隨著資安威脅日趨刁鑽難測,企業或機構單憑被動阻檔已不足以明哲保身,必須主動挖掘疑似攻擊的徵兆,進一步採取因應措施,才能提升防禦力。因此如何強化組織的偵測與回應效率,已成當前重大課題。

財團法人國家實驗研究院國家高速網路與計算中心(以下簡稱『國網中心』)為有效監控及阻斷日益頻繁的資安事件與攻擊,於去年(2019)啟動下一代資訊安全維運中心(SOC, Security Operation Center)建置計畫,期望讓中心與委託資安服務之機關在資安監控上更臻完善。

上述規劃案,蘊含新一代 SIEM 和 SOAR(Security Orchestration and Automation Response)等重心。其中 SIEM 是優先改善之項目,做為主要的監控與事件收集中心,對此國網中心選擇引進 IBM QRadar,並在資服夥伴精誠集團的協助下、於去年第四季完成建置;下一步將結合相關模組、解決方案以建構資安營運平台,並串連 SOAR 架構,實現「資安全方位、反應最即時、漏洞零死角」目標。

防禦設備增多,須藉助 SIEM 統整大量日誌

國網中心資訊安全科技組長蔡一郎,根據其資安專業及過來人使用經驗,針對企業組織應否自建 SIEM 發表看法。他指出,按資通安全管理法,B 級以上機關應導入 SOC 服務,自建或委外皆可,至於適合自建或委外,端看組織內部的設備數量,假使達到一定規模,譬如擁有 200 台、300 台或更多,意謂每日採集的資料量十分可觀,即有必要自建 SIEM。

蔡一郎認為今後 SIEM 更形重要,只因企業組織的資安設備、應用服務相關防禦設備(如 WAF、郵件閘道器)同步擴增,而使用者行為偵測的日誌量也節節攀升,這些龐大資訊亟需倚靠 SIEM 來整合與關聯,始可釐清事件脈絡,甚至進一步結合 SOAR、達到自動化響應處理。

以國網中心為例,將採取「IBM QRadar(SIEM)+IBM Resilient(SOAR)」整合運作模式,以降低資安維運負擔,並形成共用資源,未來規劃一併協助國家實驗研究的八大中心(除國網中心外,還包括國家實驗動物中心、台灣半導體研究中心…等 7 個國家實驗研究中心)強化防禦架構。

談到如何選擇合適的 SIEM 產品,蔡一郎歸納幾個關鍵要素。首先 SIEM 是平台,與外部有相容需求,須廣泛支援各種資安設備的日誌檔案格式,愈豐富愈好。其次 SIEM 的工作負載將隨著組織的業務量增加而增加,須能擴充與延展其處理容量;倘若所選產品的擴充性不足,日後可能需要增購另一套,導致一線維運人員必須切換多個 SIEM 介面,徒增管理負擔。

SIEM 與 SOAR 相輔相成,強化事件處理效能

國網中心選擇 IBM QRadar,即是基於前述考量;該系統支援豐富日誌格式,且不論在擴充與延展能力、執行效能,都符合中心期望。事實上國網中心先前曾導入其他 SIEM 產品,執行事件分析的過程,約有 40~50% 的情資素材仰賴其他平台;反觀 QRadar 支援外部情資匯入功能,使外援需求比例大降至 20~30%,故能大幅提高作業效率。

更重要的,國網中心青睞 QRadar,亦是看重它能夠與 SOAR 高度整合。蔡一郎強調,SIEM 和 SOAR 必須緊密結合,因隨著 SIEM 處理的事件量增多、負擔加重,唯有藉由 SOAR 相輔相成,讓許多作業程序自動化,才有助提升事件處理效能;例如資通安全管理法規定,受管單位一旦發生資安事件,須於一定時間內透過 ISAC 發佈通報,而通報工作便適合運用 SOAR 自動執行。總之他對於 QRadar 與 SOAR 彼此整合,同時亦支援 ISAC 情資交換格式,給予莫大好評。

在第一階段,國網中心以其本部為 QRadar佈建範圍;到了第二階段,QRadar 的適用範疇將擴及國研院八大中心。而八大中心中有 2 個 A 級單位、6 個 B 級單位,依法皆須導入 SOC 監控服務,但這些中心的強項皆非資安,後續可由國網中心統一支援,更能確保全體單位符合資通安全管理法之規範。

依國網中心勾勒的未來資安架構,除藉助 SIEM 和 SOAR 處理已知事件外,也期盼加入 AI 預警功能,加速找出一些症狀不明顯的未知威脅,因而把 IBM Watson 列為未來評估的選項。

另該中心目前採取分散式資安架構,北中南據點各自收集資料、執行前處理,再統一把資訊交由上層 QRadar做收斂,其間不少作業環節都奠基在既有資訊設備,使用年限普遍較久,陸續將面臨增強與擴充。為確保 QRadar的 EPS (每秒事件數)承載量持續攀高,國網中心今後不排除購置 IBM 全快閃(All Flash)儲存設備,一來憑藉更高的 IOPS 性能、更快的回應速度,順勢強化 SIEM處理效率,二來可望拜軟硬體系出同門所賜,發揮更高的整合管理效益。

不僅如此,國網中心日後汰換舊伺服器時,不排除評估引進 IBM 的 Power Systems 伺服器;主要看重 Power Systems可透過 IBM PowerSC實現資安與合規的自動化、減少用戶的管理成本,當有人違反既定安全原則時,亦能即時發送告警給管理者,凡此種種都有助於加強使用單位的安全管理與合規測量,與國網中心亟欲打造的未來資安架構願景,可謂相得益。

國網中心 資訊安全科技組長 蔡一郎

熱門新聞

Advertisement