https://twcert2024.informationsecurity.com.tw/

觀點

[專訪] 打造資安戰情中心 MSS迅速掌握企業資安威脅

2017 / 10 / 30
編輯部
[專訪] 打造資安戰情中心 MSS迅速掌握企業資安威脅

現代企業高度仰賴數位科技,因此網路威脅所造成的IT中斷或資安事故,便成為企業極需避免的營運風險之一。在媒體不斷的報導與呼籲下,國內企業愈來愈重視資安防護,陸續建置像防火牆、入侵偵測系統、端點安全等縱深防禦機制;但吊詭的是,即使部署了許多產品,但企業依然發生資安事件,甚至有日漸嚴重的趨勢。

過多訊息 反成為資安的盲點
為何花費大筆經費購買的設備沒有發揮預期的效用?關鍵在現今企業內部缺乏專業資安人員,且資安工作常由MIS所兼任;由於組織人力與技術能力的不足,而且過多且龐雜的設備訊息,反而造成了資安管理上的「盲點」,造成資安事件層出不窮。

華電聯網資安產品應用部經理杜偉欽指出,企業建置了許多資安設備,但因為人力不足或是跨單位資訊無法及時傳達的緣故,發生資安事件的當下,往往無法將這些訊息立即進行交叉比對與關聯式分析。而且不同的資安設備需要花很多的時間在不同管理畫面中切換,管理人員需要花費大量時間才能發現問題所在。此時企業需要的是像戰情中心的監控平台,建構資安縱深防禦方式,透過可視性行為分析模組,監控及分析從資訊安全事件與網路流量封包所有內容,快速查詢來自於內部與外部的安全威脅,讓管理人員能立即明瞭企業內部目前資訊環境安全危害等級的狀況,自動化通知相關負責人,立即處理問題。例如某個IP觸發了哪些安全模組?到底此威脅從何進來?感染了什麼裝置?這些訊息都能從戰情中心平台上一目瞭然,做到事前預防、事中防護、事後軌跡追蹤與鑑識。

以往這些需求通常得透過SOC(Security Operation Center)資安監控中心才能做到,但建置SOC所需的經費與專業不是一般企業所能負擔,而原廠設備提供的儀表板資訊又不足。因此身為Cisco亞太區第一家輔導的資安廠商華電聯網推出MSS(Managed Security Service)資安管理服務,以資安專業為服務核心,整合多項防護產品的功能,並與惡意情資中心結合,以解決企業當前所面臨複雜的攻擊威脅。華電聯網資通產品及資安服務處資深協理楊仁吉表示,其實MSS做的就是一個類似Mini SOC的小平台,以收容分析安全設備的各項資訊與網路流量,但在成本上又不用到一般的SOC如此龐大。讓MIS人員只需要在桌上設置兩、三個螢幕,平常還是做自己原來的工作,但當有警訊或事故發生時,能透過儀表板迅速掌握內部的安全狀況,以「最少人力完成最高價值」。

彈性的MSS服務架構
MSS服務的產品架構是以Splunk平台為基礎,用以接收不同設備的資料與網路流量進行關連式分析。然後再搭配Cisco 的StealthWatch、FirePower、AMP for endpoints、Umbrella 4項產品,接著MSS平台便可透過四項產品的防護功能提供包括異常行為、惡意軟體、AMP端點、政策違反等14項預設的功能模組。

對於沒有購買任何Cisco設備與Splunk服務的客戶,華電聯網提供3種MSS版本。專業版只需購買Splunk平台,旗艦版則除了Splunk外,還包含StealthWatch(4個功能模組)、FirePower(8個功能模組)。尊爵版則是在旗艦版上再加入Umbrella(保護傘模組)和AMP for endpoints(AMP端點模組)。不同版本的MSS服務除了具備不同預設的功能模組外,尊爵、旗艦版還提供MSS的免費資安健診服務。

釐清需求是導入成功的重要因素
MSS導入過程一開始還是先以Cisco的設備為主,接著才加入像F5、A10、Fortinet、Bluecoat等企業現有的資安網路異質平台。目前華電聯網已具備許多知名大廠產品的客製化模組,讓企業能迅速將現有裝置的log整合到MSS之中。最後再結合實體安全的內控系統,滿足像支付卡產業資料安全標準(Payment Card Industry Data Security Standard,簡稱PCI DSS)、ISO27001等法規遵循上的稽核需求。

華電聯網資通產品及資安服務處資深協理楊仁吉強調,MSS要能順利導入,一定要先和客戶訪談,了解有哪些設備需納管?想看到什麼資訊?需要什麼功能模組?藉此評估需要哪些軟、硬體?然後透過log樣本輸入到原型(prototype)儀表版中,來看是否符合客戶的需求。確認無誤後才開始實際進行專案,並定期回報客製結果,最後進行現場導入將設備資訊收入MSS平台中。

彰顯企業IT的商業價值
原廠以設備為出發的文字化描述,較少視覺化的呈現效果;SI則是偏向單一產品。相較之下,華電聯網向來以經營客戶專案為主,累積多年異質平台的整合經驗所推出的MSS資安管理服務,不只是提供客戶資安防護的需求,還能進一步結合IT維運,強調IT營運的可視性與洞察力,具體彰顯企業IT的商業價值。

例如整合印表機的資訊,不但能監控員工是否合法列印文件,還能提供總務部門紙張耗材的採購數量,進一步達到節省成本的實際效果。而透過MSS提供的顧問服務,也能讓管理人員了解目前企業尚自缺乏哪些安全防護,即便客戶無法馬上購置,也能讓企業明白所需承擔的風險有哪些?並將相關的告警訊息呈現在儀表板上,以免讓企業暴露在完全未知的攻擊風險中。

在建置各項防護措施外,企業還需要一個能整合不同設備的管理平台,將既有防禦機制進行縱向與橫向的串連,以主動協同式的偵測快速比對分析事件的資訊才能讓企業內部資安人員能夠從單點防護擴至整個資安層面看得既廣且深,還原出駭客入侵的路徑原貌,真正了解內部的資安狀況,才能解決資安隱憂。