HackMD109年資安職能課程上課筆記整理,僅供參考!
113年根據換證教材,重新整理並更新筆記!
基本簡介
- 發現問題 >> 降低風險、持續改善
- 定義:資安健診是整合各資通安全項目的檢視服務作業,提供機關資安改善建議。
- 目的:
- 藉由實施技術面與管理面的相關控制措施,提升機關整體資安能力。
- Zero Day Attack:一旦被攻破,弱點掃描也沒用!要做資安健診,找到有問題的點,進行調整。
- 針對已知弱點進行修補,並持續追蹤可能存在的風險。
- <補充>與「弱點掃描」比較:
- 和「資安健診」之間有彼此搭配的關係。
- 資安健診
- 針對組織全範圍抽查,用多元工具做大方向的採檢 (全身檢查)。
- 屬事後查檢性質,檢查是否設備已有病毒或駭客入侵行為。
- 弱點掃描
- 針對組織內特定資通系統,用工具來發現特定問題 (局部檢查)。
- 屬事前查檢性質,檢查是否有已知弱點的漏洞,報告分低、中、高風險,依組織要求修補(高風險必修補)。
- 法源依據:資通安全責任等級分級辦法第11條
- 規定項目
- 辦理頻率
- A級機關,每年辦理一次。(附表一、二)
- B、C級機關,每兩年辦理一次。(附表三、四、五、六)
- 特定非公務機關
- 辦理資通安全建診時,除依附表所定項目、內容及時限執行外,亦得採取經中央目的事業主管機關認可之其他具有同等或以上效用之措施。
- 中央目的事業主管機關得視實際需求,於符合本辦法規定之範圍內,另行訂定其所管特定非公務機關之資通安全應辦事項。
- 規定項目
- 採購規範及項目內容
- 112 年共同供應契約資通安全服務品項採購規範
- 網路架構檢視
- 針對網路架構圖進行安全性弱點檢視。
- 檢視網路架構安全設計、備援機制設計、網路存取管控、網路設備管理及主機設備配置等。
- 應詳列發現事項之風險等級、風險說明(包含問題範圍與可能的影響)與改善建議。
- 網路惡意活動檢視
- 目的:主要確認是否有內對外異常連線行為(如:對外部惡意中繼站連線行為)。
- 封包監聽與分析 (封包測錄至少「6小時」為原則)
市面上各種品牌的Switch大多內建流量側錄功能,一般稱為Port Mirroring、Port Monitoring或Mirror Port。
- 網路設備日誌紀錄檔(log)分析 (資安設備紀錄檔分析以「1個月」或「100MB」內的紀錄為原則)
- 使用者端電腦惡意活動檢視
- 使用者端電腦惡意程式或檔案檢視 (可使用Autorus、Process Explorer、TCPView、Sigcheck、MSERT等工具)
- 使用者電腦更新檢視 (OS、應用程式、防毒軟體)
- 作業系統(OS)更新情形
- 應用程式之安全性更新情形
- 是否使用已經終止支援之作業系統或軟體
- 防毒軟體安裝、更新及定期掃描結果
- 伺服器主機惡意活動檢視 (細項同前項使用者電腦)
- 伺服器主機惡意程式或檔案檢視
- 伺服器主機更新檢視
- 目錄伺服器設定
- AD伺服器應檢視其GCB組態設定的符合程度
- 防火牆連線設定檢視
- 確認來源與目的IP與通訊埠Port連通的妥適性。
- 特別確認Permit All/Any、Deny All/Any的規則。
- 政府組態基準(GCB)檢視
應辦事項之資安健診項目未包含,但為共同供應契約可選購項目
- 作業系統-使用者電腦、伺服器
- 瀏覽器
- 網通設備
- 應用程式
- 資料庫安全檢視
應辦事項之資安健診項目未包含,但為共同供應契約可選購項目
- 以機關具所有權或管理權之資料庫為主。
- 7大檢視類別、30項檢視項目,以訪談與實機檢視方式,確認資料庫防護狀況。
- 工作步驟
- 廠商應配合事項
- 成員不得為外籍、陸籍人士
- 不得提供及使用大陸廠牌資通訊產品
- 履約期間不得同時於大陸地區工作
- 廠商應交付項目
- 資安健診服務報告
