安全事件管理(以下簡稱SEM, Security Event Management)是安全相關資訊管理(SIM, Security Information Management)的一部份,SEM所強調的是從眾多資訊中,分離出相關事件,並且進行事件之間的關聯分析。 SEM主要目標就是解決資訊過載的問題,一般而言,以人工方式分析網路安全事件或troubleshooting,必須具備相當程度的專業知識,此外還要能夠善用其他工具軟體進行資料的過濾與剖析。但是,網路管理人員哪有這麼多美國時間,在平時繁重的工作之外,再配合進行風險管理之類的任務呢?SEM就是針對這個需求所發展出來的概念。
SEM是安全相關資訊管理(SIM)的一部份,SEM所強調的是從眾多資訊中,分離出相關事件,並且進行事件之間的關聯分析。舉例來說:企業網路遭入侵與攻擊,SEM系統就必須從防火牆、入侵偵測系統等裝置的警訊中,蒐集相關訊息並進行資料格式重整,進行事件關聯分析與保存證據,協助管理人員判斷出攻擊影響範圍、其手法與過程。我們可以從SEM架構來看出其所扮演的角色,以及如何從資訊安全的角度來確保企業持續營運,與創造資安事件早期預警的價值。
SEM 架構
1.網路設備:分散於各節點的設備(主機型IDS、網路型IDS、防火牆、防毒軟體、伺服器…等。以往網管管理軟體使用SNMP協定,對各設備進行監控管理,雖然部分產品也具備蒐集記錄檔(log)與警訊(alarm)的功能,但是卻沒有事件關聯的能力。除了實體網路設備之外,在SEM的架構中還可以涵蓋弱點掃描系統與風險評估系統,以增加其資訊來源的廣度。
2.組態管理系統、網管軟體:各廠商所推出可控管其他裝置的管理系統,可初步蒐集來自於各裝置的記錄檔與警訊,對這些資料進行儲存、統整資料格式與提供查詢功能。這些警訊資料將集中輸送到區域性的SEM主機中。
3.第一層SEM,屬於區域性的分支單位,設置於各分公司,負責蒐集區域性的安全事件,過濾出具有價值的訊息,再傳給上層的SEM或是直接傳入安全監控/防護中心。
4.上層SEM設置於總公司監控中心或資料中心,SEM 提供跨設備的事件關聯引擎,從資料的過濾、分析,重建連線事件,可接受來自於各家網管系統的資料格式,並將這些資料轉為統一的格式,進行事件關聯分析,提供查詢與報表。
5.最上層的行動與決策機構稱為安全監控/防護中心(SOC,Security Operation Center),屬於行政體系的決策、應變中心,處理全域性安全事件與協助各事業單位進行應變處置。
採用SEM具備以下的優點,這些優點同時也是實現SEM所必須跨越的門檻,這種障礙不單單是技術層面上的問題,而是必須具備系統整合能力與採用廠商策略聯盟的商業手段才能跨越。
・高度整合性(Integration),這是SEM最大的特色及困難處,因為要收納來自不同裝置的警訊,本質上對於資料格式的處理,必須具備相當高度的彈性與整合能力,可包容各種安全技術與規格,達到將異質訊息格式正規化的功能。
・高度可靠性(Reliability),SEM必須從大量安全事件中產生可靠的資訊,協助進行資安相關決策,這項功能必須仰賴跨裝置的事件關聯引擎,將原本僅是各分散裝置的單一事件,經重整關聯之後,可以從較高層級來看待這些事件,並判斷是否為資安警訊。如:同時從防火牆、入侵防禦系統、與個人防火牆發現掃描弱點行為,SEM便可以從這三個來源所提供的訊息,判斷遭掃描的區域大小,以及鎖定掃描來源。可靠性也包含SEM本身持續運作的能力,以及對於事件訊息的保存,大量且源源不絕的即時事件訊息不斷湧入SEM的關聯引擎與資料庫,根本就是變相的阻斷服務攻擊,而SEM是否具備處理、承受的能耐,也是判斷SEM系統良窳的依據。
・動態(Dynamic)即時的網路健康狀態,SEM動態呈現即時的、全面的企業資訊安全狀態,包含網路流量、異常安全事件、安全弱點補強、風險評估結果驗證…等。SEM可以減輕網路管理人員及資訊安全管理人員的痛苦,它提供管理者一個涵蓋全面性與具即時性的監控平台,長官要求相關資料時,再也不必汗流浹背地吆喝著手下,「生」出一份不盡完整的報表。
・提升網路管理之透明度(Visibility),使網路疑難排解更容易找出癥結點,以及資訊安全事件的透明化。以往發生入侵等資安事件時,相關權責人員必須根據僅有的訊息與最後的結果,逐層回溯追蹤,才能夠像「福爾摩斯偵探」一般,解開層層疑雲,將事件的來龍去脈搞清楚。例如:駭客可能從分公司入侵,再透過VPN網路竄入總公司的網路,經由跳板攻勢偽裝IP位址進行掃描,最後安裝木馬程式進行操控,這麼普遍且複雜的劇本,得花上多少時間去追蹤呢?一但查個水落石出,又不免遭受同僚無情的炮火,至於要升官,等下輩子吧! 現在有了SEM,還需要花多少精力在這種災難般的苦差上呢?一天?不需要,三小時?肯定還有找。
・作資安最難的地方,就是怎麼在辛苦爭取來的有限預算之下,達到成效;而且讓高層了解,錢確實是花在刀口上?SEM有一項迷人的特色,就是風險的視覺化(Visualization) ,以圖形化的視覺手法,展現企業內風險來 翩B程度、消弭轉移的過程,這不就是老闆們想看到的成效嗎?
