scripting△Engine(NSE)等,做到进一步检核。但他也提醒,在这样的架构下,仍要注意几件事,像是弱点资料库未必包含最新漏洞,扫描结果需排除误判,并且需评估弱点风险等级,以及内部网络受攻击的防护程度。
另外,徐子浩也谈到后续做法,在整个专案概念验证后,他们可能采一次导入一个的方式,将系统逐步建置起来。
最后,徐子浩补充说,鉴于APT威胁无所不在,需假设在系统被入侵的前提下,监控可疑行为,像是档案完整性、资源使用量与程式行为。因此,他们期许自己,能够借助整合式入侵侦测系统,做好异地日志汇总,及早期预警入侵侦测监看,并通过符合安全性规范的设定,加强作业系统的整体防护能力。
iThome△Security
相关:
台湾警方拘捕两名初中学生,涉嫌在社交网站留言,声称要炸台中火车站,以及刺杀台中市长林佳龙。台湾警方指,其中一人供称,骗取他人的社交网站帐户,与一位“香港袁姓网友”等共组“国中生恐袭事件簿”群组,共同在
KPMG资讯科技咨询服务执行副总经理谢昀泽表示,台湾从今年开始,有许多高科技业者都因为供应链管理的关系,被客户要求必须符合GDPR(欧盟通用资料保护规则)的个资保护规范。 图片来源: 竹科管理局提供 欧盟最严格
美国警方拘捕一位18岁台湾交换生,指他向同学透露计划在就读的高中发动枪击,并在住所发现防弹背心、加装瞄准器的十字弓、可用于半自动步枪的枪架,及一批子弹,被控制造恐怖威胁罪,目前准以现金10万美元保释,等候
美国警方拘捕一位18岁台湾交换生,指他计划在就读的高中发动枪击,被控制造恐怖威胁罪,目前准以现金10万美元保释,等候下月提堂。台湾艺人狄莺证实,被捕学生是她的儿子,五个月前到美国升学。美国警方指,被告以课
美国警方拘捕一位18岁台湾交换生,指他计划在就读的高中发动枪击,被控制造恐怖威胁罪,目前收押于宾夕法尼亚州监狱,等候下月提堂。警方指,被告在学校课堂用的平板电脑,搜寻如何购买AK-47及AR-15半自动步枪,并向