觀點

企業建置SOC 資訊安全Easy Go!

2010 / 05 / 04
孫志邦
企業建置SOC  資訊安全Easy Go!

近年來隨著網際網路普及,使資安攻擊事件日益頻繁,尤其伴隨著駭客攻擊途徑的多樣化,企業無不加強購置網路與資安設備,以規避遭受攻擊的風險,諷刺的帶動了資安產業蓬勃發展。資安監控中心(SOC, Security Operation Center)的建置成為一熱門話題。當企業基礎網路與資安建設逐漸擴展時,相關的管理維護工作,成為管理人員沈重的負擔,此際,有賴軟硬體系統將之自動化處理。SIM(Security Information Management)系統由此而生,本文將從需求出發,說明它在企業資安中扮演的角色,並舉出數個實作案例。

企業資安系統需求

企業資訊安全的建置愈來愈繁複,從防火牆、入侵偵測系統到防毒主機,通常只要新增一項資安設備,就必須多花1~2人的人力去管理,而且這些設備所產生的系統日誌(System logs)和告警訊息(Alerts)多如牛毛。最常聽到企業的MIS抱怨:「這麼多的log,到底哪些是我該注意的?」

 

當一件工作變得愈來愈複雜,資料量愈來愈龐大的時候,就必須引進「自動化」的機制,像是一天內產生數以GB計的log,是否可以仰賴電腦軟體代替人工判讀呢?答案是肯定的,所謂的SIM軟體,便是這樣的作用。

 

SIM基本組成元素

SIM即「安全資訊管理」,它並非一項特定產品,而是一種解決方案,通常是指具有「彙集資訊、加以分析並找出事件關聯性」的軟體或系統。它的誕生原本是為了解決大量IDS告警的問題;假設您試著安裝一套免費的入侵偵測系統Snort,就會發現它產生的log量之多,短時間內著實難以消化。

 

一套SIM系統,至少應包含下列三個元件:「資料收集器」(Data Acquisition)、資料「正規化」(Normalization)、以及事件「關聯分析」(Correlation)

 

一、資料收集:SIM需從不同網路裝置,如:路由器、防火牆、入侵偵測系統等透過SyslogSNMP甚至SMTP協定,將資料集中;使用這些方式收集的系統,可稱為Agent-less,也就是說,不需在那些網路裝置之中安裝代理人程式,減輕系統被改動的風險,但這種方式就是假設那些裝置都支援SyslogSNMPSMTP,能夠把發生的事件透過網路送出來才行。

 

二、正規化:眾多的資安設備,通常並非單一製造商,因此設計的SIM系統必須能夠收集不同製造商的系統資訊,而且它們的格式必然不同,這時便需要把資料「正規化」,也就是創造出一種新的資料結構或型態,以統一的格式將它們存放在資料庫當中。比如IntellitacticsNSM產品,就是創造一種資料分類(Taxonomy),它的開頭便是該網路產品的類別,像是防火牆就是fw.,入侵偵測系統便是ids.

 

三、關聯性分析(Correlation):把收集好並且正規化的資料加以分析;在一定時間內,不同事件之間(尤其是來自於不同設備之事件)找出關聯性。舉一個例子,在路由器之中發現不尋常的ICMP訊息,並且同一時間也在入侵偵測系統發現ICMP入侵的行為,便可歸為一種事件的關聯。

 

在事件之間真正找尋出「有用的」關聯性是一門學問,各家軟體廠商無不花上最大的努力強化這項功能,最好也能夠讓一些進階的使用者,能夠自行設計一些關聯事件的歸納。總之,SIM最終是希望能夠產生較有意義的資訊,以資料的「重量」來比喻,最好能在1公噸的資訊之中,發現5公克的有效資訊。

 

導入SIM

有些SIM產品稱它們自己為「Mini-SOC軟體」,這是因為導入SIM產品就好像架設了一座小型的SOC-Security Operating Center,但它的工作很可能是相當繁雜的,一點也不Mini。並且,SIM還可包含一些附加的功能,比如應用系統(7)監控、威脅事件資訊的提供、緊急事件處置、違反政策之符合性分析等。

 

另外有一些稱之為SEM(Security Event Menagement)系統,它們事實上是SIM搭配其他的軟體,比如Ticket system,當有安全事件發生時,能夠作後續的處理,此稱為IR(Incident Response)。通常SEM能夠提供Security Dashboard「資安儀表板」,它就像汽車的儀表板一樣,主要目的是讓資安管理人一目瞭然,隨時掌握資安設備狀況。

 

企業要從眾多SIM解決方案之中,審慎評估最符合自己的需求;然而,其中最關鍵的問題,是必須認清SIM的導入,最終目標是要減輕資安人員的負擔,而非製造麻煩。假如「導入SIM」成為管理階層下達的一道命令,而底下的人只為了實踐它,那麼就一點意義也沒有了。

 

SIM系統之介紹

下面列出幾個知名的SIM軟體:

  • ArcSight
  • CA eTrust
  • GuardedNet
  • Intellitactics NSM
  • NetForensics
  • Network Intelligence
  • e-Security (eCop)
  • OSSIM (Open-Source SIM)

上面這些除了OSSIM是免費的軟體以外,其它都是需付費的,更有一些像Network Intelligence是屬於服務的提供商(Service Provider),而非單純地銷售軟體系統。另外像HP OpenviewIBM Tivoli算不算SIM?在此筆者持保留的態度,它們並不聚焦在資安方面,而比較像全方位的「網管」軟體,並不是SIM

 

以下,筆者舉出三個實際案例以及上述軟體的應用技巧。

 

