網路安全診測技術發展規劃 Network Security Assessment Technology Development

Presentation on theme: "網路安全診測技術發展規劃 Network Security Assessment Technology Development"— Presentation transcript:

1 網路安全診測技術發展規劃 Network Security Assessment Technology Development
資安科技跨國合作策略規劃研討會 網路安全診測技術發展規劃 Network Security Assessment Technology Development 報告人 : 何寶中 資策會 網路多媒體研究所 95/02/11

2 簡報內容 資安環境產業發展趨勢 資策會資安研發領域 資安診測研發願景, 定位及重點 研發執行策略 結語

3 一、資安環境產業發展趨勢

4 Explosion in E-Business
網路擴張資安威脅遽增 Security Threats Internet Business Value - DDOS Attacks, - Eavesdropping, - DNS Attacks, - Viruses, Trojans, - back doors, - Identity Theft, - Integrity Attacks, … Internet Presence Corporate Intranet Internet Access Explosion in E-Business over Complex Network !! Expanded Access (Wired/Wireless) 高成長的E-Business應用與多網互連衍生更高的安全威脅

5 Target and Scope of Damage Global Infrastructure Impact
資安威脅趨向反應時間短影響大 Target and Scope of Damage 反應時間越來越短、影響面越來越大 Seconds Global Infrastructure Impact Regional Networks Multiple Networks Individual Networks Individual Computer Next Gen Infrastructure hacking Flash threats Massive worm-driven DDoS Damaging payload virus and worms Minutes Third Gen Network DoS Blended threat (worm+virus+ trojan) Turbo worms Widespread system hacking Days Weeks 無線網路的安全所侵犯的速度越來越快，範圍也越來越大 Second Gen Macro viruses DoS Limited Hacking First Gen Boot viruses 1980s s s Near Future

6 資安服務產業趨勢 資安服務與產品業者融合(如Verisign)，甚至將結盟專業服務公司、系統整合商、ISP業者及網通設備商等提供Total solution。 網路安全威脅的複雜多變，政府/企業更加強調對於整體資訊安全的需求，SOC專業委外監管增多。 資訊安全服務產業進入了新的時代，專業服務平台工具為市場競爭及確保服務品質不可或缺之工具。 面對日趨複雜之網路環境，資安服務將更需要自動化工具之輔助以確保精確有效，安全診測技術工具將需更智慧化。 資安產品業者 資安服務業者 ISP業者 網通設備公司 作業系統商 專業顧問公司 系統整合商 Cisco, D-Link.. Verisign, Trend Micro Dragonsoft Broadweb.. Seednet, Hinet.. Acer,.. Anderson,.. Microsoft,..

7 安全防禦朝向整合與聯防 整合式安全解決方案 – 以 Symantec 為例
Norton Security：AV + FW + IDS + PW管理 連結網路防禦機制：如 Cisco SDN (Self-Defending Network )，為例，結合後端Policy Server、Router、前端Security & Trusted Agent功能，一方面可執行對未知威脅的隔離，另外更建立整個網路的防禦，有效防制一般防毒軟體所無法偵測的 Day-Zero 及DDoS Attack等 。 Security & Trusted Agents Compliant Endpoint: Policy Servers Admit! Enterprise Network Remote User Internet 禁止存取 Noncompliant Endpoint: Branch 隔離區

8 2004–2008全球資安產品規模 安全評估管理類之資安產品CAGR達19.56％，市場潛力雄厚。 單位：百萬美元
Source: IDC, 資策會MIC整理; 2005/12 安全評估管理類之資安產品CAGR達19.56％，市場潛力雄厚。

9 國內網安應用推動情形 行政院資通安全會報活動及對政府機構的資安技術服務 ISMS/17799資安管理系統建置 安全診測
弱點評估(Vulnerability assessment) 入侵偵測(Penetration test) 網路安全監控(SOC)及緊急應變中心(CERT) 國防單位自行建立SOC密切掌控網路安全狀況。 銀行及金控公司為確保網路安全，除推動ISMS及建置防禦系統外，並有委託顧問服務公司提供弱點評估及入侵偵測等服務。 一般企業的企業網路(Enterprise Network)安全防護建置,包括Firewall, IDS/IPS, VPN, VLAN, Anti-virus, Anti-spam, SSO, Access management, WLAN security

