2016年2月孟加拉中央銀行在美國紐約分行的帳戶,爆發遭駭客成功轉走高達1億美元資金,造成史上最大宗銀行竊案之一。根據事後調查指出,孟加拉央行因遭到駭客組織入侵,以至於帳戶驗證資料、密鑰,還有其轉帳詳細流程與方法被竊取,才能順利完成前述工作。而IBM Qradar則具備串連各品牌資訊社播的能力,所以自然可察覺異常存取行為的能力,可在狀況發生第一時間立即阻止,降低企業的營業損失。
在獲取龐大經濟利益的前提下,駭客早已揚棄過去單打獨鬥的作法,而是以企業化經營理念採取分工合作概念,搭配不斷進步的精準型攻擊手法,讓企業面臨愈來愈嚴重的資安威脅。根據IBM統計結果顯示,2015年全球資料外洩數量達到6億筆以上,且每一筆資料外洩平均成本更達到379萬美元以上,預計2019年網路犯罪將造成2.1兆美元的損失。
儘管多數企業內部都有為數不一的資安設備,如防火牆、反垃圾郵件主機,也不斷強化員工的資安意識,但似乎仍然無法有效阻擋惡意程式入侵,主要肇因於駭客組織攻擊手法愈來愈精準與細膩,因此能夠躲過傳統資安設備的偵測與圍堵,成為資訊人員揮之不去的夢魘。舉例而言,早期駭客組織多半以攻擊作業系統為主,近來則將攻擊目標鎖定防護能力較若的應用服務,期望利用資安人員的疏忽取得高權限帳號後,再伺機竊取企業內部重要資料。
凱信資訊協理林文泰指出,在高權限帳號攻擊手法外,APT亦是讓企業聞知喪膽的先進攻擊手法。駭客組織通常會先觀察特定企業的動態,利用多款特定惡意程式相互掩護與偽裝,在躲過防火牆、IPS設備的檢查後,長期潛伏於公司內部網路之中,再伺機收集各種商業機密與個資,並偷偷將資料傳送到C&C中繼站之後,方便駭客組織販售牟利。根據多述資安專家分析發現,潛伏期間可能長達數百天以上,導致企業經濟損失根本難以估計,也凸顯新型態惡意程式確實不容易防堵。而近來不斷爆發的勒索軟體,同樣讓資訊人員頻於應付,也凸顯打造新一代資安防護架構的重要性。
IBM QRadar SIEM功能完整 可整合異質資安設備
凱信資訊認為要對抗攻擊手法不斷翻新的資安威脅,唯有仰賴資安設備之間的協同運作,只是各品牌設備之間缺乏一套協同運作機制,因此即便有資安設備偵測到異常存取行為,也無法將資料分享給他牌的設備。而在Gartner資訊安全與事件管理平台魔術象限中,被評選為最佳的IBM QRadar SIEM ,則能打破品牌之間的資料傳輸限制,可將不同品牌的資安設備串連,共享寶貴的資安安全訊息,以便能夠在發現異常存取行為的第一時間,找到潛伏於企業內部中的惡意程式。
IBM QRadar SIEM是結合日誌分析、漏洞管理與掃瞄、資料外洩鑑識的管理平台,可作為小型至大型企業組織安全營運中心內的核心解決方案,透過收集、正規化可用網路資料,與網路資料彼此的關聯性,進而產生各種有用的安全性情報。該平台能收集來自防火牆、虛擬私有網路、入侵偵測系統、入侵防護系統等發生的安全性事件,以及身分識別和存取管理產品及漏洞掃描器的內容資料、應用程式的各種日誌,並且使用企業預先設定好的客製化規則,將些資料減併成為可管理的攻擊事件清單。
林文泰解釋,當尤其IBM QRader SIEM進一步與IBM X-force平台串連之後,便可取得最新全球威脅型報,並且分享給其他資安設備使用,達到擴大協同防禦的效果。而凱信資訊在客制化服務有非常多年經驗,能夠依照不同產業與設備特性,快速將各資安設備與IBM QRader SIEM串接,協助企業快速打造新一代防禦機制。
善用IBM BigInsights、IBM Guardium 保護資料安全滴水不漏
鑑於駭客入侵管道多元化,許多社交平台也成為散播惡意程式的溫床,IBM更進一步基於開源Apache Hadoop平台,推出可以收集與分析非結構資料的IBM BigInsights平台解決方案。該平台具備處理結構化、半結構化以及非結構化資料的處理能力,可以從各種社群平台、資料庫之中進行交叉比對與分析,一旦發現有惡意威脅存在,便會立即回報給IBM QRader SIEM,藉此啟動公司內部的資安協同防禦機制。
在新版個資法上路之後,企業必須展現保護個資的決心,才能在發生資料外洩事件時,將可能面臨的罰則降到最低。而IBM Guardium 正是針對資料外洩事件頻傳,所設計新一代監控與行為分析軟體,能提供管理員最即時資料外洩分析與處理、資料運用與保護等,協助企業掌握多個資料庫的安全狀態。該軟體支援常見的資料庫平台,包含SAP HANA、 Cloudra、BigInsight 等,在無須改變資料庫參數與應用程式配置的狀況下,可完整監控所有資料庫存取狀況。特別是該軟體提供無法篡改審核日誌資料的功能,可讓資料庫符合安全性、獨立性、不可否認性、說服性等安全標準,同時讓企業用戶能夠依照法規變化,快速產生合適的報表與管理機制。
林文泰認為,在各種資安威脅不斷發生的狀況下,企業用戶絕對不可能靠單一資安設備,應付日趨複雜的攻擊行為,也不可能百分百阻擋惡意程式入侵。因此,應該先從建構協動防護機制著手,再依照企業自身的營運特性,逐步添購所需的設備,才可能將資安風險降至最低,而凱信資訊正式企業用戶最佳的合作夥伴。