案例1  政府單位

政府單位是典型、多樣化的基礎設施使用者,在同一個單位,不同的部門往往使用各式各樣的軟硬體系統,其中更有一些已停產或停止支援的產品。這時,所選用的SIM系統是否支援Agent-less便是一大重要課題。試想,如何替一個已停產(或停止支援)軟體安裝專屬的Agent

 

其選用的SIM系統,能夠支援多重製造商,並且還能夠判讀它們,轉換成單一格式的正規化資料,儲存在資料庫之中。

 

使用Intellitactics公司的NSM是相當不錯的解決方案,它具有高度客製化的優點,使用者可以自己定義Correlation rule,好像在寫程式一樣。它也能夠用很多方式收集資料,除了先前提到的SyslogSNMPSMTP,尚有Database QueryFlat File ReaderAgent…等,提供高度的彈性。

  

前面提到Intellitactics / NSMCorrelation rule很像在寫程式一樣,可以想像的是,學習曲線會拉得比較長,即使是IT專業人員,也可能需一星期以上才能上手;但另一方面的好處是,它的彈性最大。總言之,筆者認為實作這套系統並不容易,非常依賴來自於系統整合商之協助。

 

案例2  金融整合服務商

CA組合國際公司一直是筆者認為非常具有「併購實力」的一家公司。幾乎沒有哪一類型的軟體是CA沒有涉獵的領域,當然SIM也不例外。CAeTrust Security Command Center是一套典型的Mini-SOC軟體。也因為CA本身在資訊安全控管的軟體產品線非常齊全,像是防火牆、入侵偵測、防毒、備份、遠端控管等,使得SIM系統必須在CA的產品線上佔有一定的地位。

 

許多金融業為了好好照顧企業內部IT 資產,網路管理經理必須選用很多工具來達成任務。CA eTrust SCC的優點是它雖然小(Mini),但五臟俱全。

 

eTrust SCC的特點,其資料處理步驟分為:「資料聚集」(Data aggregating)、資料量集縮(Data Reducing)、關聯性分析(Correlating)以及事件嚴重性的量化(Event Prioritizing),並且提供簡顯易讀的單一主控台資訊,是一個具有SEM性質系統。在資訊收集方面,雖然不像前述Intellitctics NSM那樣多元性,但也算足夠,它甚至提供了程式介面(Programming API),可以讓自行發展的系統取用;亦或是在基礎設備上安裝代理程式(Agent)

 

eTrust SCC有很多設計是為了減輕實作者的負擔,比如它有預設一些關聯性規則(Default correlation rule),可以直接引用;它也提供簡單易學的介面,幫助使用者自行創造新的規則。筆者認為,它提供了在SIM領域之中快速入門的一把鑰匙,而這是許多非IT公司所渴望需要的。

 

基本上,金融單位就是一個承受「過量訊息之苦」的地方,並且汲汲於找尋好的解決方案,但企業本身並不是專業人員集中的地方,的確需要一些容易入門的工具,這一點,就是軟體供應商們應努力的方向不是嗎?我想CA作到這一點,它讓SIM的實作變得容易許多,並且保留一些彈性,使用者仍然可以自行訂定一些規則。

 

案例3  使用單一產品之中大型企業

有些系統製造商會替自己的產品發展出一套中央控管系統,這些或許不能稱得上是SIM系統,但是對於使用單一產品的企業來說,仍然是不錯的解決方案。比如說CiscoCiscoWorks,以及ISSSiteProtector等。CiscoWorks對於ISP來說似乎是不能缺少,但它少了correlation的功能,嚴格說來並不是一套資訊安全相關的(只能說是網路相關的)系統,能夠沾上邊的,是它能夠管理路由器的ACLVPN以及PIX Firewall等。

 

關於ISSSiteProtector,它是用來管理ISS的整套資訊安全設備,如IDSIPSRemote DesktopVulnerability Scanner等。它還有Correlation的工具,稱為Security Fusion,可用來歸納分析所有ISS資安設備告警之間的關聯性。以ISS這資安專業大廠的產品來說,企業當中大多數使用這單一製造商的產品,並非不可能。

  

使用專屬(Proprietary)中央控管系統,好處在於它的保密性。ISS SiteProtector預設使用自行開發的加密程式庫(Encryption Library),能夠確保末端設備與中央控管軟體之間的連線是安全的。SiteProtector另一個特別的地方是它能夠操控弱點掃描系統,有點像Nessus Client的作法,不同的是,它能夠把掃描的報告放在內部資料庫中,整合其他資安設備資訊作後續的分析。

 

結語

事實上,在國內真正實作過SIM系統的廠商並不多,主要原因之一是SIM系統多半須投資百萬甚至千萬以上的金額才可能建立起來。也因此一些大型系統整合商聚焦在特定產品上,投資人力以及訓練的成本,期望能夠精通並且支援特定一套SIM系統即可。

 

有了SIM系統,並不表示從此高枕無憂,資安管理者仍然須詳察系統的訊息,決定事件的急迫性,並作後續處理;管理者也應該把統計的報表整理好,呈現給「資安長」(CSO, Chief Security Officer)作為決策參考。這些無非是希望其能夠掌握量化、趨勢化資訊,避免管理者總是以「直覺」或「我覺得…」的方式制定資安策略。

 

總而言之,SIM幫助收集來自各種各樣的設備訊息,並且提供一個更宏觀的資訊安全系統,讓管理者不致陷在五里霧,也因此,「事件關聯性分析」在整體功能上是最具有決定性;另外,統計報表和稽核報告也相當重要,有一些單位只是為了能夠提供定期報表給主管參考;除此之外,筆者也發現, SIM系統能否獲得青睞的原因之一,是它能否支援中文的資訊,因為像一些國產的資安設備,傳送出來的訊息是中文,這在某些SIM系統是無法處理的。