當未知攻擊在穿透資安設備的時候,並不會觸發任何的警報。在沒有任何警報的狀態下,不可能提前採取對應的行動。過去傳統的處 理方式只能被動等待,等到資安事件爆發,造成損失,才開始進行事後處理。中芯數據成功協助交通部在資安威脅初期,採取主動收 集分析資料,即時阻斷駭客活動,做到即時的事件處理,大幅降低損失,完全避免任何資料外洩的風險。

駭客組織為達成特定政治目的,正開始將攻擊目標鎖定政府組織,以便竊取國家機密資料,也讓資安威脅升級為國安事件。因應此趨勢,行政院亦陸續頒布政府機關 ( 構 ) 資通安全責任等級分級作業規定、資安管理法等,要求公部門、關鍵基礎設施擁有者等,需著手強化資安防護機制。交通部為因應業務需要、提高行政率、加強資訊處理,及適時提供交通建設管理資訊,因此設置交通部管理資訊中心。中心下設規劃及設計組、資料管理組、操作組與運輸資訊組 4 組,主要負責部內機房運作、資訊應用系統開發、資訊安全及推動智慧型運輸系統。在符合法規與保護資料的前提下,交通部特別引進中芯數據的意圖威脅即時鑑識服務(Intention Prediction as a Service,以下簡稱 IPaaS),透過 7X24 收集端點系統活動記錄,自動化地學習分析機制,與精準定位攻擊者的活動軌跡,強化偵測未知資安威脅的能力,避免發生重要資料被駭客竊取。

交通部管理資訊中心主任王穆衡表示,為強化資訊安全管理、建立可信賴之各項資訊應用系統,多年來交通部依照相關法令規定,陸續添購各種資安防護設備與制定相對應的資訊安全政策。現實上,沒有百分百的資安防護設備,因此事件處理越來越被重視。EDR(Endpoint Detection and Response,端點入侵偵測與回應 ) 也是現在很受重視的解決方案。但是 EDR 存放大量的紀錄,若不是有駭客實務攻防經驗的人協助分析,容易對於大量警報的處理疲於奔命。中芯數據針對所有可疑活動或警報,依據來自不同客戶領域、不同場域的環境都提供專業的技術團隊協助,不會有誤判的情況。資安管理者可以節省大量人力資源,有任何資安相關問題,也可以直接尋求中芯數據的協助,非常方便,這如同有一個 CSIRT (Computer Security Incident Response Team,電腦資安事件應變小組)進駐在單位內。目前可以提供到這樣服務等級的台灣廠商中,也只有中芯數據。

全球未知威脅暴增 採取超前部署策略

現今駭客攻擊手法持續進化下,已有不少可穿透資安設備的未知攻擊手法,資訊人員根本無法察覺與提前採取對應的行動。王穆衡指出,傳統資安防護機制,若缺乏有駭客實務攻防經驗的專業人士分析,最終資安人員將因大量的假警報而陷入疲於奔命的窘境。在衡量交通部需求與資訊人員的工作負擔,我們最終決定從共同供應契約平台上,選擇引進該中芯數據 IPaaS,加上中芯數據是少數具備相關分析能力的台灣公司,可協助我們及早發現潛在資安威脅,主動阻斷駭客組織的惡意攻擊,正是交通部加強資安防護拼圖的重要元件之一。

如同其他公部門,交通部在法規要求下,早已導入相關軟硬體及 SOC 服務機制,只是受限於

人力與資安訓練有限,無法即時處理過多資安設備警報訊息。中芯數據 IPaaS 服務也正好強化目前 SOC 監控機制的缺陷,當網軍以未知型攻擊繞過資安設備,而不會產生任何警報時,可以完美的強化在網路閘道設備涵蓋面不足之處。且在台灣的公務門大多係以完成法規符合導入相關軟硬體及 SOC 服務機制,但在實務操作上仍有不足之處,例如過多的警報及誤判,導致整個資訊環境仍處於容易被攻擊成功的風險中。

中芯數據 IPaaS 相容性佳 技術人員專業度高

因應未知攻擊行為日益增加,若要打造具備一套 EDR 平台,不僅得添購昂貴設備收集各種資安訊息,同時還得培養頗具規模資安團隊,此成本絕非一般企業或公部門可負擔,相較之下,中芯數據 IPaaS,則是一種 MDR(Managed Detection and Response)偵測及處理代管服務,可依照防護需求彈性佈建,大幅節省不必要的採購費用及人力成本支出。針對端點的資安解決方案,最令人擔心的不外乎是安裝便利性與系統相容性。中芯數據 IPaaS 安裝便利,可以透過派送的方式安裝,產品相容性也很好,並沒有發生系統衝突的情況。在建置過程中,有任何問題,中芯數據也可派遣工程師到現場協助。

中芯數據 IPaaS 服務最主要就是要強化交通部資安事件處理的效率,包含降低誤判,提供事件處理報告等。當資安事故發生在沒有其他設備或服務偵測到的情況下,中芯數據可在第一時間便發送警報通知,後續也提供非常詳細的事件處理報告,而且提供報告的時效性非常快,這是傳統事件處理方式不可能到達的速度。「中芯數據 IPaaS 服務可透過派送方式安裝,加上本身具備相當好的系統相容性,所以部署過程中非常順利。」王穆衡解釋:「另外,資安分析是非常複雜工作,中芯數據技術團隊協助分析,我們可即時掌握最新的資安訊息,在 2020 年交通部也持續訂閱該公司服務。」

即時揪出潛在威脅 展現引進 MDR 成效目前交通部已經全面使用中芯數據 IPaaS,在即時的事件處理方面,讓處理的效率可以達到最高。透過即時事件處理,除降低損失外,也能持續分析攻擊者的入侵過程,再循環性的持續強化整個環境防護。未來也希望能在其他資安解決方案上,由中芯數據專業技術團隊提供相關的建議與合作機會。

王穆衡表示,我們在中芯數據技術團隊協助下,於第一時間發現駭客組織將未知惡意程式植入交通部的網站中,讓資訊中心做到立即移除該未知惡意程式外,也立即封鎖該 IP 位址,成效可嘉。另外,中芯數據也會定時提供相關資安報表,可作為改善資安防護機制的依據,完全符合當初強化資安事件處理的效率、降低資安誤判的預期。透過即時事件處理,除降低損失外,也能持續分析攻擊者的入侵過程,持續強化整個環境防護,真正做到加速事件檢測和應變時間,讓安全維運免於誤報的負擔。

交通部管理資訊中心主任王穆衡

熱門新聞

Advertisement