精準度提高才能看到真正的威脅

2017 / 01 / 03

陳啟川

在看完Threat Intelligence（以下簡稱TI）的相關解決方案介紹後，不知道你是否有這樣的疑問，這些在TI解決方案所採用不管是惡意程式檢測、URL、IP過濾、未知行為偵測等方式不是和以往的防毒、IPS等網路閘道產品相似嗎？沒錯，從防禦機制上來看是一樣的，但是是否還有其他可以參考的做法呢？《資安人》特別專訪台灣威瑞特系統科技總經理吳明蔚分享對於TI相關解決方案還有甚麼創新進一步的思考方向。

透過客制化，提高TI精準度

台灣威瑞特系統科技總經理進一步解釋，以往資安產品所採用的是全面防禦的方式，例如防毒軟體就會收集來自全球的病毒樣本；但長久下來對系統的負擔愈來愈大，所以後來採用雲端運算的方式來維持系統運作的效能。但面對APT這種有針對性的精密攻擊，全面性的防禦方式已不足夠，因而需要藉助TI所提供更精準的威脅情資來進行阻擋。吳明蔚用一個有趣的比喻來形容，「就像你想確保居家安全的話，你不需要知道黑手黨家族有誰，反而優先掌握常在附近出沒的慣竊與不良分子會更合乎效益」。

要能讓TI的精準度提高，這就牽扯到客制化的問題，才能提供客戶所面臨的真正威脅。客制化又可再分為認識自己，與了解敵人兩方面。認識自己就是要了解企業組織所處的威脅環境為何？所以要先進行企業的網路流量分析，吳明蔚提到按照80/20的法則，大約對組織做兩星期的流量分析，就能掌握到整個企業的8成數位活動情況，然後進行風險評估與建立威脅模型，以掌握企業的威脅何在。

了解敵人的部份，因應單位屬性、或地域性的差別，其所面臨的駭客組織也會有所不同。吳明蔚舉例，像常遭到對岸駭客攻擊的公務機關，如果要使用Threat Intelligence Service（以下簡稱TIS)服務的話，就要找有針對中國駭客組織的解決方案；而像金融業的話，當然就還要考慮有來自俄羅斯的威脅情資。因此，這意謂各家廠商所提供的威脅情資，也會有其專精的領域，所以在選擇TIS的服務時，可以先和資安顧問討論一下自己適合訂閱哪家TIS情資，至於到底怎麼判斷是否有效？吳明蔚直接回答，「一定要試用，試用才知道有沒有效」。

有些TIS廠商會提到能針對不同產業、地區甚至是企業名稱等來提供專屬的客制化服務，但吳明蔚不諱言表示，除非是非常大的企業或本來就已是服務的客戶，否則要做到這點有困難。尤其對國外的廠商來說，這與其在地化程度有關，如果在台灣本地沒有配置資安人員的話，以從國外的角度來看台灣，就難以了解本地的威脅情形，而可能出現水土不服的情形。

自動化分析維持系統可操作性
至於系統的可操作性，則有賴自動化的分析與設備間的整合，讓TI情資來減少資安人力的負擔。吳明蔚強調，「TI要能與機器結合，像有些設備廠商會推出新的模組來整合TIS的情資服務以提高自己產品的偵測率」。以台灣威瑞特（Verint）的Threat Protection System（以下簡稱TPS)解決方案來說，裡面整合了10餘套資安產品或資安技術，諸如防毒、流量分析、沙盒模擬、端點鑑識等不同功能，透過這些模組彼此的關連分析，一方面粹取出高精準度的警報給使用者，同時也減少人為的介入判斷。

舉例來說，當使用者下載一個Word檔時，就會先過濾其IP、URL是否為惡意網址，接著拆解封包看有沒有使用異常的通訊協定，或透過流量分析看是否有加密連線等可疑的連線行為。當檔案下載到用戶端後，端點分析工具會檢查檔案是否藏有惡意程式，執行後如果觸發惡意連線就又多掌握新的有利證據做更多的勾稽與關聯。
每當建置新的資安方案，客戶最不希望與企業現有設備功能重複，所以在實際導入過程中，很重要的一點是資安不是單純在買產品，而是透過專案做整體防護的加強。客戶的既有設備與新購解決方案應有相當程度的整合，重點在發揮綜效提升整體防護。但吳明蔚坦誠，其實納入既有設備，因為需要再進行客制化的整合，所以就成本上來看不會比較便宜，差別只在避免重複投資的浪費及原來設備在會計上的折舊攤提費用不同。以資安顧問的立場來說，則是從技術的角度來衡量是否整合現有設備。取決的標準在於該設備的作業流程是否能「自動化」，如果不行，就需要淘汰，這樣才能達到系統的可操作性。

吳明蔚表示，以威瑞特現有用戶來看，能使用TPS這樣平台的，大多屬金字塔頂端的客戶，像是金控公司、跨國製造業，或是涉及關鍵基礎、處理機敏資料的單位。據威瑞特自己內部評估，大概得達營收上百億，或員工人數上萬的企業規模。至於台灣大多數的中小企業，他則建議可考慮委外，就像現在許多單位都把內部的清潔工作外包給清潔公司來做，讓專業的資安委外也是一個值得思考的方向。

=============== 台灣資安一隅 ==============
在新政府上任宣布以航太、造船及資安為國防產業核心，來推動國防自主政策後，吳明蔚觀察在資訊安全部分，台灣的地理位置與政經局勢，身處美、中兩大強權中間，台灣有獨特的戰略位置、經濟價值，與製造業供應鏈角色，已經成為全球在數位世界的「前線」。

我們當善用這樣的「天然資源」，增加台灣在國際間的能見度與發揮國際貢獻。他提醒傳統武器在現代戰爭中的使用有其侷限性，要發動並不容易；借鏡以色列與新加坡，讓數位科技以小博大，為不對稱戰略與國防產業做出卓越貢獻。