https://newera17031.activehosted.com/index.php?action=social&chash=19de10adbaa1b2ee13f77f679fa1483a.2906&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=19de10adbaa1b2ee13f77f679fa1483a.2906&nosocial=1

觀點

mini-SOC技術方案

2004 / 11 / 15
梁日誠
mini-SOC技術方案

自建型資通安全防護中心(mini-SOC)的核心營運平台可稱為Enterprise Security Management System(ESMS),它7x24小時收集和分析來自組織內所有安全設備數萬至數十萬的安全事故(Security Event)資料,並在錯誤告警和真正的安全事件告警之間,識別和瞭解這些安全事故。

ESMS的挑戰在於目前並沒有如SNMP之於網路管理系統(Network Management System),並沒有一個資安設備廠家可以共同遵循的資安事故告警發送標準,因此,ESMS的平台提供商就要有一個有效的機制收集各種不同格式與協定的資安事故, 所以,ESMS也需與mini-SOC的各項營運項目與需求相結合,因此,ESMS具備了幾個主要的模組(Modules)來實現各項營運項目與需求。

ESMS的整體架構如附圖A。mini-SOC除了ESMS之外,也包含各資安方案的控制系統、各系統之關聯圖如附圖B;接著,我們就依各個系統與模組來說明mini-SOC組成的各技術方案.。
ESMS系統
A.操控介面(Console)模組 可以讓資安分析師(Security Analyst)以圖型介面(GUI)來執行ESMS內之各項功能,一個整合完整的操控介面能夠降低資安分析師的數量與工作量,並降低相關流程的複雜度,其相關的功能為:

1.網頁流覽介面( Web Access Interface):能使授權人員依其被授權之範圍以 流灠器(browser)進入系統,並使用ESMS流灠器與ESMS間具備安全傳輸(Secured Transmission)的功能。

2.顯示與投射介面(Projection Interface):能夠將重要的資安狀況,如Top-10資安事故,以簡潔明顯的方式顯示於較大型的顯示裝置(Display Facility),範例如附圖C。

B.資料庫(Database)模組 儲存所有資安事故和相關資訊,同時提供資安分析師正確情報以協助資安事故之處理,其相關的功能為:

1.資安事故資料庫:儲存組織內收集到之各資安設備產生的資安事故,供進一步分析使用。

2.資安弱點資料庫:儲存組織內外分析與收集來的潛在弱點。

3.資安事件與通告資料庫:儲存組織內外收集來的資安事件(Incident)與通報(Notification)紀錄。

4.專家系統資料庫:儲存組織內應對資安事故的各項措施與紀錄。

5.資料庫多工(Multiplexing)功能:各資料庫能因特性不同以2個(含)以上的實體資料庫組成。

6.資料庫備份與回存(Backup/Restore)功能。

C.事故收集器(Event Collector)模組 用以收集並處理從各種安全設備發送的事故,其相關的功能如下:

1.廠家(Multi-vendor)支援功能以支援各式資安設備,包含防火牆(Firewall)、入侵偵測系統(IDS)、防毒(Anti-Virus)系統、伺服器、VPN、應用系統、資料庫、路由器(Router)、交換器(Switch) 等所發出的資安事故與日誌(Log)。

2.多協定(Multi-protocol)支援功能以支援各式資安設備送出資安事故與日誌(Log)所使用的通信協定,如SMTP、 SNMP、 HTML、OPSEC等。

3.多層次(Multi-tier)連接與串接(Cascading)功能,一方面符合各種不同的建置情況,一方面兼具擴充功能,示意圖如附圖D。

4.安全傳輸(Secured Transmission)的功能。

5.遠端控管(Remote ?ntrol)與遠端更新(Remote Updating)功能。

6.客製化(Customization)開發介面,使資安人員得以自行開發最新的或自有的解譯器(Decoder),以於有效時限內納管相關資安設備。

7.容錯(Fault Tolerance)功能, 在單一事件收集器失效時仍不影響系統運作。

8.事故與日誌的單一化(Normalization)格式功能。

9.事故與日誌的集中化(Aggregation)功能。

10.關聯分析(Correlation)功能。

D.關聯(Correlation)模組 用以關聯(Correlate)事故收集器所收到的資安事故與日誌,其相關的功能如下:

