中芯數據APT資安事件回應與處理【案例解說】事件處理的挑戰

• 缺乏可行動的情報

• 查看多重紀錄來源是相當耗時的事

• 僅透過紀錄難以對安全事件進行優先排序

• 追蹤惡意軟體無法產生威脅的環境

• 僅依靠隔絕攻擊活動的人為因素察覺攻擊跡象

• 僅透過紀錄難以對安全事件進行優先排序

縮短事件處理調查的週期

事件處理人員、安全分析師與安全作業中心 (SOC) 主管皆會面臨安全性事件優先排序的挑戰。一般組織每年會遭遇大約 135 次「重大」安全事件，必須花費一至兩天的時間調查單一事件，甚至可能需要二至三天才能實際回應該事件。在如此大量的事件下，要決定優先處理的項目很不容易，即會出現優先排序的挑戰。

團隊因時間限制，通常僅能處理具立即性，但是缺乏相關資料的威脅，同時採取任何優先措施有效抵禦該威脅。於此基礎下，有兩種彼此衝突的力量會使發生的問題不斷加劇：1) 過時的方法，會導致團隊僅能使用緩慢、令人受挫的人工方式處理事件，甚至僅能採取臨機操作的反應式措施，2) 傳統技術無法提供攻擊活動的相關資訊及對威脅建立廣域的關聯性。

絕大多數的組織都會部署多重感測器以蒐集紀錄：防毒、HIPS、防火牆、DLP及 DPI。這些紀錄不僅會蒐集實用的資訊，且通常可提供實用的資訊，讓團隊能針對資料進行某種程度的分析。但是，在發生資安事件時，事件處理團隊除了必須負責管理整個資安事件處理流程外，往往還會需要背負大量紀錄的分析作業。

在這樣的條件下，當資安事件發生時，事件處理團隊被迫針對幾乎永無止盡之紀錄進行篩選，卻無法解譯真正重要的資訊，不僅耗時且昂貴，同時無法追蹤任何實際的攻擊行為。團隊缺乏方法可察覺有效的攻擊活動，尤其是在敵人進行偽裝、重新武裝並對脆弱系統施展一連串攻擊舉動時。

制訂即時事件處理作業流程

沒有任何單一安全方案能獨自解決所有的問題，因此需要有多層、有彈性的措施。根據安全守則，當團隊僅能追蹤侵入者時，很可能導致事件處理失敗，必須有能力在所有受感染的主機中快速識別攻擊行動，並可全面察覺敵人在企業系統內橫向執行的所有行動，才能成功地處理資安事件。

將網路和主機所安裝的感測器的資訊彙整後，透過使用便利的平台和作業流程有效地分析該資料，大幅減輕事件因應人員的負擔，將有助於達到更優異的流程管理。

使用Sentinel進行事件因應

CounterTack Sentinel 能讓安全團隊以簡單的方式監控惡意活

動，首要工作就是瞭解會遭受最嚴重威脅衝擊的資產與系統。

事件處理人員能使用 Sentinel 排除以人工作業進行事件調查，讓團隊能以具高度信心、經過協調的方式因應。Sentinel 能自動處理部分工作，例如停止惡意程式與雜湊，甚至隔離或封鎖端點。同時 Sentinel 的情報引擎仍能為團隊提供事件的重要詳情，包括根本原因以及事件的衝擊範圍。

由於 Sentinel 的核心模組是安裝在個人主機和伺服器端點上，並持續在隱匿模式中蒐集資料，因此敵人無法偵測到，於此情形下，操作人員將能清楚瞭解持續性活動，以及獲得有關行為的相關資訊，包括：

• 即時知悉受感染的系統為何，以及何者的風險最大？

• 這些系統如何受到感染，哪些行為顯示已受到入侵？

• 即時識別攻擊活動的人為因素，無須等待到發現被入侵後，才進行鑑識調查。

• 全面分析偵測到的可疑活動，並指出未及時因應該行為，可能對全部系統造成的短期衝擊和長期關聯性。

SENTINEL產品特色

• 即時分析引擎會追蹤企業內的攻擊行為

• 知識庫能識別關鍵事件並將威脅行為分類

• 中央管理主控台

• 完整的攻擊修復能力，包括隔離和取樣流程／檔案刪除

• REST API 能整合企業安全工具

• 匯出至常用的 SIEM 和匯集工具

• 採用 Cloudera® 企業核心架構達到擴充性和可靠度的人為因素，藉此察覺攻擊跡象

• 即時交付，適用於 HBase

• 支援 CybOX，可觸發遠端檔案存取

中芯數據 Sentinel 具備強大的功能，能讓安全團隊和因應人員獲得前所未見的洞察力。包括多重控制面板畫面以及全面性搜尋，能將情報功能擴及運作中的端點、已分類的威脅、威脅優先排序通知，以及受追蹤的程序。中芯數據股份有限公司  APT事件處理小組  0809.016.818