綜觀各類資安工具,無論防火牆、入侵防禦系統、防毒系統、垃圾郵件過濾系統、內容過濾系統、Proxy伺服器或DNS伺服器,都可藉由設定黑名單,封鎖部分挾帶高風險的連線,協助企業遠離資安威脅。
但不免好奇,這些黑名單究竟從何而來?主要是出自各資安實驗發布之IP信譽評等結果。在企業外部的茫茫網海中,任何IP位址,只要散播惡意程式,抑或慘遭惡意程式感染,都將被標示信譽不佳。而企業根據這份清單,即可透過資安政策的設定,封鎖或攔阻不良IP。
在此前提下,凡是與不良IP相關的連線請求,不論從外到內、由裡向外,企業都將拒絕處理;一來可收安全預防之效,二來可避免IT系統耗費資源於處理這些請求。由此看來,IP信譽評等雖非新穎概念,卻具備高實用性;惟企業仍須審慎評估名單的可靠性,否則恐因誤判而產生「放行賊寇」或「誤殺良民」等憾事。
如何判定可靠與否,關鍵在於源頭實驗室的本領。現今駭客經常利用跳板散播毒害,因此IP位址不斷改變;但不管駭客行蹤如何飄忽,功力深厚的資安實驗室,皆可即時監控,並隨即更新信譽評等內容。如此,其名單的可信度自然準確;相反地,更新頻率偏低的IP信譽評等機制,顯然值得商榷。
但話說回來,在企業封鎖外部不良IP之餘,亦應管制內部的不良IP,才能確保趨吉避凶。至於如何促使信譽不良的內部IP浮出檯面?建議企業設計一個類似平衡計分卡的評鑑機制,並妥善制定計分規則。
假設有某台電腦,被防毒軟體偵測到中毒現象,亦因為試圖連線至外部黑名單,遭受防火牆封鎖;此外,更由於散播病毒郵件,進而遭致Anti-Spam系統阻擋,等於是不斷違反資安政策。所以該IP在防毒軟體、防火牆、Anti-Spam等三份Top10異常名單中重複進榜,致使在各個評鑑項目中接連獲得低分,遠低於全公司平均水準。此時,企業即可合理懷疑該台電腦具備高資安風險,從而積極介入查核,並進行徹底的健檢。
如果公司的系統種類少、電腦台數少,Top10名單內容也就相對單純,尚可藉由人工比對尋找異常電腦。但若是環境複雜,自然難以土法煉鋼,就必須借助資安事件管理(SIEM)等分析工具,自動篩選信譽不佳的電腦或IP。惟無論企業取決何種途徑建立內部IP信譽評等機制,皆不需要大量投資,而且都可發揮防微杜漸之效。
IP信譽評等甚具實用價值,值得企業加以實施,但基於內外兼顧考量,不妨盡可能採用相同供應來源的實驗室報告與工具,以利於創造更卓越顯著的串聯效果。
(本文作者現任HP惠普科技北亞區資訊安全事業部技術顧問經理)