觀點

APT考驗資安事件管理系統對未知威脅的偵測

2013 / 05 / 31
張維君
APT考驗資安事件管理系統對未知威脅的偵測

近期目標式攻擊越來越盛行,駭客不直接攻擊目標企業而採用迂迴的「水坑式」攻擊,從目標對象常去的網站下手,例如今年2AppleFacebook的工程師都是因為瀏覽了iPhoneDevSDK論壇後被植入惡意程式。所有合法網站都有可能因為漏洞成為攻擊跳板,網站被駭原因很多,未必須要新的攻擊技巧,網頁安全的老問題,如SQL injection, XSS就可以讓駭客一再得逞。

 

IBM政府部門安全策略師Peter Allor認為,企業應該以風險為基礎的角度來進行網頁安全防護,在這個網站上所存放的資料對企業的重要性有多高,就應該採取相對的防護水準。除了呼籲網頁安全,對企業內部而言,要抵禦此類精心設計的目標式攻擊,採用資安事件管理系統(SIEM, Security Information Event Management)來及早偵測也是防禦方式。他建議,評估SIEM時,應該注意1)介面容易操作使用;2)與各家設備廠商的整合介接;3)能將事件回應的資料、security context匯入SIEM中。

 

SIEM來說,除了法規需求,隨著APT攻擊的盛行,對於未知威脅的偵測能力也受到重視。日前傳出RSASIEM將由原本的enVision平台轉換為收購來的NetWitness平台,名為Security Analytics,除了將log收錄之外其全封包深度分析與鑑識功能是為最大特色。而 Attachmate集團大中華區及南韓總經理江永清則認為,不是靠單一技術就可解決APT問題,通常APT攻擊進到企業內網來,為的就是取得關鍵系統ID並將資料往外送,能縮短偵測可疑行為的空窗時間,才是SIEM的重點。因此NetIQ 的解決方案是透過Sentinel的異常行為分析監控技術結合IAM身分識別,再搭配Change Guardian的資料異動監控機制以及早偵測出可疑行為。

 

隨著企業越來越希望享受公雲的經濟效益,對雲端資安服務(Security as a Service)也漸漸接受,包括IBM已開始提供其SIEM平台QRadar的代管服務,可將系統發出的警訊丟到IBMSOC中心監控。而NetIQ總裁Jay Gardner也表示雲端資安服務的確是趨勢,包括雲端身分認證、雲端應用程式檢測等需求都逐漸興起,而NetIQ的策略是提供雲端資安服務的工具給ISP或資安代管業者,不會去發展自己的雲來與ISP競爭。目前NetIQ的雲端安全服務工具包括,雲端單一登入、雲端日誌稽核等。