許多企業在規劃資訊安全防禦時,往往將重點放在阻擋外來攻擊的邊界防火牆,卻忽略了內網的橫向移動與潛在的隱私資料外洩危機。所以很多公司會設置可以偵測區域網路內的網路傳輸機制,避免惡意程式或軟體流竄,並提高偵測到駭客潛伏跡象的機會。
過往會需要專屬的設備或付費軟體,而 QNAP 之前推出的 ADRA NDR 網路交換器就是內建這類軟體的交換器方案,適合 OT 環境使用,偵測產線上的設備網路傳輸情形。如今,該公司又推出了 ADRA NDR X (ADRA NDR Standalone)解決方案,讓企業能夠直接利用現有的 QNAP NAS 作為網路偵測與回應(NDR)的核心,可免費安裝他們的這套 NDR 軟體,再搭配智慧型網管交換器,就能在不更動既有網路架構的前提下,主動掌控內網的潛在威脅,這算是很有意思的規劃和設計,直接讓 NAS 和交換器的組合就地升級企業內資安防禦的一環。
快速完成 NAS 與智慧交換器的資安聯防部署
CyberQ 實作與測試這套方案,而要啟動這套內網偵測系統,必須先在 QNAP NAS(例如本例實測的 TS-673A)上安裝並開啟 ADRA NDR Standalone 應用程式。初始化介面會引導管理員與第一台 QNAP 交換器建立連線。在本次實戰測試中,CyberQ 使用支援網管功能的 QSW-M3212R-8S4T 10GbE 智慧網管交換器,將其 IP 位址(192.168.2.117)、通訊埠(443)與管理員憑證輸入系統,並啟用安全的 HTTPS 連線。我們也部署實作了 100GbE 交換器 QSW-M7308R-4X 進到 ADRA X 架構中納管,進行資安威脅測試與封包擷取分析。
緊接著是設定網路流量側錄的關鍵步驟。系統會要求指定交換器上的「鏡像連接埠」(Mirror Port),在此範例中我們將連接埠 5 設定為鏡像連接埠,用來接收來自其他 11 個受監控連接埠的複製流量,這邊要特別提醒,這個鏡像連接埠是直接連線到 NAS 上的其中一個網路連接埠,只傳輸監控封包給 NAS 用,所以 NAS 其他的連接埠要連到這台交換器或其他交換器才能夠聯網。
透過這種側錄流量的方式,系統既能全面檢查內網封包,又完全不會影響原本網路的傳輸效能與日常執行。
不但如此,還可以在 ADRA NDR 服務中,指定封包擷取,可選擇你要錄封包的交換器,並啟用壓縮,錄一整天或一整週的封包,可以依據時間來分別下載壓縮好的封包檔案。
匯出的檔案,也能夠傳送到 ANMAS 這套 AI 惡意封包分析系統上,進行更多的鑑識分析,這適合 SOC、資安公司、機敏單位、研究機構做更多的使用和解析盡些威脅。
直觀的儀表板:讓嚴重網路風險無所遁形
部署完成後,ADRA NDR 的儀表板能提供即時的風險評估報告。從總覽畫面可以清楚看到,在 CyberQ 的辦公室測試環境中,系統在涵蓋期間內偵測到 348 個資安事件,並將整體風險層級判定為「嚴重風險」。其中包含 8 件中度風險事件與大量的低度風險事件,且多數處於未解決狀態。
透過威脅活動趨勢圖表,管理員能一眼看出流量異常的爆發點。在特定的時間點,內網的威脅計數出現了急遽的攀升。系統也同步列出了前幾大威脅來源的 IP 位址(例如 192.168.2.10 與 192.168.2.18 等),協助資安工程師快速鎖定高風險的內部裝置,排定調查的優先順序。
威脅分析可查找內部裝置的異常行為
CyberQ 認為,ADRA NDR 的核心價值在於其威脅分析的快速彙整。比方說我們實測多筆威脅事件的一個案例,在裝置威脅活動記錄中,系統捕捉到一筆由內部裝置(來源 IP:192.168.2.113)發往目的地 IP(192.168.2.18,通常為內網 DNS 伺服器)的深度威脅分析事件,這項檢測觸發了特徵碼編號 SID: 2018918 的警報。
深入檢視該事件的詳細資訊,可以發現這是一次透過 UDP 通訊埠 53 執行的 DNS 查詢要求,查詢的目標網域為外網的特定帳號伺服器網域(api.account.xiaomi.com)。系統判定此行為涉及潛在的手機隱私不當傳輸與企業資料外洩風險,會提供如下的資料 :
安全事件詳細情資表
欄位名稱 檢測內容與情資細節 觸發特徵碼 (SID) 2018918 風險層級 中度風險 對應 MITRE 戰術 TA0009(收集 Collect)、TA0010(資料外洩 Data Breach) 特徵描述 檢測到 DNS 查詢連向特定伺服器,可能在未經使用者明確同意下,將內部個人資料(如通訊錄、訊息內容、瀏覽歷史等)傳輸至境外伺服器,對組織環境構成隱私侵害與資安外洩連鎖連帶問題。