10 二、資策會資安研發領域

11 資訊安全整體範圍 管理機制 法令政策 (ISO 17799..) Wired / Wireless 安全防禦 內容管理 網路系統安全技術
(FW/IDS/IPS..) 內容管理 （DRM） 網路系統安全技術 應用交易安全技術 網路安全診測 (VA, PT, Risk Eva..) 資料交換安全 (PKI, USIM..) 無線安全技術 (Sensor, WiMax, UMA…) 安全電子支付 (M-Payment..) 系統平台安全 (3A, VPN, Trusted-OS..) 軟體防護 (Antivirus, S-code ..) 基礎密碼技術 互通界面及標準 管理機制 (ISO ) 法令政策 安全管理服務

12 資策會投入之資訊安全領域 網路安全診測技術研發 行動應用安全技術研發 管理機制 (ISO 17799..) 法令政策
Wired / Wireless 網路安全診測技術研發 行動應用安全技術研發 安全防禦 (FW/IDS/IPS..) 內容管理 （DRM） 網路系統安全技術 應用交易安全技術 網路安全診測 (VA, PT, Risk Eva..) 資料交換安全 (PKI, USIM..) Sensor Network Security 無線安全技術 (Sensor, WiMax, UMA) 安全電子支付 (M-Payment..) UMA Security 系統平台安全 (3A, VPN, Trusted-OS..) 軟體防護 (Antivirus, S-code ..) 基礎密碼技術 互通界面及標準 管理機制 (ISO ) 法令政策 安全管理服務

13 行動應用安全技術研發 Mobile Transaction and Payment Security
Digital Right Management Music, Video Software…. Converged Network Content providers USIM-based Mobile Security Platform 數位內容安全技術 研發數位內容流通所需之數位版權管理(Digital Right Management，DRM) 技術，包括手機端DRM Client及伺服端DRM Server系統技術，以及數位版權管理應用所需的版權授權管理(Content Management License Administrator，CMLA)運作模式與服務平台技術等項目。 行動交易安全技術 研發以手機內USIM卡為基礎(USIM-based)的行動交易安全技術，包括USIM手機行動安全平台、USIM OTA遠端管理伺服系統、以及USIM行動交易與付款安全系統等技術項目。

14 Senor Network 相關安全技術研發
FY95：開發保全系統無線化所需 解決之安全技術 合作業者：感測器硬體業者、保 全服務業者 無線保全服務系統 (保全公司) 業界合作 FY96行動環境先進應用關鍵計畫 技術項目： 1. 開發保全服務相關之應用profile 2. 開發ZigBee Security新版標準 關鍵科專 關鍵科專 感測器網路安全技術 FY94創新前瞻計畫 技術項目： 1. 開發ZigBee Security 1.0標準(加解密，驗證，金鑰管理) 2. 開發高效率廣播訊息認證技術 3. 開發無線頻道干擾偵測與因應機制 創新前瞻 創新前瞻 感測器網路安全通訊 FY94 FY95 FY96 FY97

15 UMA Security Authentication
The security mechanisms over the Up interface support authentication, confidentiality and data integrity to protect signaling, voice and data traffic flows between the MS and the GANC Authentication Mutual authentication is accomplished using EAP-SIM or EAP-AKA procedures within IKEv2 protocol For NAT traversal, the NAT support of IKEv2 shall be supported Confidentiality and Integrity All signaling traffic and user-plane traffic, sent between MS and GANC-SEGW over the Up interface shall be protected by IPsec ESP For NAT traversal, UDP encapsulation for ESP tunnel mode shall be supported

16 網路安全為資安之最前線 網路安全 應用安全 PKI、Content Security, M-Payment,
Virus, Worm Backdoor DDOS, SQL slam 網路安全 Firewall, IDS/IPS, IP Sec VPN, .. Wired/ Wireless 弱點評估(VA), 入侵偵測(PT), 風險評量(RE), 防禦輔助 入侵偵測, Trusted Network Connection, 3A 應用安全 PKI、Content Security, M-Payment, Secure Transaction, DRM, 防毒軟體(Virus, Worm, BackDoor),.. SOC: Security Operation Center ISMS: Information Security Management System PKI: Public Key Infrastructure VPN: Virtual Private Network 資安政策、資安管理 (SOC、ISMS)