- 配合機關辦理至少1次說明會議
網路架構檢視
- 針對網路架構圖進行安全性檢視
- 整體架構
- 存取認證與控制
- 網路管理
- 評估方法論
- 網路架構規劃參考指引(修訂)v3.1_1101231.rar
- 檢核項目
整體架構 存取認證控制 網路管理 1. 網路區域設置
2. 使用者區域設置
3. 入侵偵測或防禦系統
4. 本機防護
5. 備援機制1. 網路管理IP配置
2. 設備設定配置1. 禁用SNMP預設通行碼
2. NTP校時狀態 - 整體架構
- 網路區域設置(DMZ、內部伺服器、資料庫伺服器)與使用者區域配置
- 須清楚界定不同屬性區域,做為存取控制與安全規劃的基準。
- DMZ區主要放置機關需要對外提供服務的伺服器,僅開放特定服務,同時需要嚴格控管此區到內部區域的存取。
- (考點)DMZ區可能的服務種類:WSUS、NTP、DNS、Mail、Proxy、Web
- (補充/考點) WSUS 埠號: 自 Windows Server 2012 開始,根據預設,WSUS 會針對 HTTP 使用埠 8530,針對 HTTPS 使用埠 8531。
- 檢視是否部署「入侵偵測或防禦系統(IDS/IPS)」,識別可能存在的威脅
- 檢視是否在系統本機加強安全防護(如:HIDS、HIPS、本機防火牆)
- 檢視是否建立系統服務備援機制
- 網路區域設置(DMZ、內部伺服器、資料庫伺服器)與使用者區域配置
- 存取認證與控制
- 網管IP - 檢視是否定義網路管理專用IP(避免整個網段,可於伺服器網段預留兩個網管IP),以便追查
- 網管IP - 所在網段,應不包含使用者電腦、筆電等終端設備
- 設備設定配置 - 檢視基本共用設定(如:DNS、SNMP、NTP、網管IP)
- 設備設定配置 - 檢視設備運作狀態與規則
- 設備設定配置 - 檢視存取控制清單
- 設備設定配置 - 檢視是否運行日誌系統
- 網路管理
- 檢視SNMP是否使用預設通行碼(禁用預設通行碼)
- 檢視網通設備時間與NTP主機時間是否相同(可由網路校時服務設備替代)
- 建議
- DMZ區儘可能與內網做實體區隔。
- 防毒軟體一定要裝。
- 無線網路、DVR主機、門禁系統主機,經常是資安破口之一,宜做區隔。
- WAF上線後調校才是關鍵。
網路惡意活動檢視
- 相關資源
- AbuseIPDB (檢測IP、Domain是否曾被通報濫用)
- IPVOID(惡意主機IP檢測)
- Exploit Database
- ZeroDay
- WireShark免費工具(封包監聽及解析)
- [Cisco] 流量側錄功能-SPAN (Mirror port)
- 注意事項
- 對外線惡意中斷站IP需進行調查
- 內對外或內對內異常高風險行為常被忽略
- SSL加解密 (拋送至側錄設備是否經過加解密)
正常與異常流量之判斷
- 正常與異常的流量很難加以判斷分別,需要透過封包側錄的方式進行分析。
- 封包側錄的監控方式 (透過HUB或Switch)
- 串接TAP(Test Access Point),用特定的網路設備串接到監聽的來源與目的地設備間,這種方式不會有封包遺失的問題。
- 用網路設備的特性鏡射(Mirror),抄寫一份監聽來源的資料到目的地設備,這種方式因為不會佔用正常的頻寬,而且現有設備即可使用。
- SPAN(Switched Port Analyzer)是最常拿來複制流量的網路工具。
- 流量複製是一種以非侵入的方式,在不影響網路正常運行下,將網路流量複制出來,提供需要分析流量的設備使用,例如IDS入侵偵測、Data Packet Sniffer封包測錄、Database Auditor資料庫稽核、Network Forensic網路鑑識等。
- 依照網路接續方式,分為Network TAP(in-line串接)與Data Access Switch(Aggregation Switch)(out of band)。