SEM應針對重要資產,提供即時風險評估功能,與一般風險評估系統的最大差異,就是SEM可以做到動態與即時的特色。項目包括:
・識別威脅 – 根據攻擊行為和長時間累積的異常統計資料,自動計算出資產風險之威脅來源與威脅等級。
・設定資產價值 – 針對重要的資產,採預先量化或質化的方式,設定資產的價值,以及設定資產損失的影響程度。
・弱點掃描– 定期針對重要資產、系統,進行漏洞檢測掃描,將掃描結果納入SEM管理資料庫中,以協助管理人員訂定防禦方針和策略。
・監控即時安全事件對於重要資產的衝擊與威脅,透過即時蒐納關聯的事件訊息,描述安全事件對於營運及重要資產的衝擊與威脅,並配合採取因應的措施行動,或啟動 BCP、緊急應變計畫。
・配合資產管理系統進行動態分析與調整。當然,資訊安全是一個持續的過程,SEM必須整合資產管理系統,針對企業的資產本身的價值、風險、威脅、即時狀態進行動態分析、調整風險威脅等級,才能夠真正達到即時的效力。
・可擴充性(Scalability),對大型系統而言,擴充功能是相當重要的評量點。優秀的SEM系統,必須具備可擴充能力,以適應企業組織的調整與擴增。擴充能力包括硬體的處理能力、儲存裝置容量、收納事件訊息的能力…等。應該在規劃時預留擴充介面與能量,才能夠符合企業組織體系調整的需求。
SOC(安全防護/監控中心)與 SEM 的關係 SOC其實是一個最高層級的SEM,與SEM不同之處,SOC 比SEM多了作業規範與應變處置責任,所以,實際上SOC是一個組織,是行政運作體系,要對於安全事件遂行預警、反應與處置,而SEM則是一種事件管理架構與事件關聯技術。
SOC接受所轄區域之下SEM傳來的事件訊息,再度進行關聯,可以得到小規模事件、大區域事件或者是整體安全事件的『結論』,也就是說SOC是站在一個最高的角度,囊括整合所有資源,決定最高層級的資安議題;SEM則是SOC中的一環,也是其資訊來源,協助上層SOC完成統整企業資安維運的角色。
SEM促成科技
在談到一些新的概念或趨勢時,不免要思考促成科技(Enabling technology)為何?在此,本文也不避俗地來談談SEM的促成科技。SEM與一般網路管理系統最大的不同就是在事件關聯引擎上。事件關聯是安全事件管理的核心,透過共通化的記錄檔格式與事件關聯引擎,減少假警報的產生,使資安管理變得更「SIMple」! 促成SEM的主要科技,包含事件關聯技術(Event Correlation)、資料探掘(Data Mining)、駭客行為科學(Hacker Behavior Science)以及可延伸的標 O語言(XML)。其中最重要的就是事件關聯技術。
事件關聯引擎,目前主流分為兩類:
1.基於規則的安全事件關聯 以規則為基礎的事件關聯,必須建立對於已知攻擊模式的規則庫,根據這些規則對所蒐集的事件進行解析、比對。包含事件發生的順序(Attack Secquence)、事件相關屬性(IP、Protocol、Port…等)、攻擊模式規則,這些規則表達已知攻擊模式的先後順序、特徵、來源,而事件關聯引擎依據規則一步一步比對安全事件訊息,比對是否符合規則。
2.基於統計的安全事件關聯 以統計為基礎的事件關聯技術,透過安全事件的分類統計數字,設定威脅等級的門檻值、正常值及異常狀況下的統計值,將收納進來的安全事件,以及該連線的後續追蹤資料(Session Track),此一連貫的連線資訊,送入統計引擎中計算,再與正常值、高風險值模型比對。統計式關聯引擎不需建立龐大的規則庫與知識庫,但是針對事件、威脅的門檻值還是必須由人工設定,例如:port scan的時間與區域超過某個門檻值,就視為有安全疑慮的行為。
