https://twcert2024.informationsecurity.com.tw/

觀點

IBM新一代資安防護架構 協助企業對抗資安威脅

2016 / 04 / 28
編輯部
IBM新一代資安防護架構 協助企業對抗資安威脅

IBM QRadar扮資安情報與防禦要角

伴隨著全球基礎網路服務日益普及,駭客組織發動的攻擊也比過去更為猛烈,根據IBM X-Force 威脅情報季度報告指出,現今企業面臨資安挑戰遠比過去更巨大,不僅有來自於外部的各種攻擊事件,公司內部也因有嚴重資料外洩事件,讓資安人員疲於處理各種資安威脅,造成企業營運上的沈重負擔。

根據IBM台灣資安技術協理謝明君長期觀察發現,融合多層次攻擊手法的資安威脅事件正逐漸增加中。一般而言,企業會從資安設備中察覺新手駭客發動的攻擊事件,當資安人員誤以為資安威脅已清除時,其實早有其他駭客組織利用同樣的漏洞入侵,並且悄悄潛伏工內部網路之中。一旦資安人員缺乏進行深層事故調查與根本原因分析的概念,將難以發現潛藏於企業內部之中的惡意程式,根據資安報告指出惡意程式平均可在企業內部潛伏長達1年以上,成為資料外洩事件不斷發生的主因。

在駭客組織發起的攻擊之外,惡意員工亦是造成資安事件不斷發生的主因。IBM台灣資安技術協理謝明君發現部分有擁有系統管理員權限的員工,或者有意竊取商業機密的同仁,可能會透過安裝後門程式的方式,以遠端連線方式躲過資安設備檢查,藉此存取公司內部機密資料,進而造成企業極大的經濟損失。IBM認為要降低資安威脅事件帶來的衝擊,必需要從六大面向著手,才能強化整體資安防禦體制,保護得來不易的研發成果。

六大面向著手 強化整體資安防禦體制

首先,企業應該要回歸資安基本面,資訊人員需定期安裝修補程式,因為從現今全球各地發生的許多攻擊事件來看,多半都是沒有修補資訊系統存在各種漏洞,才讓駭客組織有可乘之機,並且造成許多嚴重個資外洩事件。因此,IBM台灣資安技術協理謝明君建議企業應該要落實前述資安基本工作,並且建置一套弱點管理系統,逐步強化自身資安體質,降低駭客入侵的發生機率。

第二個重點,企業應進行完整的事件搜集,建立內部SOC平台,才能精準掌握機密資料的存取狀況。資訊人員若沒有進行日誌搜集並做關連性分析時,勢必無法發現前述躲藏在公司內部中的各種惡意程式,導致斥資購買的各種資安設備,無法發揮預期中的效益,讓公司陷入不斷重複的資安威脅之中。部分企業會購買可提供資安監控與事件回應機制的服務,只是此類服務多半僅能定期提供報表,顯示公司內部中的前10大攻擊來源、事件類型或流量等資訊,但若資安人員未能據此進一步進行深層調查,將依然無法發現前述多層次的進階攻擊事件,也會導致寶貴資安預算白白浪費。

IBM台灣資安技術協理謝明君認為第三面向,則是應該要強化使用者資安意識訓練,減少用戶端因為人為疏忽造成的資安事件。一般而言,政府單位或金融、醫療業等,因受到主管機關要求,較常進行社交工程演練,使用者資安意識較高,自然較少發生資安事件。相較之下,製造業通常較少進行教育訓練,駭客組織只需要透過釣魚郵件,即可輕鬆攻破資安防護往。從調查結果發現,資安專家均認為培養使用者良好資安意識,是對付資安威脅好投資,所以企業在添購資安設備之餘,也該規劃定期規劃資安教育課程,才可減少必不要的人為疏忽。

至於第四件重要工作,即是做好特權帳號管理。特權帳號是資訊系統中權限最高的帳號,能存取企業內部的各種重要商業機密,但即使是資安規範嚴格的大型企業,也多半未確實做好職權區分(Separation of duty),或特權帳號的管理不夠紮實,常見到多人共用同一組系統管理者帳號密碼,若有一人離職可能就會造成安全缺口。此種狀況,在中小型製造業中更為明顯,多數資訊人員為了工作上的方便,往往會給維護廠商人員最高系統權限,所以駭客組織只要攻破合作夥伴的防禦機制,便能繞過企業的資安防護網,順利且取各種機密資料。另一個常見問題,便是資安人員沒有做好帳號的生命週期管理,以致於離職員工還能夠利用舊帳號登入系統,IBM認為唯有人事管理系統需能與其他系統連動,才能避免上述狀況發生。