17 現代企業網路安全推動三要項 網路安全診測可彌補安全管理與安全建置推行之盲點， 確保達到企業網路安全Cost-Effective之目標。
網路安全管理 (政策、制度、稽核) ISO 17799 Risk reporting Policy enforcement 網路安全診測 (掃瞄、驗測、評量) Fix recommendation 網路安全建置 (補強、防禦) 網路安全診測可彌補安全管理與安全建置推行之盲點， 確保達到企業網路安全Cost-Effective之目標。

18 我國資安服務業者技術困境 網路安全診測技術發展即在提供解決上述問題之途徑。
大多數仰賴國外技術及代理國外軟硬體工具，藉以執行業務，對於特殊需求無法有效配合支應。 少部分業者自主開發工具軟體或引用Open Source工具，因受限於研發投入不足，不易有效發展出先進功能服務以因應市場之競爭需要。 整合性自動化技術不足，專業服務之人力成本及時間投入仍高，難以因應客戶日趨複雜網路應用之資安服務要求。 面對日益猖獗的駭客攻擊與高度複雜化的網路環境,管理人員嚴重面臨的問題是: 目前的網路安全狀況究竟如何? 在資源有限之下最有效的改善方案為何? 改善工程實施之後安全提升的程度又如何(投入產出的效益為何)? 網路安全診測技術發展即在提供解決上述問題之途徑。

19 三、資安診斷研發願景,定位及重點 計畫及技術定位說明(格式請參考下頁) －簡述單位協助產業發展之策略及本計畫於產業中扮演之角色與定位
單位之科專執行現況說明(含上一年度執行情形) 單位已建置之核心技術及研究設施

20 網路安全診測技術研發願景 研發網路安全診測相關先進技術與軟體平台 快速提升我國自主技術能量 並開發完成實務可用之自動化整合的安全診測軟體
提供我國企業網安健檢使用 提升我國資安顧問服務與資安產品之市場競爭力，擴大產業內外銷之產值 配合政府推展資通安政策, 研發在資安領域所需之網路安全診測技術，以協助提升我國資安防護能力, 並提升國內自主性的網路安全技術水準, 促進國內相關產業之發展。

21 研發定位 網路安全服務與技術平台 新一代網路應用環境與資安需求 網路安全建置 防火牆 IDS/IPS VPN Router Host/AP
網路防毒… 網路安全管理 ISO 17799 AAA Mgt. 管理評估 持續營運 災難備援… 網路安全診測 弱點掃瞄 滲透測試 統計分析 風險評量 修補/防禦 　輔助… 網路安全服務與技術平台 Fix recommendation Smart response Risk reporting 自動化整合 企業自我健檢 資安顧問服務 資安產品 網路安全診測自動化軟體系統 Mgt. support ITRI projects

22 Security Technology Development
研發範圍 Security Technology Development Technology Requirements Complex Network Environments Scanning and Assess Solution vendor’s requirement Risk Evaluation Service providers’ requirement Defense support Network operators’ requirement

23 全程研發重點 本計畫總體目標為發展系統化的網路安全診測軟體與方法，其中，軟體之發展係指開發出一套自動安全診測工具套件，應用上可涵蓋至無線網路環境，此工具研發技術藍圖如下圖示： Dynamic Defense Support FY97 IDS/IPS Inline Adjustment Configuration Mgmt Support Dynamic Firewall Support Risk Evaluation FY96 Measurement Metric Calibration against testbed Statistical learning report generation Scanning and (re-)Assessment Intelligent Report Automatic Test Generation Wired/Wireless FY95 Scripting of Attack Graphs V-Scan PT