1.規則(Rule)式關聯功能:利用多個參數以組成不同的規則,對於已發生的或已列入觀察或已知弱點的資安事件進行偵測,歸納與分析。

2.統計(Statistics)式關聯功能:可以設定於特定的時間內,若特定的行為發生率超過警戒值時,便通報資安事件或事故。

3.混合(Mixed)式關聯功能:能將多個規則式與統計式關聯原則串接使用。

4.彈性配置功能:關聯模組可單獨建置於系統內,也能於事故收集器或操控介面模組內選擇性配置,以達分層關聯之目地,其示意圖如附圖E。

E.報表(Report)模組 製作組織內需要的統計報表、包含事件統計、事件分析、資安設備事件分佈等。

F.客戶關係管理(CRM)模組 提供與組織內各部門相關人員與其資安設之對應資料,以利資安監控人員處理與通報資安事件時使用,並具備Trouble Ticket功能。

G.資安資產管理(Security Asset Management)模組 提供與組織內各部門相關資安設備資料與特性,以利資安監控人員處理與通報資安事件時使用。

H.弱點掃描(Vulnerability Scan)模組 藉以不定期發現組織內潛在的資安弱點並儲存於資安弱點資料庫。

I.資訊收集(Information Collector)模組 具備收集外部的資安相關資訊的介面並儲存於資安事件與通告資料庫。

J.資安通報與發佈(Notification)模組 藉以向上通報與向下發佈相關的資安事件與資安資訊。

K.特定格式(Specific Data Format)傳送模組 可將特定的資安事件與資料以特定的格式傳送予特定單位,示意圖如附圖F。

L.應對措施(Counter Measure)模組 在授權範圍內,資安分析師得以執行阻斷(Blocking)或避免(Prevention)措施。

M.通訊整合介面(Communication Integration Interface)模組 可利用此模組將指定的資安事件以email、簡訊、呼叫器、傳真與電話方式傳送或告知負責的資安人員。

資安方案控制(Control)系統
組織內各資安方案,如防火牆(Firewall),入侵偵測系統(IDS)、防毒(Anti-Virus)系統等、均有其專屬控制系統以設定或更新對應設備的相關設定,有些控制系統並提供ESMS資安事故或日誌,各控制系統本身也應被ESMS監控,示意圖如附圖G。



資訊安全管理系統(ISMS)
若mini-SOC單獨建置其ISMS,則相關的系統文件或工具也將保存或設置於mini-SOC的指定安全作業區內。

實體(Physical)安全設施監控系統
架構mini-SOC的各項實體建設,如門禁控管系統、煙霧偵測系統、防侵入系統、電源系統、溫濕度系統等,均可將其系統的告警發佈於指定的監控系統以利統一監控。

網路管理系統(Network Management System)
對於尚未建立或有效利用網路管理系統(NMS)的組織,可以將第一至三層的網路設備納管於網路管理系統,並利用NMS與ESMS的鏈結來進一步控管網路安全。

完整性(Integrity)監控(Monitoring)與復原(Recovery)系統-IMR
針對組織的各個網站(Websites)與mini-SOC內的各個資料庫,可建置IMR系統,以即時監控重要目錄與資料庫的完整性,以防止入侵者或未授權者不當修改,若經不當的置換(Deface)或篡改(Modification),IMR系統也具備回復原始資料的能力。

由技術面來審視mini-SOC,可以發現之前所提出的流程都對應到ESMS系統的各模組或mini-SOC內各功能性系統,換言之,一個完整的mini-SOC技術方案是能將流程面的複雜性降低,提高可行性,進而增進資安分析師的工作效率,並降低所需的資安分析師值班人員數量,最終的結果便是降低mini-SOC營運成本。

在下期的專文,我們將就mini-SOC的應用面,如區域性資安協防、資安資訊分享、SOC與NOC之整合做出探討、並分享mini-SOC建置與營運參考案例。