CSI真實版：網路鑑識讓資安罪犯現形

| | | | | | 留下回應

    

而就像CSI主角面臨各式各樣的挑戰，複雜的網路管理不足、駭客攻擊無止無息、加上內部員工的洩密行為，也不斷考驗管理者的智慧。另一方面，雖然企業致力於佈署防毒、防火牆、入侵偵測等安全防線，然而入侵或洩密問題仍然層出不窮。

「防火牆、入侵偵測（IDS，Intrusion Detection System）好比一棟房子的大門鎖及警報器，這些都是基本設備，」安全廠商CA全球網路深度鑑識部門總監Jason Mical以房子的實體安全設施來比喻，「但如果歹徒正在偷東西或是得逞離去，你就需要有閉路電視攝影機來重新播放當時犯案的情景，甚至把人抓到。」他說。

鑑識（forensics）就是設計用以蒐集證據、並且透過關聯式分析找出可疑活動，追查出特定機器或使用者，節單地說，就是緝兇技術。鑑識又可分成主機式及網路鑑識，分別是偵測主機系統及網路上的存取行為。

「企業IT人員往往無法掌握網路上有哪些流量、是合法流量、駭客入侵還是傀儡程式向主機回報的流量。」CA安全顧問林宏嘉指出，「網路鑑識意在視覺化及重建事發過程，讓企業清楚看出攻擊者（機器）與被害者（機器）之間的關係，」

以CA的eTrus Network Forensics為例，它可以整合企業安全設備以及商務、通訊應用，像是IDS、網管工具、防火牆、財務系統、資料庫、電子郵件、電腦等等，蒐集所有網路流量、紀錄並與安全事件加以關聯式分析。CA並提供具像化的視覺工具將之呈現出來，Mical指出，這免除了過去log紀錄讓人眼睛看到「脫窗」的問題。

此類技術還包括Niksun NetDetector、Sandstorm Net Intercept、McAfee Security Forensics等。

CA的eTrus Network Forensics將防火牆的存取行為視覺化後的圖。

將分析結果以視覺化呈現，可讓網管或安全人員很清楚看到網路存取的路徑，進而發現到異常事件，例如有人半夜存取公司資料庫系統次數高得異常，並且透過Web郵件送出去。

名噪一時的話題女郎Paris Hilton手機通訊錄外洩，就是一名青少年駭客入侵電話公司T-Mobile網站並將之張貼在網站上流傳。而其落網，就是Mical利用網路鑑識工具建構出其跨國連線存取的路徑並循線將之逮捕。

防內賊刻不容緩

名女人隱私受損固然令人惱怒，然而對企業而言，員工洩密經常牽涉數億價值的商業利益損失可非同小可。根據FBI最近公佈的調查指出，44%的企業入侵事件是來自企業自家人。而國內也經常不時聽聞高科技廠商控告員工竊取商業機密。

傳統IDS、防火牆卻是以防止外來入侵為設計目的，Mical說，「然而更大的威脅往往禍起蕭牆。」林宏嘉補充指出，防毒、IDS、防火牆等網路安全設備依據簽章（signature）作為過濾基礎，「但許多攻擊卻是包含在未被偵測到的流量中。」

此外，令人防不勝防的洩密管道還包括未經授權的電腦、利用無法被看穿的通道技術（tunneling），如Skype或Softether等等，CA指出。

這或許也說明了鑑識技術在全球市場前景看好的原因。根據他引用IDC 2005年報告指出，企業在包括網路鑑識以及主機鑑識的支出，從2004年的2千5百萬美元，預期到2008年會成長近一倍，來到8千多萬美元。

為了強化鑑識產品陣容，CA也宣佈與主機鑑識產品商EnCase合作，使證據蒐集可以做到端對端。

不過，企業可能擔心，此類解決方案和網路滲透測試或安全監控一樣，網路架構會在佈署過程中「被看光」。但CA強調，企業IT人員經過教育訓練後，可以自行利用這套工具分析網路資料，並自己保存這些資料，不用擔心被第三方廠商刺探網路架構。

林宏嘉指出，國內包括具有高度安全意識及網路監控需求的組織，像是安全監控中心、高科技製造業、金控公司，都有類似的需求。事實上，CA許多在美國的客戶正是像FBI等的情治單位，而這些證據也成了起訴罪犯的呈堂證供。

網路上的CSI，是否是也能像電視節目中的偵探那麼神？基於安全因素CA不能透露，不過表示透過如實呈現及精確分析網路存取行為，「要抓到人並不難，」林宏嘉說。

鑑識廠商的信心另一個來源來自急迫的需求。今天，內部員工的安全威脅已成今天企業最大的隱憂。「對一名高科技公司員工而言，洩一次密可以半輩子不用愁。」林宏嘉指出，「你可以預見，殺頭的生意一直會有人做。」