隨著企業面臨大量不同類型的網路威脅,企業除了要掌握本身的安全風險,瞭解委外第三方供應商的安全狀況,也成管理重點,這幾年來資安市場出現新的產品與服務,像是企業資安風險評等服務(Security Rating Services),以及供應商風險管理工具(IT Vendor Risk Management Tools),強調能從企業的外部做到網路資安風險分析,並且基於大數據分析、威脅情報的持續安全監控,因而成為一種新的資安解決方案,並有不少業者推出相關產品與服務,包括BitSight、OneTrust、FICO、SecurityScorecard與ServiceNow等,值得注意的是,國內業者也開始將相關方案引進臺灣,SecurityScorecard就是一例。

以SecurityScorecard而言,採非侵入式的資訊收集技術,在運作方式上,該公司透過收集公開數據、網路誘捕機制與威脅情資整合,加上結合ThreatMarket弱點搜尋引擎,將所有持續收集的安全風險指標分析,進而幫助企業監控網路風險。

在應用SecurityScorecard平臺時,企業只要先將自己的網域名稱輸入平臺,以及加入關係企業或供應商的網域,就可以透過這套系統監控公司本身及其他個別公司的資安風險與漏洞問題。而根據代理商展碁國際的說明,企業在購買這套服務時,原廠與企業將簽署相關法律合約,只能輸入自己購買且經認證的網域名稱,包括子公司與供應商也都要在事前具體條列,以管制並防止不當用途。

基本上,SecurityScorecard可以偵測10大類別的風險層面,包括網路、DNS、漏洞修補、端點、惡意IP位址連線信譽評等、應用程式,以及Cubit score(原廠專有指標)、駭客情資、資訊洩漏與社交平臺分析,涵蓋到相當廣泛的範圍。同時,平臺將針對每家公司依據所有風險問題,給出一個綜合性的分數與評等,最高為100分,評等則包含A、B、C、D、F這5個級別,方便企業監看本身及其關係合作公司的防護水準,或作為要求提升相關防護的憑藉。

更進一步來看,在這10大類別之下,將能呈現出各式從外部就能觀察到的企業安全問題,同時,並會依據高中低風險來分類。

舉例來說,在網路安全方面,企業用戶能在平臺上檢視到的風險問題總數有25個,依風險高低區分,其中4個是高風險,17個是中風險,4個是低風險。以高風險而言,包含了暴露在外的企業MongoDB資料庫、未經身分驗證的Elasticsearch資料庫,以及憑證被撤銷、具有安全弱點SSH-1協定的軟體。換句話說,企業將能藉由平臺找出暴露的風險。其他可偵測到的網路安全問題還包括,暴露在外的IMAP、MySQL資料庫、RDP、SMB、VNC,以及憑證過期等。

而在其他9大項風險類別方面,例如,SecurityScorecard可監控企業平臺的DNS配置問題,偵測網站應用程式的弱點,對外惡意程式的連線活動,以及重大CVE漏洞未修補、使用的產品或服務終止支援等。另外,還有SecurityScorecard自身可偵測的一些特有的風險問題指標Cubit score。

為了便於企業執行修復計畫,在SecurityScorecard上,當使用者點擊各項風險問題時,介面會提供該風險的問題描述,可能產生的資安風險,以及風險的修復建議,而頁面最下方將會顯示發現到的問題。例如,以RDP外曝風險而言,將列出產品名稱、IP位置、Port等資訊,介面中並嵌入了Google地圖,可呈現IP位址所處地理位置。

此外,當問題處理完成後,介面上也設計了修復提交的按鈕,可讓系統在48小時內再次驗證,並更新分數。在一般情況下,系統則是即時持續蒐集各項資訊,並每月更新各項風險問題與分數,平臺上並提供PDF報表匯出的功能,以及警告機制,可在類別分數低於設定指標時,自動通知企業管理者。

特別的是,平臺上也提供了進階修復計畫的參考資訊,也可以將供應商加入平臺討論,並設有歷史回顧的記錄,企業不僅可以了解在30天或一整年的風險分數變化,同時也能呈現修補歷程。

可為企業本身與第三方供應商的網路資安風險管理帶來幫助的SecurityScorecard,採用非入侵式資訊收集分析技術,在資料蒐集方面,包含公開資料收集、網路誘捕機制,以及威脅情資整合,加上弱點搜尋引擎,將可分析各個企業的10大風險類別,包括網路安全(Network Security)、DNS健康狀況(DNS Health)、漏洞修補(Patching Cadence)、端點安全(Endpoint Security)、惡意IP連線信譽評等(IP Reputation)、應用程式安全(Application Security),以及Cubit score、駭客情資(Hacker Chatter)、資訊洩漏(Information Leak)與社交平臺分析(Social Engineenring)。

在SecurityScorecard的10大風險類別項目中,將會依據高中低風險來呈現各式安全問題。舉例來說,在網路安全一項,共有25個風險問題,其中暴露在外的未經身分驗證的Elasticsearch資料庫,就歸類為高風險,介面上並會顯示平臺發現到的數量,用戶可以點擊連結以詳細瞭解。相反地,若是平臺偵測到企業本身不存在相關風險,該資安問題將呈現淺灰色。

 

在每一風險項目中,SecurityScorecard會列出該風險的問題描述,以及可能產生的資安風險。同時,也提供了風險的修復建議,並在頁面下方顯示實際偵測結果。以RDP外曝風險為例,介面上將顯示發現的事件,包括產品名稱、IP位址、Port與時間等資訊。當點擊介面上的IP位址後,將可直接檢視其地理位置。

Unauthentecated Elasticsearch Service Observed 特別值得一提的是,在近年的資料外洩相關資安事件中,因Elasticsearch伺服器配置不當,允許公開存取暴露於網路的問題不斷,而在SecurityScorecard的介面上,用戶也將能檢視到企業是否存在這樣的問題。

在SecurityScorecard的IP Reputation很特別,此一大類的風險問題包含5項。基本上,系統能偵測到從企業連到惡意C&C伺服器的活動訊號,並與其他第三方威脅情資比對,而在SecurityScorecard介面上,用戶可以看到惡意程式名稱、種類,以及是透過Email或Synhole的方式發現,還有來源IP位址與通訊埠,方便企業再到內部去追查。

在SecurityScorecard的儀表板介面,企業可以得知本身的整體風險係數,包括企業公開的攻擊表面,也就是本身的網域與IP位置數量,以及10大風險類別中風險最高的3個面向,也能掌握第三方供應商的網路資安風險狀況。

SecurityScorecard平臺上也提供了警告機制,可以寄送每日更新資訊,也能設定當某一類別分數低於指標時就發送電子郵件通知。

針對各類別下所偵測到的資安風險,用戶可以透過「Improve Your Socre」以執行進階修復計畫,系統將給出相關建議,而用戶處理完成後也可以提交驗證。目標是從C/D/F等級逐步修復至B級或更高的A級。

SecurityScorecard

SecurityScorecard
●代理商:展碁國際
●建議售價:廠商未提供
●網路資安風險偵測技術:採非侵入式的資訊收集技術
●可監控資安風險類型:網路、DNS、漏洞修補、端點、惡意IP連線信譽評等、應用程式、Cubit score、駭客情資、資訊洩漏與社交平臺分析
●資安風險評等畫分:由0到100的分數方式呈現,並分成A、B、C、D、F級
●平臺整合支援能力:支援API整合功能,可整合至SIEM或SOC系統

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商】


Advertisement

更多 iThome相關內容