觀點

援引先進SIEM技術 主動出擊防禦資安威脅

2013 / 03 / 12
廖宗文
援引先進SIEM技術 主動出擊防禦資安威脅

回顧SIEM發展歷程,早期側重日誌蒐集功能,然由於許多單一攻擊事件,往往同時觸發防火牆、IPS、防毒軟體等防禦底線,重覆發出大量告警,加重企業人力判讀負擔,於是SIEM平台開始加入事件關聯工具,以統整相同資安事件所產生的紛雜告警,此後企業解析日誌的負擔因而驟減,更能迅速啟動資安事件的處置流程。

接著因應BS7799、ISO27001、SOX、Basel II、PCI DSS等多種規範應運而生,使企業面臨迫切的法規遵循需求,此時SIEM亦從善如流,開始在安全日誌與事件關聯等基礎之外,新增合規性報表的產出功能。

上述演進歷程,其實可被歸納為「第一代SIEM」,確實已對企業資訊安全治理產生貢獻,但礙於系統架構、分析技術等限制,現今面對日趨刁鑽的新型態攻擊,逐漸力不從心。

第一代SIEM 效能瓶頸愈顯吃重
第一代SIEM均為軟體產品,係由日誌管理工具收容龐大日誌檔,再將之儲存於關聯式資料庫,接著由SIEM系統進行過濾、處理及關聯,藉以剖析攻擊事件;撐持此項運作流程的集中運算機制,即可被視為資安監控中心(SOC)。

然而原始日誌、安全事件猶如海量資料,一波波接踵而至,難免使得SOC中心不堪負荷,從而出現效能延遲,此時企業應當如何改善?換置性能更強大的伺服器?抑或再次部署相同的日誌管理與SIEM系統,並加以整合,據此架設第二個SOC中心,與原系統做負載平衡?如為後者,如何克服資料庫叢集的技術門檻、以及沈重的佈建成本?在在可謂棘手難題。

第一代SIEM另有一個盲點,僅可根據已知Pattern做事件關聯分析,所以在弱點掃描階段只達到「Post-Exploit」程度,導致若干新型威脅在穿透防火牆、IPS等傳統防護工具的同時,SOC中心卻一無所悉。


第二代SIEM 形塑智慧安全新標竿

因此「第二代SIEM」於焉興起,希冀透過有別以往的模式,彌補前代系統之缺憾,以協助企業落實「智慧安全(Security Intelligence)」目標。新一代系統以「一體機(Appliance)」型式呈現,整合日誌管理、SIEM、風險管理、網路行為分析等功能,另含括一個支援Grid運算架構的Local資料庫,用戶無須考慮環境建立、效能調校等繁瑣事項,也易於往後擴充與升級。第二代SIEM採取「中心管理、分散建置」架構,中心端的管理軟體不負責資料蒐集與解析,僅負責協同底下所有Sub-Center(亦即SIEM一體機),維持各裝置之間的資料同步,並將資安政策派送至每一個Local資料庫,使不同裝置彼此得以互為備援、負載均衡;至於日誌的蒐集、過濾、處理、關聯分析、報表產出等所有功能,皆由各個Sub-Center提供。

此外,第二代SIEM應可結合QFlow、VFlow等各式Flow,進行Layer 7流量分析,搭配預設的攻擊與外洩關聯分析規則,藉以檢測零時差攻擊等未知威脅,進而開創「Pre-Exploit」新局。畢竟攻擊者可以停止日誌記錄或清除任何痕跡,但不能切斷網路,其行跡必然表徵於流量之中,由此不難突顯流量分析之重要。

新一代SIEM可即時偵測並蒐集的資料型態,涵蓋日誌、事件、Layer 7流量、資產拓撲、資產弱點、網路攻擊,以及由使用者、木馬、病毒或蠕蟲…等產生之網路活動,範圍更加廣泛,佐以分析效能的精進,因此對於新型態攻擊的反應能力,自然更勝以往。

在此前提下,企業一旦善用第二代SIEM技術,即可循序啟動弱點掃描、重要資產確認、流量分析等三大分析流程,快速勾稽各式資安威脅之原貌。至於其運作情境,首先SIEM會自動偵測企業網路上的IT資產,藉由資產分類的建立,以及負責人與使用者的辨識,據以產生資產清冊,繼而結合弱點掃瞄工具洞察各資產的風險與漏洞,接著運用不同視角評估這些資產對於業務的影響,決定資安事件處理的優先等級,最終再將弱點掃瞄、重要資產排序等各項分析結果,儲存在各個Local資料庫。

爾後,企業透過網路活動的監控,配合攻擊與外洩關聯分析規則的比對,即可有效偵測有否不正常現象,一旦發現異狀,即根據異常流量所對應的Source IP、Source Network、Destination IP、Destination Port、Application等種種訊息,回過頭來與弱點掃瞄、重要資產排序進行關聯性分析,在第一時間研判該事件的危險等級;倘若疑似將被入侵的資產本身存在漏洞,且重要性偏高,則旋即拉高告警層次,按既定SOP展開緊急處置。

舉例來說,假使內部員工藉由Gmail進入Oracle資料庫,此後不斷變換使用者名稱,反覆嘗試進行Delete或Select資料的行為,SIEM便會記錄所有過程,並針對此一異常行徑,隨即對相關管理人員發出告警。又或者,SIEM在持卡人伺服器上發現正在運行一個明文服務,明顯違反PCI DSS第四條規定,亦將立即觸發相關處理機制,阻斷這個未經加密的資料流。

總之,拜新一代SIEM所賜,企業將可藉由即時回應的安全管理機制,強化風險意識與控制能力,有效落實安全治理及合規管理目標。
(本文作者現任職台灣IBM公司軟體事業處資深資訊工程師)