防火牆與防毒軟體通常有網頁防護或DNS防護,可以阻擋惡意IP和惡意網域,如果是單純聯網無法安裝防毒軟體的IoT設備,就只能靠防火牆或proxy過濾。而我們怎麼知道原本方案足以應付日益倍增的威脅?我們是否可以將頂尖情資導入防火牆,達到1+1>5的效果,又不用花費大量成本購買完整情資?卡巴斯基今年推出的專案「Kaspersky Threat Data Feeds」就是一個精簡版的威脅情資方案,這個方案用API串接的方式,讓防火牆接上卡巴斯基針對「惡意IP、惡意網域、殭屍網路網域、釣魚網域」等四種專供防火牆辨識的情資,即使因為地緣政治無法使用俄羅斯產品,也可以得到世界頂尖的情資,增加UTM的阻擋率。(但如果阻擋俄羅斯IP就沒辦法使用)
既然要把威脅情資應用於防火牆,就要排除防火牆無法讀取的情資。通常防火牆能夠與威脅情資交換的方法是透過結構化威脅資訊表達式(STIX)/受信任的自動情報資訊交換 (TAXII)。這是由美國國土安全部(DHS)於 2016年12月推出的全球計畫,目的是緩解和預防網路威脅。STIX是一種基於JSON的語言,以可讀、一致的格式分享威脅情資;TAXII則是一種通訊協定,支援超文本傳輸安全協定(HTTPS)傳輸威脅情報的格式。以下以Fortigate的FortiOS 7.4.12作為示範。
這是卡巴斯基今年主推產品,經銷商應該會主動聯繫重點客戶進行推廣,主管也可以主動和經銷商詢問,我找的是長期配合的禾滔科技,它們的工程師實力強大,可幫客戶進行完整建置。提出申請後,卡巴斯基台灣技術人員會與代理商一起到公司安裝。
以Fortigate為例,進入外部連接器,並選擇外部威脅情資功能,貼上卡巴斯基給的連結、與API帳密就完成了。以前我也用過免費的OSINT:AbuseIPDB,可能是免費的緣故,IP來源少,還有阻擋限制,所以效果不佳,而威脅情資必需準確完整,才能達到真正效益,不是專精研究威脅情資的公司就不推薦了。
由於一個資料庫是惡意IP、三個是惡意URL,所以設定上URL要用DNS的方式進行連接,IP則比較單純。
到防火牆政策添加阻擋規則主要是設定到LAN to WAN的阻擋,WAN to LAN個人建議預設全部封鎖。如果要架設供應商下單網站,建議把主機和網站外包,若要拋轉單據,防火牆僅開啟拋轉所需的IP與連接埠;若網站架在公司內部,除了將網站放到DMZ外,還要只允許客戶的固定IP連入,其他擋掉,以降低風險。因為即使有了卡巴斯基的情資,也無法抓到全世界的惡意IP,WAN to LAN應以最小信任、最小權限設定。如果使用網頁打卡功能,建議一律走VPN+ZTNA架構,不要將打卡網站直接暴露於公網,如果有軟體商說為了讓同仁能在公司外打卡所以放到公網,通通不要相信。
之後,卡巴斯基技術人員會給Powershell程式,是為了去ping一個文字檔清單裡預設的惡意IP與網域,因為只是測ping,不會真的下載檔案,所以電腦安全。如果有疑慮,可以在沙箱執行該Powershell、或與內網隔離。
接下來就是DNS檢測時容易犯的錯誤,假如Fortigate裡指定了DNS是1.1.1.1或8.8.8.8,流量就會導向這兩個DNS,不管怎麼設定都不會經過Kaspersky_URL,偵測率就完全失真。
即使看到流量經過Kaspersky_URL也要記得檢測方法需改為走TLS,如果走HTTP等協定,同樣會得到很爛的結果。
測試完畢,從結果來看,導入Kaspersky Threat Data Feeds可以從防火牆阻擋大量的惡意IP與網域連線,大幅縮減SIEM上的警報,減輕SOC Team負擔。
測試期間還有個笑話,中華電信的資安艦隊號稱在電信端用Palo Alto進行惡意連線阻擋,但是惡意連線數量沒有增加,看來純Ping不會有警報,只有等完全載入後才阻擋,當然也可能是真的沒有用。
等待期間和卡巴斯基技術閒聊:
- 一些僅有EDR/MDR方案的產品,如杜浦數位或奧義智慧解決方案是否會和卡巴斯基端點防護衝?
需要測試才會知道,理論上安裝卡巴斯基方案後不能安裝其他防毒軟體,儘管只安裝為了收集log用的代理程式,卡巴斯基的排它性數一數二的強,這和防毒軟體的設計有關,所以更換方案時通常建議將原本的方案包含註冊表完全移除,再安裝另一個方案。
- 為什麼鼎新電腦用卡巴斯基,但顧問來我們這兒把隨身碟插上後偵測到惡意程式?
我們有個非常愛鼎新的老闆,所有系統、顧問輔導都用他們家,但是他們的軟體漏洞天天爆,USB插來插去,KATA整天跳東跳西,更何況他們科維部門在打造資安監控平台,沒道理內控這麼差。當我提問後,卡巴斯基與代理商工程師的笑容回答一切,那一瞬間我懂了,真是死蟹一隻了 (゚3゚)~♪。