24 主要研發技術關聯與里程 主要技術研發將互相密切關連，最終可整合成安全診測之平台方案 FY 95 FY 96 FY 97
Dynamic FW/ IDS/IPS Support defense suggestion Defense Support Configuration Mgt Support scanning output Measurement Metrics Risk Evaluation adjustment Calibration Testbed Statistical Learning Auto Test Generation setting change PT Scanning & Assessment Intelligent report co-relation attack methods Attack Graph Scripts V-Scan 主要技術研發將互相密切關連，最終可整合成安全診測之平台方案

25 診測技術自動化整合的必要性 網路環境的駭客攻擊日益猖獗且手法不斷翻新。 網路應用發展更複雜化且亦涵蓋到無線整合。
已知弱點掃瞄與被動式防護等作法，耗時費力且誤判率高。 間接性攻擊威脅較難掌握。 一般防禦作為不易機動因應，改善程度亦難衡量。 未來的趨勢是網路安全診測將是掃瞄、驗測、風險評量與防禦策略一體的；自動化診測工具之整合需求度將大幅提高。

26 全程計畫內容 網路安全診測技術研發計畫 安全偵搜評量技術分項(著重安全攻防分析核心技術) 自動化診測模擬技術分項(著重自動化機制與測試技術)
FY95 FY96 FY97 安全偵搜評量技術分項(著重安全攻防分析核心技術) 網路安全診測技術研發計畫 智慧型掃瞄(V-scan)與滲透測試(PT) 弱點/攻擊方法彙整分析 弱點與攻擊種類方式資料庫建立 安全弱點/攻擊手法之分類與關連分析 評量(Measurement Metric)與統計學習(Statistical Learning) 風險評量分析機制 - Risk Classification - Scoring Framework 攻擊行為統計學習 攻擊路徑模式分析與產生 防禦(Dynamic FW/IDS)與建構管理(Config. Mgt.)輔助 建構管理API規格 建構設定工具 動態防火牆技術 IDS/IPS Adapter 自動化診測模擬技術分項(著重自動化機制與測試技術) 自動測試(Auto test Gen.)/攻擊圖(Attack Graph Scripting)技術 攻擊描述語言格式 情境描述編譯器 診測自動化環境 攻擊圖描繪技術 V-scan及PT自動化整合 測試平台模擬調校(Calibration Testbed) 調校目標項目分析 Methodology標準 各式攻擊行為模擬規劃及程式庫建立 Exploit Code最佳化校正 DETER 測試平台攻防最佳化調校 調校基準規格 整合測試建構 混合攻擊模擬 動態防禦模擬 攻防最佳化校正

27 四、研發執行策略

28 技術發展策略 全方位考量企業網路安全網管人員及MIS主管所關心的安全問題及可能面臨之挑戰
網路安全健康狀況如何，除了掌握直接之系統弱點外，也能瞭解惡意攻擊之潛在威脅與途徑，如此，才能策定Cost –Effective的防禦措施與補強方案 讓網路安全風險經由客觀性高之技術檢測結果呈現出來，不但可以量化且可用以評估防禦改善之效益 優先選擇研發共通性較高,應用面較廣的安全診測技術項目,以提高效益 例如:智慧型掃瞄與滲透驗證機制、攻擊路徑圖描述機制、攻擊模擬整體自動化機制等 充分與國內外學界共同投入, 以加速相關先進技術之研發，FY95規劃 與UC Berkeley合作，引進Attack taxonomy, Attack graph scripting、Auto test generation及大型testbed等技術 與中正理工學院合作，先期研發網路安全風險相關之評量機制，並就安全資產評估部分進行應用軟體原件開發

29 FY95學研合作分工規劃 合作項目內容 預期效益 UC Berkeley 中正理工學院 國內外學界 預定合作方式 （如何分工）
攻擊手法及自動測試研究 Develop & analyze taxonomy of attacks Scripting of Attack Graph Auto Test Generation DETER Testbed使用訓 練與實測 由UC Berkeley負責Attack核心技術及Auto test的研發，III負責將該技術引進，並與V-scan及PT平台整合以及進行加值，以提升技術診測之精準度與效能。 共同研發各種攻擊手法與分類技術，引進先進且高彈性的攻擊圖描繪與自動測試產生系統技術。 中正理工學院 風險評量技術先期研究 資產價值評估模式設計 國防SOC領域標準之資 安風險評估方法發展 資產價值評估技術/模組 研發 由中正理工學院負責先期研析網路安全風險相關之評量方法、標準、與技術，並就資產評估部分進行應用軟體模組開發，再由III於下階段導入安全診測之風險評量技術研發使用。 預期所研發之成果將來可進一步發展與安全掃瞄診測軟體結合運用，使掃瞄驗測技術與風險管理密切結合。

