面對複雜的進階威脅,傳統資安維運模式已漸漸力有未逮。精誠資訊資安中心指出,隨著企業開始重塑安全維運思維以因應進階威脅的挑戰,大家都在尋求對「進階威脅和事件管理」(ATIM, Advanced Threat and Incident Management)檢測與回應的改進方法,ATIM在企業安全維運扮演哪些關鍵角色?包含哪些重要功能?可以協助企業做到哪些進階端點檢測或是分析?如何針對資安事件響應?有哪些修復功能?以下是精誠資訊資安中心希望與讀者分享的重點。
科技始終來自於人性
談到安全維運的主要核心,答案正是「人」!舉例來說,當涉及威脅管理的事件發生時,安全部門會負責監督及管理整個流程,但實際上整個流程還包含了多個角色參與其中:例如資訊長(CIO, Chief Information Officer)、資安長(CISO, Chief Information Security Officer)、安全架構師、安全工程師及事件回應者等,還有其他參與者像是終端及網路管理員、公司其他部門等,都會在特定任務或範圍中協助完成調查。
換句話說,威脅管理幾乎是平均分佈在多個角色之中。然而在一些特別的專業領域上,資訊的切換及傳遞都會大幅增加運營成本,意即在協作過程中容易產生資訊混亂及反應延遲的狀況。
根據知名資安品牌McAfee的調查,能夠做到集中協作(指有涉及資料及流程整合、協作並負責捍衛公司資產的多個技術團隊:資安監控中心團隊、事件回應團隊及終端和網路管理員)的企業,在資安事件回應處理上平均提升了38%的效率,而與一般企業(員工數為1,000至5,000人)相比,在大型企業(員工數超過5,000人)的效率上更加顯著提升。
精誠資安中心表示,大多數企業在「威脅防禦生命週期」中,皆有六個不同的角色分別擔任不同層級的職責,包括預防、偵測、分類、分析、遏制與補救。這些角色的職責通常有高度重疊,且定位不一定明確。因此企業組織需要提供一個集中的環境,讓每個參與者可以共同存取、評估和採取行動,例如一個好的安全資訊和事件管理(SIEM, Security Information and Event Management)或資訊安全監控中心(SOC, Security Operation Center)平台。
而與協作相關的主要挑戰,則是和團隊中的資訊共享及整體信任程度有關。資訊共享意味著溝通管道要清晰準確,現行常用的人工方法、資訊多次重分類及再處理都會增加錯誤的可能性,而自動化協作的技術可以確保共享的訊息正確且可靠;在信任程度方面,前述的資料正確性是重要關鍵,而提供正確的資訊正是信心的基石。
好的安全工具增加了協作成功的機會
推動協作成功的根本之一,是使用單一的安全維運工具。傳統企業可能會使用多達四種不同的工具來調查及解決資安事件,有的企業甚至使用6~15項產品來執行這項工作,但多供應商的管理平台會導致運營的複雜性增加並減緩處理速度。此外,資料在不同的工具間轉換,也提升了錯誤或誤解的機率。
為解決上述狀況,以McAfee的SIEM為例,除了能整合並收集不同資安產品的資訊,同時也能追蹤這些資訊背後的資安事件及與這些事件相關的活動,並依即時活動來調整動態風險分數。當該風險分數超出特定閾值時,解決方案中會自動產生警告事件,而該事件可對安全性分析人員發出威脅情況加劇的警示,會提供給其他資安事件處理系統作為後續跟進之依據。這提供了企業在資安事件處理時,給予不同角色共同溝通及處理的平台,進而促進協作的可行性。
強化偵測、偵查能力
根據McAfee調查,平均而言,資安事件的調查需要3~8個工作天,而後續的遏制(防止擴散)和修補工作,皆基於事件的調查成果來進行。而反應速度較快的單位,通常也佈署了進階威脅和事件管理,有效的強化威脅評估分析並減少安全事件對用戶的影響。
新一代SIEM系統可協助組織更有效率地控制與修復威脅
精誠資訊產品處長于子欣表示,現今的安全團隊在查找和阻擋進階惡意威脅時,需要面臨文件資料、網路流量、信譽、系統狀態、安全事件和其他間接指標的脈絡化(Contextualization)分析及連結。為了處理上述問題,企業需要如顯微鏡般的深入了解惡意軟體,以及如雷達系統般的在大量資訊中查找及關聯事件,以找出隱藏的威脅。精誠資安中心表示,現今惡意軟體分析以沙箱為目前主流,而SIEM解決方案在整個環境中,可以從安全控制和設備收集整合一系列安全性及其他數據等。傳統的SIME最初專注於日誌管理,但現代SIEM解決方案可幫助企業將惡意軟體結果與上下文(Context)、使用者、應用程序數據、威脅情報和組織信息相關連。它提供先進的分析工具和工作流程,可以快速查詢非常大的數據集,識別逃避前線防禦的攻擊,並觸發防禦性等相關反應。SIEM解決方案主要幫助安全小組回答四個問題:
■環境是否受到攻擊?
■受影響的系統有哪些?
■必須做什麼來保護和恢復被破壞的系統?
■未來我們應該如何識別類似的活動?
SIEM系統不斷進化,由最早的日誌管理與搜尋(Log Management)、事件關聯,慢慢發展出內容感知、進階關聯、機器學習(Machine Learning)及對策感知風險分析。早期建立的SIEM系統多偏向合規及固定的安全事件可視化應用,較缺乏自適化資安的連動及整合。精誠資安中心表示,McAfee SIEM解決方案雖較晚進入台灣市場,但卻可對上述新一代SIEM及自適化資安整合提供更好的解答。一個好的SIEM平台應該做到促進組織內資安相關單位的協作,並達到以下效益:
■提供即時可見度:將人員、流程及技術、事件、資訊、系統連接起來。
■透過工作流程、Script、自動化回應及報表來改進因涉及公司複雜的角色及程序而低落的執行效率,進而減少相關的工作負擔和錯誤。
■透過促進人員之間的協作,使所有人員能以相同平台溝通並能夠更快地檢測、控制和修復更多威脅,同時降低組織成本。
了解更多 企業資安解決方案 http://tw.systex.com/cybersecurity/
.jpg)
精誠資訊 資安中心
李文謙 Jason Lee
電話:02-7720-1888 分機1095
Email:jason_lee@systex.com
熱門新聞
2024-04-17
2024-04-18
2024-04-17
2024-04-15
2024-04-15
2024-04-15