- SPAN需要可設定型的交換器。
- 一般稱為Port Mirroring、Port Monitoring或Mirror Port。
- SPAN指令格式:
- 封包監聽的位置選擇
- 需考量監聽數量與位置兩者關係。
- 監聽數量是指要蒐集與監控的電腦數量。
- 數量會決定出要蒐集的封包量。
- 監聽數量會決定要監聽位置的選擇,例如:要監控的是全部電腦的對外流量,最好位置是防火牆對內網卡的位置。
- WireShark
wireshark 惡意流量分析
Mastering Wireshark: The Complete Tutorial!- WireShark前身是Ethereal。
- 被廣泛應用於網路封包的解析,目前已能解析超過700多種的通訊協定。
- 給合了強大功能的過濾器(或篩選器),讓使用者可以針對特定的目標分析網路封包,有助於通訊協定的行為研究與異常行為的偵測。可以在補捉封包或顯示封包時,分別設定過濾器(或篩選器)。
- 可以看到兩台主機的TCP交談整個過程,可看到完整的HTTPS表頭。
- 操作介面分成幾個主要的部分
- 最上方的功能表與各種工具列
- 網路封包的清單
- 封包的標頭與封包的內容
- 以不同的顏色來代表不同的通訊協定或是過濾條件 (所有的HTTP流量都是綠色系,但分色編碼規則可以另外做設定及調整
[View]=>[Coloring Rules])
- 考後心得:
- src是來源、dst是目的端,沒有特別指明,就是兩者都搜尋
- 搞清楚 ip.addr、ip.src、ip.dst
- 搞清楚 tcp.port、tcp.dstport、tcp.srcport
- Slice Operator:選取一個字段值的部分來做比較
- 常用的過濾表示式
表示式 描述 !tcp.port==3389不要RDP的流量 tcp.flags.syn==1SYN旗標設定為真的TCP封包 tcp.flags.reset==1RST旗標設定為真的TCP封包 http只要HTTP的流量 !arp不要ARP的流量 tcp.port==23 or tcp.port==21只要TELNET或FTP的流量 ip.src==192.168.0.1來源IP位址為192.168.0.1的封包 ip.addr==192.168.0.1 or ip.addr==192.168.0.2含有兩個IP位址其中之一的封包(不管來源或目的) frame.len<=128長度短於128位元組的封包
- 封包監聽的注意事項
- 時間與持續
時間會影響到檔案的大小,但是應舊集到足夠的交談動作才足以分析,共契的要求時間是要持續6個小時的監聽。
- 監聽範圍與目標
監聽位置的選擇會決定蒐集資料的準確性。
- 監聽方式
使用Switch或Hub
- 授權與隱私權 (蒐集資料的過程中可能涉及使用者個人隱私)
事前公告 or 過濾後再交付廠商 or 應用span (tx,rx)的參數來選擇監測的流量過濾封包內容
- 資料量
準備足夠的儲存空間
- 時間與持續
網路設備日誌檔
- 主要檢視防火牆、入侵偵測/防護系統等設備之日誌檔。
- 功用
- 可以做為不正常流量的分析。
- 可做為「犯罪證據」。做為犯罪證據時須考慮證據保存方式與年限。
- 重要設備都應啟用日誌蒐集,並注意蒐集設備的儲存空間是否足以使用。
- 日誌的蒐集分為「分散式」與「集中式」。
- 每一種設備或伺服器會依照自己的標準來儲存,例如:
- IIS日誌檔存在於
%SystemRoot%\system32\Logfiles - Apache日誌檔則存在於
/var/log/httpd/
- IIS日誌檔存在於
- 由於log是條列式的資訊,因此不容易被分析。建議使用工具輸入日誌檔,轉換成較容易了解的資訊。