30 UC Berkeley技術合作規劃 工作項目 總天數 國家/城市 擬出國月份 技術規劃會議 - 計劃目標 - 合作技術項目討論
- 技術合作模式規劃 - 計劃時程安排 8(天)*4(人) 美國/舊金山 三月 網路攻擊型態(Attack Taxonomy)分析研究發展 30(天)*2(人) 四月 整體資安技術會議討論 - 計劃期中檢視與交流研討 8(天)*2(人) 六月 攻擊圖描繪(Attack Graph Scripting)技術研究及開發 45(天)*2(人) 七月 自動化偵測技術(Automatic Test Generation )研究及開發. 九月 DETER 攻防測試平台統合驗測 14(天)*4(人) 十一月

31 參與美國DETER Lab Testbed實測規劃
本計畫將與美國UC Berkeley(UCB) Dr.Tygar為主之研發團隊合作，藉以引進先進技術並參與美國大型測試平台（DETER Testbed）實測。

32 DETER Lab Testbed 成立背景 DETER Project係由美國National Science Foundation (NSF) 及the Department of Homeland Security (DHS) 所共同支持成，參加組織包括 ： UC Berkeley, USC/ISI, Penn State University, Purdue University, SRI, McAfee Research 等 DETER Lab Testbed主要由UC Berkeley, McAfee Research及USC ISI負責，其目的在於建構大型網路測試平台環境（類似Mini-Internet），以提供研究單位進行網路攻防實測與自動化模擬之用，其已於2004年3月開始運作。

33 DETER Lab Testbed 服務特點 提供大型網路安全測試平台，協助發展新ㄧ代網路安全技術。
實驗網路隔離技術，不同的專案研究可同時進行，不會互相干擾(VLAN isolation)。 大量網路節點與各種平台設備，提供模擬各式複雜的網路拓樸。 圖形化介面，提供簡易快速的網路環境與平台建構。 遠端設定、執行、蒐集與分析網路安全測試結果(Web-based manipulation)。 DETER Testbed可由測試者執行遠端網路架構配置進行模擬實測

34 成果應用推動策略 計畫成果 研發單位 （資策會） 資安產品、網路設備 或系統整合廠商 資安服務業者
Security consultant Co. (ISSDU, Dragonsoft..) 計畫成果 Mgt. consultant Co. System integrator (Acer..) Enterprise MIS Security product vendor (Broadweb..) Internet Service Provider (Chunghwa Telcom..) Networking device /manufactures 研發單位 （資策會） 資安產品、網路設備 或系統整合廠商 資安服務業者 移轉給資安產品、網路設備或系統整合廠商，由其整合到原有產品及服務中。 移轉給服務業者，協助業者應用成果對其客戶提供服務。 移轉給企業或資安機構，協助該企業機構應用成果對所管轄網路進行安全診測。

35 五、結 語 本計畫將系統性地發展網路安全弱點診測，風險評估及防禦方案之診測技術與軟體工具，使得網路安全建置與改善工程能有效的進行：
五、結 語 本計畫將系統性地發展網路安全弱點診測，風險評估及防禦方案之診測技術與軟體工具，使得網路安全建置與改善工程能有效的進行： 減少診測人工作業 提高診測精確性，減少誤判 提升掃瞄效能，避免影響正常作業 增進風險評估能力，便於決策分析 掌握攻擊行為路徑，增進防禦能力 可進一步延伸發展安全診測關鍵技術與軟體模組，提供業界整合發展各種資安產品(如IDS/IPS..)及加值應用等。 自主掌握網路安全診測技術核心能力，避免市場被外國掌控。 取得國際先進之資安技術，培養專業人才並提升我國技術水準。