賽門鐵克新加坡資安監控中心可以即時看到全球各地面臨的資安威脅,從每一個點深入分析,甚至可以進一步看到更多的細節。

圖片來源: 

iThome

【新加坡現場報導】

資安公司賽門鐵克(Symantec)日前(12月2日)設立於新加坡的資安監控中心(Security Operation Center,SOC)正式開幕,正式成為該公司全球第6間營運的SOC中心,包含資安分析與事件處理人員,員工超過80人,提供一天24小時、一年365天的資安監控服務。

賽門鐵克亞太暨日本區網路安全服務資深協理Peter Sparkes表示,以往企業必須要花費240天才能找到企業內的威脅所在,但是透過SOC的Hadoop大資料分析功能,透過全球SOC每日分析300億個日誌檔(Log),可以每5分鐘確認威脅所在,大幅加速協助企業找到威脅的速度。

賽門鐵克資深副總裁兼網路安全服務部門總經理Samir Kapuria表示,該公司將投入5千萬美元在新建新加坡的SOC與擴建包括東京東京與印度清奈的SOC,由於傳統的防毒和偵測惡意程式的方式,已經不足以應付現在所面對的各種資安威脅,「這只是賽門鐵克持續投資的一小部分,重點在於,新加坡的多語言環境以及受高等教育人才,可以讓新加坡SOC具備服務其他各地客戶的能量。」他說。

透過大資料分析,找出新的威脅模型

因為每天要蒐集各種資安設備的日誌檔,對於只使用SIEM(資安事件管理分析平臺)的企業而言,還是會面臨日誌資料量太大、難以分析的困境。不過,Peter Sparkes表示,賽門鐵克SOC使用的大資料分析平臺,目前在資料庫引擎系統中,已經載入150TB的資料,總共有2.1兆筆未經分析資料,每秒可以增加55,000筆資料,每天可以識別超過30,000起可疑的資安事件,每個月可以成長1千億筆以上的資料。每年回應客戶風險查詢資料量都超過1TB,查詢的檔案數量超過138億個檔案,追蹤超過213億個URL網址。

此外,藉由蒐集各種資安設備的日誌,也可以有效提升資安預警能力,Peter Sparkes指出,目前蒐集設備包括:防火牆、入侵偵測系統(IDS)、端點保護設備以及網路代理伺服器等。以蒐集入侵偵測防禦系統的日誌為例,可以具備25%的資安預警能力,但如果再另外增加防火牆的日誌檔,可以再另外增加20%的資安預警能力;如果可以再增加其他不同分析工具,加入命令與控制伺服器等資訊以及智慧分析能力,又可以再增加20%的資安預警能力。

也因為賽門鐵克提供的SOC平臺可以藉由進行各種關連性分析,找出不同資料與風險之間的模型。Peter Sparkes更說,以往,無法提供大資料分析時,必須要18個月才能夠創造出一個新的風險威脅模型,但現在,最多只需要3個月的時間,就可以找出新模型。 

Peter Sparkes以Hot IP風險威脅模型為例,每一個從惡意URL網址連過來的日誌檔和IP位址的日誌檔比對,每10分鐘掃描一次,就可以交互比對惡意URL和IP位址,就可以從中找出關連性,哪些惡意的URL都是從哪些IP位址產生,最簡單的比對方式,可以立即阻斷來自同一個傀儡電腦的惡意連結和IP位址。根據統計,每小時大約可以產生2TB的比對數據。他說,惡意網址加上IP位址,如果再加上DNS域名分析,可以直接比對出哪些是可疑的、受駭網域,甚至直接封鎖相關的惡意網域等。

Peter Sparkes說,最新推出的風險模型就是Smoke Detector(煙霧偵測模型),剛上線不到2個星期,可以透過這樣的新模型,把原本具備的資料,重新和其他更不重要的資料做比對,可以藉由這種新的分析方式,找出原本沒想到的新的攻擊模式與新威脅,真正做到見微知著。

資安委外服務不只分析威脅,更協助處理資安事件和提供預防之道

在新加坡全新成立的SOC不只是提供各種資安威脅情報的收集和分析,Peter Sparkes表示,這也是賽門鐵克資安委外非常重要的環節。他進一步解釋,企業可以將所有收集到的日誌檔轉送到SOC中心做分析,可以找出可疑的資安事件和潛在的資安威脅,而賽門鐵克提供的DeepSight Intelligence更可以持續追蹤和分析各種資安事件,找出可能的威脅趨勢後,第一時間將分析結果提供給委外的客戶。

但是除了分析之外,賽門鐵克亞太暨日本區資安事件處理服務團隊經理Paul Black表示,該公司在全球6個SOC資安監控中心都有一個資安事件處理的團隊,可以第一時間協助客戶解決資安事件。

Paul Black指出,現在每6間大型企業中,就有5間曾經被駭客入侵攻陷,60%駭客鎖定攻擊中小型企業,每天會產生100萬個新威脅,勒索軟體成長率高達113%,有28%的惡意軟體已經可以偵測是否處於虛擬機器的環境中,而面對越來越多的零時差漏洞,平均完成漏洞修補時間達295天,企業遭到攻擊的比例也越來越高,但是,「66%的企業要花數個月甚至一年以上的時間,才能夠找到資料外洩的原因;70%的組織都缺乏專業的資安人員可以協助處理資安事件,而資料外洩對企業帶來影響,平均造成350萬美元的整體損失。」他說。也因為多數企業沒有能力處理資安事件,Paul Black認為,這也是賽門鐵克資安委外服務的亮點之一。

對於資安事件處理,Paul Black表示,企業或組織都應該先擬定一份資安事件處理計畫,要先找出企業的理論上合理的回應速度並找出與實際的落差,也得定義出關鍵的資安事件類型,以及期待資安事件處理團隊(IR Team)可以提供的協助以及願意投入的資源,而相關的資安事件處理程序,也必須廣為企業成員周知與落實。不過,他也坦言,好的資安事件處理團隊成員必須要有豐富的實務經驗,但根據(ISC)2資安認證單位的預估,到2020年,全球資安產業將會短缺150萬名資安專業人員,這樣的人才短缺,也可能是48%企業資料外洩的重要原因之一。

為了縮短這樣的人才鴻溝,Paul Black表示,賽門鐵克SOC提供的資安委外服務中,現在也有一個資安模擬的平臺,在這樣平臺中,將各種資安事件的發生原因設定在這個平臺,企業內的資安人員就可以透過相關的模擬演練,設法找出各種資安事件的根因,目前至少有全球30個國家中、超過80種資安事件類型,都已經設定在這個模擬平臺中,「關鍵在於,企業可以透過軟體即服務(SaaS)的方式,從模擬平臺中取得所需要的服務和訓練,甚至於,賽門鐵克更直接併購Blackfin這間專門做資安人才培訓的公司,作為縮短企業資安技能鴻溝的後盾。

 

賽門鐵克12月2日在新加坡新成立的資安監控中心(SOC)正式開幕,相關的資安專家將超過80人。

賽門鐵克新加坡資安監控中心,具備大資料分析技術,可以透過不同的資料比對,在3個月內就找出新的威脅模型,比以往要花18個月才能找出新的威脅模型更快。

 

 


Advertisement

更多 iThome相關內容