- 市面上常見的日誌檔工具
- Splunk
- Log 監控軟體,它可以分析任何格式的 Log 資料
- 商業套裝軟體
- 有測試版可安裝,有流量限制
- 自訂搜尋條件快速找到各種資料,並產出報表與畫出各式各樣的圖表
- 當系統有問題的時候可以自動透過 Email 即時通知維護人員
- 在輸入 log file 之後,你就可以進入 Splunk Search UI 開始搜尋 Log, 它使用的搜尋語法是 Splunk 公司自訂的 SPL (Search Processing Language),SPL 語法可讀性還不錯,可以說是一種易讀易寫的語法,也支援 Regular Expression
- Splunk Quick Reference Guide
- Splunk的基本使用心得
- 案例:使用Splunk 6.4.X (Centos 7) 監控「IIS」Log
- Log 監控軟體,它可以分析任何格式的 Log 資料
- OSSEC
- 免費軟體
- 整合了log分析、檔案一致性檢查、Window Registry監控、rootkit偵測及時警告與主動回應等多項功能
- <補充>FortiSIEM:商業產品
- <補充>Log Parser
- Splunk
- 檢核項目
- 選擇適當工具蒐集紀錄
- 選擇蒐集設備和數量
- 預估資料量-線上和離線
- 日誌檔和設備設定管理須考慮職責分離
- 日誌檔系統須控管日誌資料不被竄改和本系統的使用管理日誌
目錄伺服器設定檢視
- 已加入網域
- rsop.msc開啟「原則結果組」
- 若rsop.msc結果為尚未定義且無來源GPO,則以gpedit.msc開啟「本機群組原則」
- rsop.msc開啟「原則結果組」
- 無網域
- 以gpedit.msc開啟「本機群組原則」
- 以gpedit.msc開啟「本機群組原則」
- 重要的GCB設定 (15分 = 900秒)
項目 GCB設定 密碼最短使用期限 1天 密碼最長使用期限 90 天 最小密碼長度 8 個字元以上 密碼必須符合複雜性需求 啟用 強制執行密碼歷程記錄 3 個以上記憶的密碼 帳戶鎖定期間 15 分鐘 帳戶鎖定閾值 5 次 螢幕保護裝置逾時 900秒 (15分鐘) 互動式登入:電腦帳戶鎖定閾值 5 次 互動式登入:不要顯示上次登入 啟用 互動式登入:不要求按CTRL+ALT+DEL鍵 停用 互動式登入:電腦未使用時間限制 900 秒 互動式登入:在密碼到期前提示使用者變更密碼 14天 - 例外管理
- 若機關規定之組態設定值與政府組識基準文件表列項目之建議值不同,須列入「例外管理清單」。
- 資安健診期間,可提出有效的例外管理清單,則以例外管理清單為判斷基準。
防火牆連線設定檢視
- 防火牆功能
- 區隔與保護網路區域
- 一般網路功能(ex: routing、switching、NAT、…)
- 網路封包過濾
- 網路存取的控制與紀錄
- 網路問題的支援與協助
- 防火牆種類
- 封包過濾防火牆(Packet filter firewalls)
- 狀態檢視防火牆(Statefull inspection firewalls)
- 應用代理閘道防火牆(Application-proxy gateway firewalls)
- 次世代防火牆(Next-generation firewall):最先進、搭配應用程式過濾
- 主機式防火牆(Host-based firewalls)
- 虛擬防火牆(Virtual firewalls)
- 規則組成
- 規則區塊化
- 優點:方便管理、優化效能
- 缺點:設定費時
- 規則設定建議
- 最後ㄧ條必設全部阻斷
- 應定期檢視連線紀錄
- 防火牆管理用規則置於最上方
- 網管行為在第一時間可搶得連線權
- 全網域預設阻斷規則
- 應定期檢視連線紀錄
- 全網域放行UDP規則
