嘉義市政府智慧科技處及所屬機關團隊

因應攻擊手法多變的資安威脅,嘉義市政府採取與國際相同的縱深防禦架構,以多層次資安設備進行攔阻,搭配針對端點設備行為進行分析與確認。而功能完整、技術服務佳的中芯數據IPaaS服務,是嘉義市政府揪出潛藏惡意程式的最佳利器。


隨著全球資安意識提升,駭客持續發展多元攻擊手法,其中一個便是從防護能力較弱的端點設備著手,以達到竊取商業機密,此種惡意方式,突顯出強化端點防護能力的重要性。重視資訊安全的嘉義市政府,在提升市府附屬機關防護力的思維下,添購中芯數據意圖威脅即時鑑識服務(簡稱 IPaaS 服務)並部署在端點設備上,揪出可疑的惡意程式,讓全體同仁能在無後顧之憂下,為市民提供更多元的優質服務。

嘉義市智慧科技處處長郭軒志指出,資安防護工作是一條漫長的工程,唯有縝密考慮每個環節,才能達成降低資安威脅的目的。嘉義市政府目前已發展出 SOC 、 ISAC 等機制,而市府亦與所屬機關橫向結合成資安聯合防護機制網。本次引進 IPaaS 服務,除可解決市府附屬機關資安人力不足的問題外,也能延伸嘉義市政府的資安聯合防護機制效益,讓整體資安防護能力持續進化,這是非常值得且必要的投資。

改善資安與符合法規 引進 IPaaS 服務勢在必行

隨著數位裝置成為消費者生活的一部分,嘉義市政府推出市民智慧應用終身學習課程( DC 數位坊)之外,也沒有忘記資安威脅帶來的衝擊,早已制訂一套強化資訊安全的戰略防禦。目前是市府依循中央法規與自身環境架構,規劃一套縱深防禦架構的防護機制,即外部佈署多種邊界防護設備、內部打造流量監控機制,且於端點設備中安裝防毒及端點防護軟體。最後,在透過 SOC 整合原本資訊安全通報處理流程,進行全面性的監控以及告警作業。

駭客攻擊手法不斷進化,保護端點設備安全的工作,已無法僅透過單一套防毒軟體進行。根據資安公司公布資料,部分惡意程式具備透過網路連線下載的能力,完全不需要在端點裝置上安裝任何程式。因此,仰賴可收集用戶端電腦行為日誌的設備或服務,再透過後續分析工具進行評估,才能確認是否遭到惡意程式感染。嘉義市府所屬機關已橫向結合成資安聯合防護機制網,且有 SOC 、 ISAC 、端點防護等機制,但仍然有財政稅務局、警察局、衛生局以及消防局等附屬機關,其辦公地點並非在市府內部,因此必需提升前述單位端點防護工作的必要性。

郭軒志說,根據行政院資安會報公佈的政府機關(構)資通安全責任等級分級作業規定中,前述四個機關分別屬於 B 、 C 級單位,依照法規要求需加強重點業務單位的端點設備安全。因此,我們決定超前部署,引進 MDR 服務,以符合法規與解決機關面臨的問題。考量到前述機關資訊人員不足的問題,加上市府資訊人力亦有限,所以專案同仁在衡量產品功能、技術服務能力後,最終選擇引進中芯數據 IPaaS 服務。

降低同仁工作負擔 第一時間回應未知威脅

嘉義市政府所屬機關內部的資安設備眾多,當設備發出告警訊息後,皆需仰賴資安團隊自行確認。然告警訊息中通常有大量誤報且樣態眾多,往往耗費資安人員的大量時間。當有資安事件出現時,也需要等待外部資安廠商人員進場調查,不僅曠日廢時,且無法確保可找到整體的事件軌跡。

因此,資訊團隊需要一套能全面紀錄未知程式行爲紀錄,且專業資安人員能在第一時間行分析,可縮短找到未知惡意程式的時間。

市面上眾多方案中,中芯數據IPaaS 服務是台灣唯一可提供端點威脅即時檢測,持續性的檢測、監控及分析,以及資安事件回應及遠端處理等三大服務的業者。中芯數據 IPaaS服務採用機器學習和自動化技術,可將複雜鑑識分析人工智慧化,預測行為動向、攔截安全威脅路徑、持續自我演進和自我學習,自然可達到消除零日攻擊。

「中芯數據 IPaaS 服務會在合約期限內,為市府提供不限次數的資安事件處理與報告,也能協助我們進行惡意程式分析,以及提供可行的解決方案、進行清除惡意程式等工作。」郭軒志解釋:「根據團隊同仁評估,此舉能避免發生惡意程式重複感染或橫向擴散等事件,讓我們能有效掌握事件整體狀況,進而達到資安體質強化及修補漏洞的目標。」

挖掘潛藏惡意程式 提高資安防護透明度

以往財政稅務局、警察局、衛生局以及消防局等單位,已在端點設備中安裝防毒軟體,但仍然欠缺因應未知威脅的能力。所以當完成中芯數據IPaaS 服務部署之後,隨即發現單位內部有惡意程式存在,即使屬於不影響公務安全的輕微事件,然各單位資訊人員在中芯數據原廠技術人員協助下,均順利完成惡意程式清除工作,在避免發生後續感染事件外,也可避免成為駭客發動攻擊的跳板。

郭軒志指出,在駭客攻擊手法多元下,即便功能強大的資安防護設備,也難免會出現防護上的漏洞,因此還需要一套嚴密的分析機制。我們在資安戰略防禦上,採取與國際趨勢相同的縱深防禦架構,即是以多層次資安設備進行攔阻,針對能透過防護上漏洞入侵的駭客攻擊,則是以中芯數據IPaaS 服務進行嚴密的行為分析,換句話說, IPaaS 服務能即時針對端點設備行為全面分析與確認,在駭客透過社交攻擊、網站攻擊或橫向入侵等攻擊手法入侵時,第一時間發現並提供惡意程式路徑、惡意中繼站資料及明確的處理建議,使惡意程式能於第一時間被清除乾淨,避免業務單位及市民重要資料的損失。

引進中芯數據 IPaaS 服務之後,財政稅務局、警察局、衛生局以及消防局等反應都非常好,除了事件處理上的協助外,平時端點上有其他資安疑慮, IPaaS 服務團隊也都能協助確認與解答,各方面都一再顯示資訊同仁的工作負擔被確實降低,但對於設備的資安掌握度不降反增。因此,未來嘉義市政府考慮將該服務部署在伺服器上,能在駭客入侵第一時間立即回應,加強嘉義市政府因應未知威脅的能力。

APT  事件處理  0809 016 818 / www.corecloud.com.tw

熱門新聞

Advertisement