觀點

防禦APT攻擊 從弱點生命週期管理開始 (下篇)

2014 / 02 / 16
金天威
防禦APT攻擊  從弱點生命週期管理開始 (下篇)

對弱點做生命週期管理,意指涵蓋了弱點產生、指派、跟蹤/追蹤、關閉等管理程序,而不單單只是把弱點匯入SIEM平台裡,由於SIEM原本就具備滙整不同資安系統的能力,因此,資訊整合問題不大,整合之後該如何建立管理機制,才是真正的重點,也是最難的地方。究竟,企業在建立弱點生命週期管理機制時,可能會遇到哪些問題?

建立弱點管理機制的2大難題

1. 如何將弱點與資產設備相結合:
由於弱點數量多、資產訊息龐大,要將成千上萬筆的資料mapping起來,對企業來說,著實是個挑戰。建議企業先從以下兩個面向著手,(1)重要元件或是IT資產設備,如核心網路交換機、重要主機...等;(2)特殊使用者,如特權帳號、資料庫管理者(DBA)、超級使用者(super user)...等,先從這兩個面向做管理的好處是效果顯著,且能符合法規要求,之後可再擴及到其他資產設備上。

2. 如何建立評估弱點重要性的標準:
SIEM平台可以自動指派弱點給特定負責人,但是在此之前,企業必須先建立弱點重要性的評估標準,才能讓SIEM平台以此為依據決定處理時效性,舉例來說,資安風險高的弱點應該在3日內補強,中度風險的弱點則在4日內處理完畢即可,至於風險較低的弱點,處理時限可放寬在5日以內,倘若負責人沒有在期限內補強弱點,則SIEM平台會自動通知相關負責主管,了解問題所在。

弱點重要性的評估標準,除了弱點所造成資安風險的高低之外,還可以搭配資產設備本身重要性去做評估,如果設備很重要則需立即處理,若比較不重要的話,則可暫時忽略或放寬處理時限。至於該如何判斷弱點所造成資安風險是高或低,通常有以下幾個參考因素:
(1)IT服務廠商對自家應用程式/系統漏洞所訂定的危險等級;
(2)根據弱點來源做判斷,弱點來源分成硬體和軟體兩種;
(3)IT服務廠商有沒有提供更新程式;
(4)根據攻擊手法與應用程式類型來判斷弱點的重要性;
(5)共通弱點評估系統(Common Vulnerability Scoring System; CVSS)所訂的標準。CVSS是由美國國家基礎建設諮詢委員會(NIAC)委託製作,其使用標準的數學方程式來判定威脅嚴重性,此外,弱點能否被遠端利用、攻擊者是否需要登入才能利用此一弱點...等,也都是評估因素之一。

SIEM整合需求改變 創造資訊最大附加價值  

資安攻擊手法變得越來越精密複雜,惟有提昇安全能見度,才能及早預防或即時處理資安事件,這也導致SIEM變得益發重要,從近年來企業對SIEM整合需求的轉變便可看出端倪,不僅整合項目變多,整合內容也不同於以往,除了資訊整合之外,更希望整合後可以創造不同應用模式,上述弱點生命週期管理便是最好的例子。

如果以功能屬性來分類,SIEM為事中和事後追查的工具,而弱點掃描則是事前管理工具,兩者的整合模式就傳統作法來看,頂多只能做到資訊滙整而已,但只要在整合過程中,納入更多資訊(如:資產設備、技術負責人...等)與業務流程概念,就能建立弱點從處理、註記、關閉、到產出報告(根據當下趨勢或法規要求,顯示該弱點有沒有被處理)的管理程序,為資訊應用創造更大的附加價值。

當然,SIEM的加值應用不僅於此,透過巨量資料分析技術找出有價值的資訊,才是真正重點所在。以網路銀行交易為例,其從使用者端的IE瀏覽器,經過網路到銀行端的後台系統,處理完畢後再經由網路回到使用者端的IE瀏覽器,這中間可能經過10幾個不同設備,倘若其中一個環節出現異常,IT人員必須逐一追查,花費很長時間才能找出問題所在,但是透過SIEM平台可以把這些片段訊息歸類與分析,從中找出是硬體、軟體、網路封包...等哪一個環節有問題。

要達到此目的,SIEM平台必須具備3個條件:(1)資料搜集能力 (2)強大的分析引擎 (3)提供有用資料。雖然SIEM可以搜集、整合的內容很多很廣,但大體而言不脫以下5個元件:(1)使用者行為模式 (2)硬體事件源 (3)資料庫事件 (4)資產配置 (5)網路訊息,這些元件在與SIEM平台整合後將會形成一個巨量資料庫,讓企業可以做進一步的加值應用,從而提昇將資安風險量化的能力,有效做好防禦,以因應現今益發猛烈的資安威脅。

(本文作者現為IBM軟體事業處業務專業經理)

閱讀: 防禦APT攻擊 從弱點生命週期管理開始 (上篇)