根據Forbes於2015年底發佈的報告,預期從現在起至2020年,高達75%比重的企業資安預算,將投注在「快速發掘與回應未知威脅」之上,不再如同過往偏重於防護;這意謂多數企業都已深知,沿用傳統被動防禦手段,不足以戰勝頑強駭客、捍衛企業數位資產。

至於如何將資安投資,正確導向最能幫助企業安身立命的路徑?Splunk亞太地區首席安全策略師彭志宏認為,企業的CIO或CISO(資訊安全長)扮演關鍵角色,其必須意識到,若僅憑藉少數資安工程師,倚賴資訊安全及事件管理系統(SIEM),圍繞在網路安全設備日誌執行有限度關聯分析,完全依照警報或特微碼來行事,僅能算是第一代資安維運中心(SOC)運作方式,無法有效發掘日趨刁鑽的惡意程式或APT攻擊,必須引入巨量資料分析、機器學習等新一代智慧型技術,促使SOC朝向第二代、第三代進程升級轉型。

援引巨量資料技術 提升SOC運作效率

彭志宏指出,通常只需對CIO或CISO發問5個題目,即可顯露企業資安成熟度。首先詢問是否對當前採用的SIEM感到滿意,接著依序提問是否需要耗時費工調整關聯或警示規則,是否廣泛蒐集身份認證與授權、DNS/DHCP、Proxy與防火牆等所有資料,是否配置足夠安全人力來執行全時監控,及是否善用威脅情報不斷審視資安現況。

如果不幸的,CIO或CISO一再苦笑面對這些題目,便代表企業資安成熟亟待加強,必須儘速重整SOC與資安事件回應(IR)團隊,在原已設置的Level 1資安工程師外,增設Level 2資安分析人員,補強威脅情報分析比對、深度發掘異常行為等關鍵能量;此外亦需導入一些有助帶動SOC升級的解決方案,包括利用巨量資料分析技術,蒐集並解讀所有資安或非資安的IT機器資料,藉此提升整體的危害感知能力,繼而藉助機器學習與先進演算法,建立自動化調整關鍵與警示規則的能力,為企業打造最高等級的資安監控營運機制。

彭志宏進一步解釋,所謂第二代SOC,重點在於巨量資料,監視範圍涵蓋網路、端點、存取、惡意軟體、漏洞、身分識別資訊等所有IT機器資料。例如企業可透過Splunk Enterprise平臺,廣泛蒐集與分析各種IT機器產生的巨量資料,從中提供即時情報,進而搭配運用Splunk Enterprise Security(ES)資安訊息管理平臺,彙總多重威脅情報來源,產生入侵指標(IOC),再藉由深具彈性的自訂關聯式搜尋功能、視覺化儀表板圖像呈現,幫助資安分析團隊深入洞察巨量機器資料,迅速探知箇中潛在惡意活動蹤跡,如此便可將SOC提升至第二代水平。

至於第三代SOC,奠基於「使用者與企業單位行為分析」(User and Entity Behavior Analytics;UEBA),意指企業可透過清晰的視覺化圖像,搭配時間軸演進趨勢,輔以藉由機器學習自動而生成的正常行為基準模型,幫助資安分析人員迅速執行關聯分析,判知所有已知、未知或隱藏的威脅,繼而採取必要的回應與反制動作。為此Splunk推出UBA(User Behavior Analytics)解決方案,標榜可搭配Splunk ES平臺聯袂運作,以利企業無需耗費大量人力與時間調校安全規則,便可透過機器學習、行為基準、對等群組分析,輕易識別安全問題,從而調查、中斷、抑制與復原各項攻擊造成的損害,致使駭客苦心擘劃的殺傷鏈(Kill Chain)就此斷裂,順勢大幅提升SOC運作效能。

妙用UEBA行為分析 快速偵測可疑駭客活動

彭志宏舉例,假設某個IP或帳號,長年以來對外傳送的資料量,始終不超過100GB,今天驟增至300GB,則藉由Splunk ES與UBA輔助,企業便可在第一時間過濾出這般異象,接著將資料傳送目標的DNS伺服器進行排序,一併探索這些伺服器在網路的註冊時間(如果僅為短暫數天,即符合C&C中繼站癥候),此後再經由Tier 1工程師執行全面掃瞄,檢視全公司IP或帳號是否存在相同異常行為,連帶計算這些IP或帳號對於特定DNS伺服器,共計傳送多少資料。

緊接著,Tier 2分析人員運用進階的智慧演算法,藉由「每秒連線的DNS伺服器數量是否大於2個」、「Request長度是否大於200 Characters」等檢視標準,探知其中是否潛藏諸如DNS通道穿越攻擊(DNS Tunneling)的異常徵兆,若確認無誤,便合理認定此刻駭客正試圖入侵,接著立即採取必要處置措施,切斷公司與這些怪異DNS伺服器的聯繫,使得山雨欲來的資料外洩事件,能夠快速消弭於無形。

總括而論,隨著駭客技藝大幅精進,益發擅於藉由看似合理的手段,儘可能巧妙掩藏其攻擊行徑,成功逃過傳統SIEM或Log管理系統的法眼,但百密之中必然仍有疏漏,只要企業善用巨量資料分析與機器學習,就可望看出魔鬼細節、還原真相,迅速挖掘並粉碎隱藏危機。

Splunk Inc.

http://www.splunk.com/


熱門新聞

Advertisement