2009年11月底台南縣市連續兩天發生兩件重大的治安事件，震驚各界。一名男子在24日大白天被3個人當街近距離連開11槍，槍槍致命。而在前一天則是有家銀樓在沒有做任何額外防護措施下自行開車自銀行提領7千多萬元的現金，要回銀樓與客戶進行黃金交易；但這個行動卻早就被歹徒釘上了，於是在車子一停到銀樓門口時就立即持槍強劫，在光天化日下短短數分鐘就搶走了7千多萬元，逃逸無蹤。

 

 

        這樣的事件實在駭人聽聞，而戲劇般的情節內容也令人匪夷所思，但事情卻是真真實實的發生了。這讓播報新聞的記者也不禁要為這些案件加上註解，強調現在的社會多半只有將資源與警力放在案件發生之後的偵辦及緝兇，卻一直沒有做好事先的安全教育及預防措施。

 

        沒錯，案發之後縱使再快破案也無法挽回不幸，唯有事先的預防才可以降低損失。想像如果商家的門禁保全系統可以馬上獲得所有進出人員的犯罪記錄檔案，便能夠直接將有前科的歹徒擋在門外，降低被搶奪的風險；而如果我們可以一眼看穿每個人過去的記錄，就可以立即分辨出潛在的壞人及威脅，敬而遠之；這樣的世界該有多好，也太平多了。

 

但這畢竟只是一種想像，實際上無法達成。因為警察的維安系統資訊及罪犯記錄是不可能公開分享給所有的人做參考(這樣會侵犯到基本人權)，而蓄意犯案的歹徒臉上也沒有寫著“我是壞人”來警告你。所以現實生活中我們還是只能靠安全教育來儘量降低風險，並時時留意周遭的人物，處處多加小心，來避免自己受到傷害；但惡意的壞人當然還是會隨時準備進行攻擊，以期獲取非法利益。

 

 

而提到威脅與風險，我們當然也要將電腦及網路算進來；駭客或許不會當街搶走你的現金，但卻可能在網路上竊取你的密碼、資料及寶物，一樣會讓你蒙受巨大的損失。在現在幾乎所有企業均已經架設防火牆來保護資訊系統的狀況下，這些網路駭客的攻擊手法，已經逐漸轉由透過垃圾郵件和Web網頁封包的方式進行，近來常見的垃圾郵件、殭屍網路(Botnets)等攻擊便屬於此類。根據統計，網路上超過80%的電子郵件都是垃圾郵件，每天的數量高達一千五百億封(150 Billion)以上。

 

幸運的是，這次我們有機會實現在壞人(駭客)臉上看到“我是壞人”字跡，並主動避開風險的夢想。主要的原因是在網路上，我們有機會將所有接觸到的資料進行及時的過濾及篩選，並搭配完善的資訊安全系統，一眼看出壞人(駭客)，馬上加以阻止。

 

 

    這樣的機制是如何做到的呢？首先當然也要像警政系統一樣地建立起完整的資料庫，將發生過的資訊加以記錄，才有資料可供判斷。但網路世界與真實社會不同的是網路無國界，資料庫必須要是全球性的才有效果；此外，網路上的資料庫也要可以提供給每個企業組織參考，並允許他們擔任自己的警察，保護企業網路的安全。而Cisco的全球資安聯合防禦機制就是依這個方式所建構及營運的。(亦請參考聚碩Go-go-go購2009年9月號廖國宏先生的PM部落格文章“全球資安聯合防禦”)

 

    要判斷一個郵件或網頁資料是否有問題，資安設備可以參考資料庫，並依據多達數十種的參數來分析和比對進出的封包；綜合考量諸如寄件者IP位址與實際發送國家是否相同、該IP位址近來是否有異常大量郵件、以及DNS可否完成反解析等等訊息，來決定封包是否存在威脅。

 

IronPort SensorBase

 

    聰明的讀者一定了解到這整個架構中的核心關鍵點便是資料庫的完整和及時性。擁有愈多訊息、愈及時更新的資料庫，資安系統就能做出最準確的判斷，提供最有效的防範。而談到這一方面，就要算自2003年開始運行，於2007年被Cisco併購，原名為IronPort SenderBase的Cisco IronPort SensorBase系統為業界的領導者了。

 

SensorBase系統是目前全世界最大的資安資料庫，透過10大ISP其中的8家，以及遍佈各地、超過10萬個企業組織的資安設備，全天候不斷地收集及歸納超過30%的全球電子郵件和網頁流量的訊息，並將及時的潛在威脅資訊回饋給用戶。超過150種以上的電子郵件參數、和數十種以上的網頁訊息參數，能夠讓用戶準確、有效地判斷出“壞人”、“好人”、或“可疑人士”，然後進行相對應的處理措施。

 

 

    Cisco於2007年6月以高達8.3億美元(US$ 830M)收購於2000年成立，專注於阻擋垃圾郵件和網頁威脅的IronPort公司，就是希望將IronPort納入Cisco既有的自我防禦網路(Self-Defending Network)戰略之中，並以IronPort的SensorBase為主軸發展出更完整及全面的主動預警系統，來協助企業降低駭客攻擊的威脅。

 

Cisco將這套完整的防衛預警系統稱為Cisco SIO 安全智慧營運(Security Intelligence Operations)，主要包括下列3個元件，來提供Cisco所倡導的全球資安聯合防禦機制：

 

