https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

中型企業的資安事件管理市場起步中

2008 / 07 / 21
吳依恂
中型企業的資安事件管理市場起步中
過去SIEM多應用於大型資訊安全監控中心,如今外商不僅引進了小型模組的新應用,網路設備商亦加進了流量控管的元素,且針對中型企業市場來經營,可預見中型企業市場對這塊領域的需求。

由於威脅日益升高,各國政府也開始有些措施,法規的遵循逐漸成為促進企業改進資安的最大動機,例如日本政府便訂立了相關的安全法規,如J-SOX,要求企業遵循。

法規遵循促進資料紀錄、分析市場發展
ArcSight工程研發副總宋海燕訪台時也提到,法規的依循在各國都是企業重視的部份,她認為,這是因為法規是企業所必須要達到的,而不僅僅是IT人員所要完成的目標,像是泰國政府對於Log記錄保存時間的規範至少大約是5~7年左右,因此為了符合各國不同的法規,在他們的風險分析和監控平台上,也提供了因應各式各樣法規的模組,像是PCI-DSS、沙賓、J-SOX等解決方案模組及分析工具。
日前ArcSight也針對台灣中、小型企業發佈了威脅管理工具方面的新應用,主要是在詐騙偵測、應用程式偵測,以及身份識別的管理,透過IAM與SIEM達到安全的控管,威脅反應管理器(TRM, Threat Response Manager)可以透過分析之後的結果做出即時回應,宋海燕認為,這主要是一套簡化流程的工具,幫助管理者可以更快更精準的做出決策,但決定權依然在人的身上。
而其實台灣政府並非對安全全無規範,只是這些規範可能是散落在消費者、企業、主管機關之間,包括像是個人資料法或一些商業會計、公司治理法等等,這也是在台灣企業間常被提及的問題-政府並未有完善的法規制度來進行規範。而儘管政府方面尚未有一個整合性的法規,但企業依然可能會有來自客戶的要求或稽核需要去完成,像是某些金融業可能會被要求要遵循PCI-DSS相關規範,尤其可能會被例如國家資通會報可能會針對A、B級的公署行庫進行稽核,因此這些金融機構便可能會必須遵循PCI-DSS等規範,而有日誌管理、安全事件管理的需求。
ArcSight推出的應用並非是最新功能,但卻是小型模組的再應用,可以說是在面對台灣的市場,注意到了中型企業的需求。

網路設備商增加的網路流量分析功能
其他類似的產品例如說,擅長以網路流量收集做異常流量分析的像是Juniper Networks,在今年3月推出的STRM(安全威脅回應管理器 , Security Threat Response Manager),也是透過提供日誌管理架構和即時事件的關聯性比對功能、原則監控、安全偵測以及法規相符性報告,協助企業對於複雜威脅問題的管理。亞太區安全產品經理Adrian Tham也提到,Juniper提供的STRM相較於其他類似產品,還多了網路流量控管的功能,這是一般SIEM供應廠商較難達到的,屬於網路設備廠商優勢,將網路設備上的資料也列入分析條件內,更能夠提供完整的威脅回應管理。
不過ArcSight方面則表示,該公司的ESM也可以通過對日誌的即時關聯分析,對網路流量進行分析,可以綜合管理不同品牌的厰商,通過比對不同的日誌來判斷威脅,因此能夠降低誤判、虛報的機率。
而與Juniper Networks同為網路設備商的Cisco Networks在這塊領域上,則有大家暱稱為「思科火星」的Cisco Security MARS(Monitoring, Analysis, and Response System)。台灣思科產品技術經理謝東興表示,MARS的重點擺在異種事件的格式轉換關聯及分析回應,主要是偏重關聯分析及回應異常流量的分析,再以網路流量控制為輔(大約是80/20的比例),一但找到攻擊的起始點,就可以馬上在設備上執行動作,做出及時的回應。
舉例來說,若在Client端到Server端的這段網路上,沒有任何的資安設備或可以產出Log的設備,此時就只能倚靠網路流量的控管去找出異常情形,不過大前提是發生類似DDoS的攻擊,但若屬於一般駭客攻擊,也就是透過1、2個封包就達到攻擊目的,就會比較看不出異常,因此關聯式分析與網路流量的控管可以說是相輔相成。謝東興認為網路設備商在安全威脅管理系統的這個部分,可以補強網路管理異常分析的部份,同時他也認為他們主要針對的是中型企業的自我安全威脅管理系統的族群,藉由關聯式分析強化企業安全。
無論是整合多家日誌系統或是增加網路流量分析的功能,著重在網路防禦設備的即時反應或是準確的關聯性分析,皆各有其利弊,企業應仔細評估其需求為何,尋找最適當的資安防禦機制。不過,這也是資安事件管理系統的供應商在近幾年來,嗅到了資安市場在中型企業端的需求,因而推出了這樣的產品,但在中型企業當中,大部份資安防禦設備的建置尚在起步階段,如開始建置IPS等系統,而資安事件管理系統的需求則往往是在這些系統建置後,因此在中型企業端,是否真有其需求?尚有待觀察。