上篇文章重點在說明威脅情資平台(TIP, Threat Intelligence Platform)的作用,接下來就是談如何將TIP的結果以威脅情資服務(TIS, Threat Intelligence Service)的方式直接導入企業組織中,提供企業立即的安全防護。
TIS種類:Data Feed、Alert & Report
TIS大致可區分以Data Feed(資料饋送)和Alert & Report(警示報表)二種形式來提供。Data Feed是讓裝置讀的,優點在容易使用,只要部署到相關的網路設備上就能啟用防禦;而Alert & Report主要是給人看的,好處是可以從企業整體的角度進行全面性的分析。分述如下:
.支援現有設備或需要專屬設備的Data Feed
Data Feed就是將TIP分析得來的威脅情資直接匯入企業既有設備使用。簡單的說,就像防毒軟體的病毒特徵碼一樣,裡面可以是惡意URL、IP位址、攻擊弱點、攻擊軟體、信譽評等等資訊,藉由不斷的更新Feed來阻擋企業面臨的攻擊威脅。但和防毒軟體不同的是基本上防毒軟體都是使用自家的特徵碼來進行更新,所以不用考慮相容性的問題。但Data Feed的廠商不一定提供運作平台,好處是便於與企業現有設備整合,避免投資的浪費;但缺點就是有平台設備支援Feed格式與否的問題。所以在尋找Data Feed產品時Feed的格式、內容種類、支援設備平台的種類,甚至是更新頻率等都要有所了解。以下列舉一些Data Feed參考如表1。
一般說來,大部份的Data Feed都採用XML格式或另外提供API介面來與企業現有的設備進行整合,像LookingGlass的Machine-Readable Threat Intelligence與Dell SecureWorks的Global Threat Intelligence services等。另一種類型的Data Feed則是需要搭配專屬平台來運作,像是FireEye的Threat intelligence就需要搭配其NX與EX系列的硬體使用。而像以軟體刀鋒為產品特色的Check Point,則需要有Threat Prevention系列的軟體模組(例如Antivirus或Anti-Bot),才能在其ThreatCloud IntelliStore的平台上,按照企業所屬不同的產業別、威脅型態、和地區別去選擇所要的Data Feed,接著就會透過ThreatCloud將Feed部署到Check Point的閘道裝置上,在不用更改現有政策的情況下增加TIS的防護。
.警示(Alert)與報表(Report)
至於威脅警示與分析報表,有些廠商則把它當作是一種進階版的TIS服務。像FireEye只有在ATI才提供攻擊警示服務,而ATI+則包括攻擊警示與分析報表的功能。Symantec DeepSight Intelligence雖然在標準版就有Email警示,但只有在企業版以上版本才提供分析報表。其實企業定期或不定期收到的資安分析報告應該不少,重點在這些報告是否經過客製化,也就是針對企業所屬的產業別或環境等需求所產出的分析報表,對企業來說才真正具有參考價值。
企業評估建議
當企業組織面臨如何選擇TI(包括TIP、TIS)的解決方案時,以下建議可以從3個步驟,兩個面向來進行。3個步驟依序是自我評估、釐清需求與了解產品;其中第1、2步驟指是內在條件的衡量,第3步驟則是外在產品的評估。
這裡要再度提醒讀者,不管是TIP或TIS其目的應該是要強化企業現有的防護機制,以更有效、快速的方式來阻擋攻擊威脅,而不是增加現有IT人力的負擔。所以自我評估時要先盤點自己擁有哪些資源?包括專業人力、預算、IT架構等。舉例來說,資安團隊是否有足夠的時間與技術來執行TIP的維運?有時間去仔細閱讀廠商所提供的分析報告?並對報告內容採取適當的回應?企業目前有哪些設備?這些設備是否支援TIS的服務?最可能遭遇什麼攻擊?
了解自身的情況後才有助於釐清企業的需求在哪。像是需要建置TIP平台還是直接採用TIS服務?要在現有閘道設備上導入Data Feed服務?如果沒有類似的平台,是否考慮能整合Data Feed產品的解決方案?
最後就是針對外在的產品進行評估。首先價格當然是考量重點之一,尤其像Data Feed的計價方式各家或有不同,可能影響的因素有Data Feed的種類或版本差異、使用人數、訂閱天數等,而有些需搭配專屬設備的TIS服務,有的會以設備本身價格的比例來做為計價基準,這些都要先詢問廠商。再來就是廠商所提供的情資或分析報告是否有參考價值?有些廠商會強調其報告會依照客戶的環境、產業別與所面臨的攻擊等情況來進行客製化,但客製化的程度有多深?這與供應商對客戶所處的產業、環境等是否真的了解有關,這方面可從廠商過往所服務過的客戶與處理過的相關事件來做一個比較。
企業IT/資安人員的價值何在?
身為資安人員如果說事事都仰賴資安公司所提供服務的話,那到底自己的專業與價值何在?其實資安人員應該體認自己的專業與價值不是在弱點研究與攻擊分析上,資安人員該專注的應該是自己在「企業內」的價值所在。因為再厲害的資安專家也未必能馬上了解你企業內部整個IT架構,只有你才了解你組織內的IT部署,只有你才知道公司的整個商業流程的運作,與需被保護的珍貴資產(有形與無形)所在,這才是企業IT人員更應具備的專業。至於攻擊手法與情資的深入分析還是交給更專業的資安研究人員來吧,訓練有素的他們會做的比你更快、更好。
所以資安人員應把目光聚焦在如何做好組織與廠商間的橋樑,將廠商技術整合到組織IT架構內,讓既有設備發揮最大的價值。在協助廠商做好服務的同時,也衡量這些所謂的客製化內容是否對企業真的有幫助,而不是一味聽取廠商的銷售話術,如何讓企業的資安投資得到最大的效益與效果才是展現專業判斷所在。
上集:料敵機先 事件處理早一步做