被Cisco收購之後，SensorBase的資料收集範圍已經擴展到Cisco全球的IPS入侵偵測系統、ASA防火牆、和原有的IronPort Web及E-mail Security設備，總數超過70多萬台，每天收集到的訊息超過三百億(30 Billion)以上。除此之外，SensorBase亦納入全球最大，涵蓋40,000種不同安全漏洞(Vunlnerability)的Cisco IntelliShield系統，讓防衛的資料庫更完整。

 

依據這些完整的資料，SensorBase會進行類似銀行對客戶的“信用評比”機制，對所有網際網路上的流量寄送者訂出“信譽分數(Reputation Score)”，然後及時地提供給全世界的SensorBase客戶。就郵件過濾而言，客戶可以使用IronPort的信譽篩選器(Reputation Filter)在網路連線層就將信譽太差的已知垃圾郵件流量擋掉，讓它們連大門都進不來，有效降低郵件伺服器和過濾設備的負擔。

 

有了強大的SensorBase資料庫，Cisco更進一步地成立了24*7*365全年不間斷的威脅控管中心Cisco TOC(Cisco Threat Operations Center)(圖一)。Cisco TOC在全世界各地擁有5個研究及分析團隊，能隨時自動地自SensorBase資料庫中淬取出重要訊息，然後與全球的及時網路流量進行比對，一旦發現有新的病毒或網路大量異常流量發生時，爆發偵測(Outbreak Detection)系統便會主動通知客戶的防火牆、IPS、郵件、及網頁過濾設備來進行預防。

 

圖一、Cisco全年不間斷的威脅控管中心 (資料來源：www.cisco.com)

 

有了廣大的資料量、完善的系統、和快速的信譽評估機制，Cisco SIO就能夠在安全威脅問題一出現時將威脅訂出自1到10不等的評分，然後根據事態的嚴重程序做出相對應的措施，例如：4~7分的威脅需在數分鐘之內通知客戶，而8~10分的威脅則必需立即通知。

 

根據Cisco TOC自行的統計，在新病毒出現、進行全球大範圍攻擊之後，通常防毒軟體需要數小時以上的時間才有辦法提供更新的病毒碼。而在這段空窗期中，Cisco TOC卻可以即時辨識出新病毒，並儘速主動通知客戶的設備；然後Cisco IronPort的設備便會將可疑的訊息先隔離起來(等待未來新的病毒碼更新後再決定放行或丟棄)，以確保系統免於受到最新爆發的病毒疫情威脅。

 

 

    『廠商的技術能力高低，可能直接反映在設備的過濾效果的好壞…』，iThome 雜誌在2007年12月份的郵件過濾設備採購專輯中表示：『國外廠商都有建立維護自己的一份IP信譽資料庫…，由於是商業版本IP信譽資料庫，因此在IP信譽的認定上就必須相當嚴謹，儘量將誤判的機率降至最低』。因為垃圾郵件的數量實在太多，要完全擋掉的話就要做最嚴格的判決，但也同時可能增加因誤判(False Positive)而錯擋正常郵件的機會。

 

就阻檔的效果來說，少數被漏放的郵件還可以由用戶自行刪除，不會造成太大的困擾；但被錯擋的如果是非常重要的郵件，就可能帶給企業一些損失或不方便。所以就垃圾郵件過濾設備的評估及表現來說，錯擋率(False Positive Rate)的高低才是真正的關鍵考量；使用的不是『寧可錯殺一百，也不漏放一個』的思維，而應該是『寧可漏放幾個，也要避免錯擋』的原則。

 

 

InforWorld於2008年4月針對市場上較常見的一些電子郵件安全設備進行了一次測試，在其測試報告中也清楚地指出：『測試的設備均有相當高的阻擋率，可以滿足用戶的需要，所以不是比較的重點。對用戶真正有影響的重要指標乃是“錯擋(False Positive)”的次數和比例』。而該測試報告的比較表則顯示，以全球最大的資料庫SensorBase為依據的Cisco Ironport有著最少的錯擋次數和比例(詳見圖二)。

 

當然，郵件安全過濾設備所能提供給用戶的功能還有很多，諸如防垃圾郵件、防病毒、預防資料外洩、郵件加密保護等等，讀者可以參考聚碩Go-go-go購2009年11月號，江其杰先生所寫的PM部落格文章“如何選擇有效的垃圾郵件防護解決方案”，文章中有更詳細的介紹。

        圖二、Cisco Ironport有著最少的錯擋次數和比例

(資料來源：www.infoworld.com, Apr/09/2008, Test Center guide: Mail security appliances)

 

 

以IronPort SensorBase為資料中心，採用雲端(Cloud-Based)架構的Cisco全球防禦系統在2009年11月24日更將服務的範圍擴展到了消費者端，發表Cisco SIO的行動版本SIO To Go，將早期警告智慧、威脅弱點、和經過驗證的Cisco防護方案提供給Apple iPhone的消費者使用。Cisco SIO To Go還可以讓使用者做個人化警示，顯示潛在的安全威脅，並提供思科安全方案額外的安全保護。

 

 

全球最大、仍持續增長中的Cisco Ironport SensorBase安全威脅架構目前包含的設備除了既有IronPort產品、iPhone之外，Cisco的IPS及ASA防火牆也只要將軟體版本升級到IPS 7.0或ASA 8.2即可加入，享受及時的安全訊息和防護。當然，好東西就是要與大家分享，Cisco衷心希望所有的用戶一起來共襄盛舉，讓SensorBase資料庫能夠更大、更完整，並透過雙向的訊息交流來讓更多的用戶受惠。畢竟如文章中所描述的，涵蓋愈廣、資料愈及時和準確的資料庫才是安全防護的最關鍵因素及最佳保障。