其實這兩種事件關聯的核心引擎,都有其利弊,要如何提高正確性與降低假警報的發生,以及提升處理的速度,都還有很大的研究空間。預料未來市場上將會出現「雙劍合璧」式的事件關聯引擎,而且會慢慢演變為具備學習能力的智慧型事件關聯引擎,整合適性化學習及資料探掘相關的技術理論,使事件關聯引擎更臻成熟。
SEM 選評準則
SEM對於企業而言,是一個終極的資安管理方案,當然價錢也不便宜,接下來我們就帶著大家一起來「嚴選」SEM!評選SEM要注意的項目裡,與評估一般資訊系統或是網管設備採購上最大的差異,在於系統架構、強韌性、集中式操作管理介面以及廠商的支援程度。
1. 系統架構 包括對於各資安系統的整合能力,以及對於原有環境的影響度。在儲存能力方面,應該注意資料庫管理與儲存能力。其次該系統的元件化程度、是否具備應變處置程序資訊,深深影響系統未來的可擴充性。此外,接裝系統人員之素質需求及管理系統之能力需求,也應該要納入評選項目中。
2. 強韌性與功能彈性 SEM的處理容量、瞬間容量,使用每秒事件產出率(Event Per Second)作為衡量容量的單位,也有些公司採用每日總吞吐量(Giga bytes per Day)作為單位。當然,也有以SEM能夠管理多少設備決定其價格,最大管理設備數量是SEM等級的區隔標準。其他常見的評選準則包括:處理速度、正確率,以及遭遇攻擊時,SEM的存活能力。因為SEM應該要能夠在攻擊中存活下來,才知道哪邊發生問題嘛。
3. 集中式操作管理介面與報表 SEM最重要的產出,就是告訴資安管理人員,你的網路哪邊出問題,狀況有多嚴重,及其來龍去脈。因此,報表功能與介面是相當重要的一點。包括,報表分析能力、操作介面親和力、視覺化工具…等。
4.廠商支援程度 因為SEM本身是一套需要維運人力的系統,所以難免會遭遇到需要技術諮詢的時候,這時廠商的支援程度和服務團隊能力就很重要。再者,支援程度也顯示SEM本身的整合度,例如:品牌支援度、對於未支援設備的解決方案。一般可以從廠商所列出的參考客戶查詢,但最好能夠實地去參訪一下!不是有句話叫做「百聞不如一見」嗎,實機的展示總比電話中的三言兩語來的更深刻。 以上四大項目,是國內外常見評選 SEM所採納的準則,而其優先次序並沒有一定的標準,端看企業本身的環境與需求而定。
因為事件關聯引擎是SEM的核心成員,因此對於事件關聯引擎的能力必須額外挑出來評選。以下是常見的事件關聯核心引擎的評估項目:
事件關聯能力包含即時監控能力、弱點關聯能力、事件關聯能力。即時分析能力意謂你可以多早知道有沒有飛彈對你打過來了?現在飛到哪裡?還是已經炸開了?事件關聯的正確性也是其功能指標,SEM主要的目的之一,就是透過跨裝置的事件關聯,提升警訊的正確性,減少假警報的發生頻率。所以,事件關聯引擎對於跨裝置的訊息關聯能力也應該列入評估的準則中。
一般而言,事件關聯的能力很難用一些數字來表達,關聯引擎如何運作,恐怕不是一般資安人員所能夠完全了解的課題。所以,如果能夠請廠商模擬企業環境,直接透過真實的事件模擬來「展現」事件關聯引擎運作的能力,也不失為一個『嚴選』的好方法。
結語
SEM是資產風險管理(ARM,Asset Risk Management)的一環。資產風險管理策略應納入整體安全管理政策、作業程序、員工管理與資訊管理。針對企業內個別標的的風險等級進行控管,包括:網路、作業平台、應用軟體。基於此需求,SEM就必須考量在這些標的上,進行即時的異常事件監控。在SEM中,還包含重要資產的設定檔案、動態的組態管理、資產的弱點管理。過多的安全管理訊息,對安全管理者而言是一個頭痛的問題,目前極少有管理工具可做到全面性的蒐集、事件關聯與分析報告功能,通常要使用幾套軟體相互搭配來達成以上功能。SEM倒是一個不錯的選擇。
