https://newera17031.activehosted.com/index.php?action=social&chash=0245952ecff55018e2a459517fdb40e3.2287&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=1baff70e2669e8376347efd3a874a341.2327&nosocial=1

觀點

[專訪]健全的企業資安事件回應平台

2018 / 01 / 12
編輯部
[專訪]健全的企業資安事件回應平台

將人員、流程和技術進行緊密整合的自動化平台,能夠立即針對安全警示採取動作、提供寶貴的情報與事件脈絡,讓安全團隊以最有效率的方式進行處理與回應。

近年來,儘管各企業不斷強化資安防護機制,但似乎仍然無法降低資安事件發生,尤其是預算充足的大型企業,更易成為駭客組織的攻擊對象。如2016年底Dropbox爆發高達6800 萬用戶帳密被盜、2017年Yahoo坦承有30億用戶資料遭竊,而全球最大共享圖片網站-Imgur,亦發生遭駭客入侵事件,導致高達近170萬用戶資料外流。前述三大資安事件的共同點,都是在多年前即遭到駭客入侵,但可能當時沒有發現入侵行為或後續處理方式不當,才會讓受害狀況如雪球般的愈滾愈大。

IBM資訊安全事業部協理金天威表示,傳統企業資安防護策略著重在防禦、偵測等兩大步驟,卻忽略後續回應的重要性,因此當發現惡意程式入侵之後,只能仰賴專業技術顧問的協助。然而現今資安事件影響層面非常廣泛,以即將在2018年實施的歐盟通用資料保護規則(EU General Data Protection Regulation,GDPR)為例,只要網站或服務會提供歐盟民眾瀏覽使用,或者是會搜集、處理和利用歐盟公民資料的企業或組織,都得強制遵守前述法規,違反的話將會遭致鉅額罰款。

換句話說,當企業爆發資安事件時,不只是技術的問題需要解決,更要考慮這些事件對業務與企業品牌形象造成的全面傷害。需要一套可提供回應方式的標準處理流程,協助所有相關人員、高層營運團隊等等,立即進行妥善的處理,將對公司營運的衝擊與傷害降到最低。而IBM推出的IBM Resilient事件回應平台 ,是一個將人員、流程和技術進行緊密整合的自動化平台,能夠立即針對安全警示採取動作、提供寶貴的情報與事件脈絡,讓安全團隊以最有效率的方式進行處理與回應。

融合多國相關法規與行業標準 協助企業因應資安威脅
IBM Resilient事件回應平台 (Incident Response Platform, IRP) 的最大優勢,在於以安全事件為導向,通過內置的行業標準和最佳實踐,將回應流程整體細化、分解,視嚴重程度與牽涉到的部門,通知IT、業務部門主管、法務、行銷公關、甚或上報到總經理、董事會等各相關人員採取行動,並對流程進展狀況進行監控,幫助企業快速進行安全事件的應急回應。特別是在確認攻擊類型後,IRP會以企業IT資產為單位,將回應流程進行細緻的分解,並下發給IT維運部門,分解後的回應流程可以大致分為人工和自動兩個大類。



Resilient Incident Response Platform 事件回應平台

目前IBM Resilient事件回應平台採用半人工、半自動化的設計,兩種方式結合後可使得整個處理進度變得更加可控,尤其該平台對整個事件回應流程的定義是完全開放,企業可以根據自身網路環境、特殊的業務需求和相關標準來添加自訂流程,將企業需要的流程與標準自訂到Resilient的IRP平台上,並作為可重複運用的資產,在不同企業或子公司之間進行共用。

金天威指出,對於公司規模不大,但是產品銷售或服務都遍及世界各國的企業而言,要精準掌握各國法規非常困難。而IBM Resilient事件回應平台已預先內建多國相關法規與最佳實踐,例如台灣的個資法規定也已經在內建資料庫之內,可協助企業快速釐清法規問題,同時給予相關的處理建議,作為企業處理資安威脅事件的參考。

整合資安威脅設備 強化事件回應能力
IBM Resilient事件回應平台可與市面上多品牌的Threat Intelligence威脅情報進行整合,包含IBM X-Force Exchange、Symantec DeepSight、FireEye iSight、VirusTotal等,讓資安人員在調查事故過程中,可輕易了解目前被攻擊的來源以及其相關的攻擊資訊,以有效阻止資安事故的發生。

此外,IBM Resilient事件回應平台和IBM QRadar可透過搭建虛擬環境,和企業內部驅動的滲透/眾測兩種方式,進行資安事件回應的演練。虛擬環境本身可由IBM QRadar對某些規則的演練,或者測試網路環境的搭建來完成,而在滲透/眾測情況下,企業可透過外包的方式,邀請滲透測試團隊駐場測試,或者是在協定測試基線的前提下(不觸碰業務資料等)進行眾測,對企業網路進行攻擊演練與測試。

金天威認為,IBM QRadar是IBM安全免疫體系的大腦,也是終端、資料庫、身份管理等對應安全設備間聯動的核心。在SOC/SIEM定位攻擊及受影響資產及其狀態等資訊後,每個確認攻擊的詳細資訊都可發送到IRP平台,自動生成並開始啟動事件回應流程。在完成某個攻擊引發的安全事件的應急回應後,整個處理過程的相關資訊,包括對應攻擊類型、回應流程細節、下發和完成時間等資訊,都會被IRP平台詳細記錄。

而IBM Resilient事件回應平台可以自動將整個回應過程評價量化,並提供相應報表的生成,這除是對安全部門的監督外,也是IT維運團隊在回應資安事件的一個具體成果表現。

圖片資料來源:IBM提供