AI 輔助緩解措施與報告輸出
面對紛雜的資安警報,系統內建的 AI 功能會針對個別事件自動產生實用的緩解措施建議。針對上述的異常連線問題,系統提供了解決對策,建議管理員在企業環境中實施網路過濾原則,監控或直接封鎖已知的資料收集網域。同時,也建議建立並落實嚴格的企業行動裝置使用規範,明確限制或禁止在高度敏感的組織環境內使用特定品牌的手機,以防範潛在的端點防禦漏洞。
最後,系統提供了下載「AI 驅動威脅事件分析報告」的功能,能將複雜的事件細節、受影響的設備 IP、對應的 MITRE 戰術框架等關鍵資訊整合為總覽報告。這項設計減輕了資安工程師撰寫合規報告的負擔,也讓高階主管能透過這些的資料掌握內網整體的安全態勢。
不過呢,實務上,因為 NDR 其實提出大量的資訊中,資安人員與資訊管理人員要把許多狀態設定排除和已解決,不然快速累積的各種威脅中,很容易淹沒你的資訊儀表板頁面,因此排除掉許多事件,然後檢查設定,過濾出可用的資訊,這是目前資安人員的日常。
靈活部署與零效能衝擊的快篩機制
CyberQ 認為,這套系統對很多公司來說,因為具備極低的部署門檻與成本效益,讓管理者不需要購置昂貴的專用資安交換器,只要利用現有的相容儲存設備,直接透過 App Center 即可在幾分鐘內完成升級安裝。
而為了解決過往類似方案在流量側錄時容易造成網路效能大幅下降的問題,該系統採用了一種快篩檢查技術,僅針對特定的可疑封包進行深度快篩,設法在過濾資安威脅的同時,避免企業內網的網路吞吐量受影響。
分級防護政策與排除彈性
為了滿足不同組織對於風險承受度的差異,系統內建了四種層級的保護政策供管理者靈活挑選。在剛部署上線的初始觀察期,管理者可以選擇風險通知模式,此時系統僅會發送警示通知而不會主動介入或中斷連線,非常適合用來收集基準資料。
隨著對環境的掌握度提高,則可逐步升級至僅阻斷高風險裝置的基本保護、阻斷中高風險的進階保護,甚至切換到自動封鎖所有潛在風險裝置的嚴格保護模式,這個請只在你已經將排除規則都設定好後才實作,不然會不小心因為誤判然後把機器鎖住不能聯網了,ADRA X 的功能畢竟是 NDR ,是可以阻斷它管理的連接埠,進而把連接埠上的裝置封鎖連線。
所以,為了避免特定開發設備或維護行為觸發誤報,要善用排除清單功能,針對特定裝置或特徵碼進行細緻的例外設定,讓日常業務的執行更具彈性。處理排除和設定規則就要花費不少時間分析和研究,這也是許多企業資安人員的日常喔。
內建蜜罐技術主動誘捕攻擊者
除了被動側錄與分析流量,這款方案也有整合了主動防禦的虛擬陷阱技術。管理者可以在內網環境中配置微型蜜罐,建立多個不存在的虛擬 IP 位址作為誘餌。
由於正常的內部裝置絕不會無故嘗試連線這些不存在的網路節點,因此一旦有任何遭受惡意軟體感染、或企圖實施內部橫向移動的攻擊者存取了這些陷阱,系統便會立刻識別出其惡意意圖,並第一時間向網管人員發出警報,這個對資訊管理人員和資安人員來說是實用的功能,不用自己另外再去設置蜜罐,但實務上,還是會多設置額外的蜜罐比較好,要養成基礎服務準備二套以上的習慣。
這種主動欺敵機制能大幅縮短公司去偵測駭客在內網潛伏的時間,協助企業建立比過往更好一些的內網縱深防禦。
部署先決條件與架構注意事項
在實際著手規劃建置前,企業需要特別注意相關的硬體與軟體先決條件。該軟體目前支援多款主流的 QNAP NAS 系統型號,且作業系統必須更新至 QTS 或是 QuTS hero 的 5.2.x 版本以上,CyberQ 這次測試安裝的是在 TS-673A 這台機器上,執行最新的 QuTS hero 6 的 RC2 版本作業系統。
在網路線路的實體連接上,安裝這個軟體的 NAS 主機至少需要設置兩個獨立的實體網路埠,分別做為日常維護的管理埠,以及專門用來接收交換器鏡像流量的映象連接埠。因此假設你的 NAS 只有二個連接埠,一個上網,一個連網管交換器做映象連接埠,該連接埠就沒有其他聯網的功能了,假設你有切 VLAN ,要讓 NAS 另外接其他網段和另外的連線,就得多買一張網路卡來使用。
因此實務上,CyberQ 建議如果你想要使用 ADRA X 的資安偵測與防護功能,你的 NAS 最好是內建三個以上網路連接埠的機種,不然就要另外多買一張雙連接埠的網路卡來搭配使用,會比較夠用。