在勒索軟體大行其道的年代,許多企業的備份工作因不夠完善,或即使有做備份,卻沒有進行復原測試,以致於面對前述事件時,只能被迫支付贖金,避免系統被毀於一旦。為此,建立一套完善備份復原機制絕對有其必要性,有助於減少勒索軟體帶來的衝擊,保護商業機密的安全。

至於最後一點,則是進行事件稽核記錄,找出異常連線行為。多數資安設備均會提供日誌管理功能,資訊人員若能夠善用日誌管理或資安事件管理系統,針對不同事件稽核記錄進行分析,或者與專業服務廠商合作,由資安顧問協助日誌的判讀,即可盡早早發現可疑行為,降低企業營運的資安風險。
IBM資安產品線齊全 即時抵抗駭客攻擊

企業無法阻擋駭客攻擊,主要是缺乏系統性的資安架構,多數資安人員均是在出現某種資安需求時,僅就該問題規劃相對應的資安架構,很容易造成投資的浪費。 IBM台灣資安技術協理謝明君建議企業應以關鍵資產為核心,先從了解公司最需要保護的系統著手,再藉此擬出資安投資的優先順序,自然可以達到優化工作流程與保護商業機密的目標。以時下企業關注的BYOD趨勢為例,企業若沒有一套全面性的資安策略,每當有新裝置要進入內網時,便得就重新提出管理辦法,導致員工在使用行動設備或面臨許多管制,反而失開放BYOD的目的便利性。

IBM台灣資安技術協理謝明君認為企業有一套完整且清楚的資安架構時,便能夠因應資安趨勢變化,快速調整資安設備部署方式,利用有限預算抵禦內外攻擊。而為協助企業對抗各種資安威脅,IBM早建構一套完整資安產品線,讓資安人員能夠依照企業營運需求,逐步添購所需的資安設備,保護多年來辛苦累積的研發成果。

 

IBM資安架構圖是以IBM QRadar智慧資訊安全解決方案(Security Intelligence Platform)為核心,該平台是結合日誌分析、漏洞管理與掃瞄、資料外洩鑑識的 SIEM (Security Information and Event Management)管理平台,可作為小型至大型企業組織安全營運中心內的核心解決方案,透過收集、正規化可用網路資料,與網路資料彼此的關聯性,進而產生各種有用的安全性情報。

該平台能收集來自防火牆、虛擬私有網路、入侵偵測系統、入侵防護系統等發生的安全性事件,以及身分識別和存取管理產品及漏洞掃描器的內容資料、應用程式的各種日誌,並且使用企業預先設定好的客製化規則,將些資料整併成為可管理的攻擊事件清單,作為資安人員對抗駭客攻擊的參考。


IBM台灣資安技術協理謝明君更進一步說明,網頁服務成為市場主流的狀況下,早已被駭客組織列為首要攻擊目標,特別是多數應用系統存在不少弱點,以致駭客無須花費太多功夫,即可取得各種機敏資訊或客戶資料,進而危及整個企業的安全。而IBM AppScan網頁應用程式弱點掃描軟體可協助資安團隊,測試、稽核開發中或已上線的Web應用系統,檢查是否隱含最新資安威脅,如OWASP Top10、Adobe Flash、JavaScript及AJAX等漏洞,並且能依照企業營運需求,設定全面的應用程式掃描範圍來找出弱點,再依照詳細結果以簡化補救措施。特別是該軟體提供超過40種立即可用的法規遵循報表,滿足因應PCI、GLBA、及HIPPA等法規要求,大幅降低手動測試可能產生的測試盲點弱點。

此外,在行動裝置時代來臨之際,IBM 也有專為企業設計的MaaS360行動管理平台,該平台具備跨平台管理、保護行動設備的功能,如行動設備管理、行動應用程式管理、應用安全、安全郵件服務、安全應用程式市集,安全檔案共享等。由於IBM MaaS360是一項屬於SaaS的雲端服務,企業用戶無須在公司內部架設伺服器,即可迅速取得保護行動裝置、商業機密安全的公有雲服務,能滿足不同型態的企業需求。

為有效掌握全球資安趨勢變化,IBM 亦有匯集多位資安專家而成的X-Force研發團隊,可隨時監控最新威脅趨勢變化,包括漏洞、洩漏、主動攻擊、病毒和其他惡意軟體、垃圾郵件、網絡釣魚及惡意的網頁內容,並且會主動分析動態網路威脅資料,同時透過與IBM資安設備相互串連的方式,協助企業用戶快速查看威脅、獲取深入分析和脈絡環境、設定安全事件的優先順序,預防或最小化資安威脅。因此為了大幅增加資安聯防的效益,IBM同時也推出X-Force Exchange為雲端型資安威脅情報分享平台,提供使用者快速研究最新的全球資安威脅、彙整可靠情報,讓企業享有更完善的保護機制。