- 因UDP封包特性屬於大量快速封包,快速放行可減少防火牆負載
- 全網域放行TCP規則
- 區塊規則
- 存取量大的網路區塊往上設定
- 存取區域連線數不大者,往下設定
- 暫時性規則
- 置於最後一條規則以上
- 過期後,申請刪除
- 最後ㄧ條必設全部阻斷
- 連線設定
- 外網對內網:應只能到DMZ
- 內網對外網:應沒限制,但應監控是否有不正常連線(如:是否對惡意中繼站連線)
- DMZ到內網:應只允許應有的服務才能進入內(如:資料庫、NTP等)
- 檢視項目
項目 說明 限制連線 檢視是否限制內部網路、外部網路、DMZ的連線 任意連線 檢視是否包含Pemit All/Any的規則 拒絕連線 檢視是否包含拒絕未核准連線的規則,並檢視最後規則是否為Deny All/Any 明碼傳輸 檢視連是否有加密保護 遠端連線 檢視如何控管遠端連線
使用者端電腦惡意程式檢視
- 惡意程式是一種破壞電腦正常使用的軟體
- 間諜程式(Spyware):可從遠端蒐集使用者的瀏覽紀錄、操作行為。
- 檔案型惡意程式(File Infector Virus):於可執行檔(.com、.exe、.bat)中隱藏病毒。
- 木馬程式(Trojan):建立後門,進而操控電腦、竊取資料。
- 巨集惡意程式(Macro Virus):利用Word、Excel巨集功能製作病毒。
- 開機型病毒(Boot Sector Virus):感染硬碟的啟動磁區,開機後會留存於記憶體,且會破壞啟動磁區、磁碟分割表、檔案配置表。
- 蠕蟲(Computer Worm):會反覆自我複製而佔用空間。
- 感染途徑為網路連線、電子郵件及外接硬碟等。
- 防範方式
- 使用防毒軟體與安全監控系統,並保持在最新狀態
- 僅開啟來自信任方的電子郵件內容及其附件,開啟附件前先掃描
- 不任意開啟不明的網路連結
- 僅傳輸來自安全來源的檔案
- 攔截不明的連線和服務
- 檢測項目、方式及工具
- 防毒軟體檢視
- 確認防毒軟體安裝的版本
- 確認病毒碼更新政策
- 政策文件
- 方式 (中控派送、使用者手動更新)
- 頻率
- 是否定期檢視
- 是否有全系統掃描
- 安全性更新檢視
- 確認安全性更新政策
- 政策文件名稱
- 更新來源 (微軟更新伺服器、機關內部WSUS伺服器)
- 更新方式 (自動更新、設定排程更新、使用者手動更新)
- 更新頻率
- 是否定期檢視更新紀錄
- 檢視方式
- Windows Update更新紀錄
- Windows Update更新來源
- WSUS伺服器設定 (預設 HTTP 連接埠 8530、預設 HTTPS 連接埠 8531(考點))
- 檢視作業系統版本,確認是否使用停止支援的版本
- 確認安全性更新政策
- 應用程式更新檢視
- 針對 Microsoft Office、Adobe Acrobat及Java等應用程式進行更新檢視
- 確認應用程式更新政策
- 檢視方式 (臨機檢視、資產管理軟體)
- 惡意程式檢視:使用微軟免費工具Sysinternals
- 建議檢查項目:異常檔案、異常文件、異常程序、網路連線、機碼路徑
- 惡意程式檢視過程,可搭配VirusTotal線上檢測工具判別,僅需將可疑程式之雜湊值(Hash)輸入查詢介面即可。
- 免費的病毒、蠕蟲、木馬和各種惡意軟體分析服務
- 可以針對可疑檔案和網址進行快速檢測 (只能掃描提交的檔案,無法對電腦進行全面的檢查)
- 最初由Hispasec維護,於2012年由Google收購
- 共有 57 套的掃毒引擎檢測
- 有推出Chrome延伸套件工具:VT4Browsers
- 安全掃描工具 MSERT
- 於官網下載後有10天使用期限,需用時再次下載。
- 報告預設存於路徑「%SYSTEMROOT%\debug\msert.log」
- 查看是否有異常,若 code 代碼非 0 則為異常
