前美國國家地理空間情報局資安長Lance Dubsky認為,SOC在選擇資安工具時,應「以質取量」,並選擇能夠與現有工具整合的產品。

圖片來源: 

攝影/洪政偉

網路資安事件在近幾年層出不窮,從社交平臺的個資外洩,到企業、銀行、甚至國家單位的機密遭駭等,都促使各個組織建立SOC(資安監控中心)、來保護手中資料,而各種資安工具也如雨後春筍,大量湧現。前美國國家地理空間情報局資安長Lance Dubsky表示,為防範資安威脅,選對工具很重要,因此SOC必須了解防護工具的性質、評估其功能是否符合任務需求。不過,他認為,「以質取量」也是關鍵,選擇可信的幾項資安產品,並與現有工具整合。而省下來的成本,還可用在資安的強化,比如研發機器學習模型,來自動監控網站或資料庫的存取記錄,以辨識是否有APT(進階持續性滲透攻擊)發生。

首先,在防範網路資安威脅時,Lance Dubsky強調,積極防範是第一步。他解釋,任何組織的SOC在平時就需備有行動計畫和補救措施,而非等到危害發生時,才想辦法解決。此外,組織中的資安防護部門,也要與網路管理部門緊密合作,才能及時發現威脅。而對組織中的所有資產,SOC需有深刻了解,以預料每項資產可能遭遇的攻擊,才能未雨綢繆。除此之外,快速學習新資訊的能力也十分重要,以便快速評估風險,並對風險採取防範行動。

再來,Lance Dubsky認為,「修補弱點,也是SOC的核心工作」。他表示,SOC雖然能偵測資安威脅,但若無法及時修補弱點,SOC等同於虛設。另外,他也說道,如果組織中有配置管理(Configuration Management)和修補策略,管理者就可根據信任的操作系統,進行自動修補,而不必再額外花時間、以人工測試修補程式再上線,因為這些額外花的時間,會讓組織繼續暴露於危險中。Lance Dubsky就舉例,他在過去服務的組織裡,常看到一些SOC員工,老是花時間在測試各種修補程式。他認為,花過多時間和人力在測試修補程式,反而會適得其反。

而對於資安工具的選擇,Lance Dubsky認為,「以質取量」是關鍵。他說,近幾年由於資安事件層出不窮,市面上資安防禦工具如雨後春筍般,大量湧現。面對這麼多工具,Lance Dubsky表示,SOC可先以「可靠的供應商」作為第一道篩選條件,而後再依據工具性質、功能和是否能與現有工具整合等條件,進行第二、第三道篩選等,以達到「以質取量」。

如此一來,Lance Dubsky表示,省下來的成本就可用在強化資安。他舉例,組織可以投入資金,研發機器學習模型,來自動監控網站或資料庫的存取記錄,以辨識是否遭受APT等攻擊。Lance Dubsky最後總結,網路資安和機器學習的整合,就是當今組織、企業所需要的;而資安工具的供應商,也該加強工具的整合性,讓使用者能將不同工具形成工具組,達到更好的防禦效果。文⊙王若樸


熱門新聞

Advertisement