- 於官網下載後有10天使用期限,需用時再次下載。
- 檔案簽章檢測工具
Sigcheck- Microsoft提供的命令列工具指令,可檢視Windows執行檔是否包含數位簽章,無簽章的執行檔則風險較高。
- 可針對特定檔案或特定目錄下的所有檔案檢查數位簽章。
- 依據使用版本不同其指令參數會有些微差異 。
- 檢視系統開機與登入期間執行的程式 Autoruns
- 進階版的工作管理員 Process Explorer
可針對單一處理程序列出使用中的DLL檔
- 上述三項工具都可以整合VirusTotal (Process Explorer自第 16 版之後、Autoruns自第13版之後、Sigcheck參數加上
-v),協助確認程式是否為惡意程式。
- TcpView:可顯示系統上所有 TCP 與 UDP 通訊埠 之詳細清單,類似Windows內建
netstat指令的功用。
- 發現可疑程式的處理流程
- <補充>
CyberChef工具:可協助進一步分析出惡意中繼站資訊。多功能的資安瑞士刀可以迅速轉換格式、內容、加密解密、解壓縮、解析IPv6地址、解碼Base64字元串等等,轉換不同格式的數據操作,幫助分析。
- <補充:109年版教材有、113年版教材刪除> Streams
- 單一檔案可以附掛很多筆 Data Stream 但於預設環境僅顯示正常大小 。
- NTFS Alternative Data Streams, 替代資料流(ADS)
- 惡意程式的手法之一:將惡意程式編碼後 再寫入ADS以減少被防毒偵測機率。
- 將檔案以 Base64 編碼
certutil -encode InFile OutFile
- NTFS 檔案系統讓應用程式可以建立資訊的替代資料流
type OutFile > AnyFile:HIDDEN
- 將檔案以 Base64 編碼
- Streams 讓你瞭解神秘的 NTFS 檔案系統
- certutil指令:用來計算雜湊值
- <補充> 查殼好幫手 – Exeinfo PE
- <補充> 反混淆/反編譯工具
- 防毒軟體檢視
資安健診報告分析與弱點修補規劃
- 交付文件基本要求
- 執行結果摘要說明 (依檢測項目各別摘要說明)
- 執行計畫 (執行期間、執行項目、執行範圍、專案成員)
- 執行情形 (針對不符合事後頁或問題說明發展原因)
- 結果建議 (提供改善建議,但不含改善措施的實作)
- 結論
- 附件 (針對各檢測項目詳列發展事實與檢測資料)
- 缺失改善不包含在內,屬於附屬採購,須另行洽商
- 常見弱點修補規劃
- 網路架構檢視
- 網路惡意活動檢視
- 確認或比對機關是否已部署惡意中繼站清單於資安設備中進行阻擋。
- 使用者/伺服器主機惡意活動檢視
- 目錄伺服器設定檢視
- 防火牆連線設定檢視
- 網路架構檢視
政府組態基準(GCB)
- 資通安全責任等級分級辦法
- (考點)初次受核定或等級變更後之一年內,依主管機關公告之項目,完成GCB導入作業,並持續維運。
- 規定A級與B級公務機關,及特定非公務機關應導入
- 目的
- 發展一致性安全組態設定
- 提昇政府機關資通訊設備之資安防護
- GCB編碼格式(TWGCB-ID)
- 已發展的項目
(考點)Linux只支援RedHat Linux版本
<補充> 113年新增三項Ubuntu 22.04 LTS、Openfind雲端電子郵件(EaaS)及Apache Tomcat 10
<補充> 112年停止更新三項Juniper Firewall、Exchange Server 2013、IIS 8.5
- 導入方式:
- 部署模式:AD部署、本機部署或兩者併行
- (考點)建議採行小範圍測試、部署,再擴及全機關
- 導入手段:自行導入或請委外廠商協助導入
- 部署模式:AD部署、本機部署或兩者併行
