一位資安從業人員,大概都會有夜半突然被吵醒的噩夢,因為你永遠不會知道,下一次的攻擊會在什麼時候,或是資安事件會用什麼方式呈現。資安圈也常流傳著,駭客是不需要申請核准後才會購買防火牆。我們從國外的案例中也不斷強調預防勝於治療,這聽起來很簡單,但是要執行起來,又要怎麼做呢?
整合依舊是個困擾
理論上而言,目前駭客的攻擊已經不是單一的行為,他們甚至於會將攻擊的潛伏期拉長,因此他們也將有更充裕的時間,去做更多試探性的動作,如果資安人員夠機警的話,那就很有可能在事件還沒有造成傷害之前,提前將駭客的行為加以阻擋。談到此,第一個難題就出現了。資安人員從以往只需照顧好網路流量增進到現在每各節點、通道、主機、應用系統,甚至連使用者端都需要加以考量,然而,光要把這幾個部分的事件紀錄一一保存起來,就是一個大工程,外加資安人員還需要內部彼此溝通,讓全體單位整合。以資訊科技進步的今天,我們單從內部整合的過程中,就可以發現其實還有很多的路要走,也發現到系統內還有很多的紀錄依舊處於未處理的階段,這不但是資安人員心中的痛也是一大困擾。
設備到位,人員技術能力也需到位
從企業老闆或是高階主管的角度來思考,簡單明瞭的報告是他們最期待的,最好能透過數據分析與簡單易懂的圖表與說明來取代一堆艱澀難懂的技術名詞。「讓投資是有回報」這是每一位老闆基本對資訊人員的要求,然而對於資安人員啟動資安預防的作法、系統導入、軟體安裝、網路規劃與監測網路狀況等……這些如何能夠具體呈現呢?如何執行呢? 當然,資安人員可以採用最克難的方式,自己開規格、寫程式,但也可以購買現成的工具軟體。切記,如果購買現成的工具軟體,記得要有很好的擴展性,也就是不能工具建置完了,廠商就已經收手或是被其他公司轉賣,還是無法隨著軟、硬體升級而有所更新。
建置事件管理的過程中,同時也要訓練事件處理人員,訓練他們去辨別那些產生出來的紀錄是重要的,也別忘記了更重要的是人為的判斷,例如,並非要把所有伺服器、應用系統的紀錄都保存,然後做一個簡單的介面存取就可以了,而是要找出真正有可能對資訊環境造成影響的紀錄,將這些紀錄萃取出來後,還要經過人為的分析與判定,如此事件管理才能夠發揮一加一大於二的效果,真正達到事件管理的功用。
有些紀錄可能和系統、網路間都有關聯性的,如何找出這些關聯性,並且能夠達到預先示警的功能,資安人員除了要有資安基礎外,還要有相對的產業經驗,同時不斷吸收國內、外相關的案例,不斷的加以充實改進。當然,提供工具的服務廠商也是重要的一環,如此一來,當有了這一套事件管理軟體工具才能夠真正發揮所用。
結論
資安事件管理真正的目的平日做好事先防範與準備外,訓練資安人員有著高度警覺性的習性也是重要。如果很不幸真的發生資安事件,也一定要全盤重新檢視到底問題得根源出在什麼地方,針對有發現疑慮的地方加以調整改善,並且將資安事件管理強化。我們都不希望資安事件發生,但我們都希望能妥善利用工具,將損害降到最低。
【IBM資訊安全事業部 錦囊袋】
讓企業主的投資有回報
SIEM融入AI 朝智慧化、自動化發展
全球資安攻擊事件層出不窮,然在全球資安人才短缺日益嚴重下,對企業資安整體策略更帶來嚴峻挑戰。IBM資訊安全事業部協理金天威表示,一套功能完善的資安事件管理 (Security Information Event Management,簡稱SIEM),可以即時辨識威脅行為、當下提出警示外,更需觸發具備控制能力的防火牆、IPS等資安設備,立即執行阻斷,藉由運用聯合防禦機制,對抗無所不在的威脅,同時降低資安事件造成的損害。
金天威進一步表示,因應資安趨勢的變化,Gartner在2017年評鑑市售SIEM平台時,特別強調面對駭客攻擊手法不斷精進、企業內部資安人員又嚴重短缺的雙重挑戰,該產品是否能協助用戶從大量資安威脅訊息,找到潛藏於其中的真正威脅,有效免於惡意程式的威脅。同樣地,駭客攻擊手法朝多元化發展,新世代SIEM 解決方案也融入人工智慧(AI)的概念,朝向智慧化、自動化的方向發展。舉例來說,SIEM將會先利用雲端資源提供簡單、隨時可得的安全防護,再透過協同合作方式,與其他資訊設備分享與善用威脅情資,並減輕資安人才缺乏的壓力。具備整合視角的即時呈現,可以讓企業主們能明確感受到投資於先進資安事件管理系統的回報。
以連續9年獲得Gartner SIEM魔力象限領導者的IBM QRadar為例,它提供多項進階功能,包括使用者行為分析(User Behavior Analytics, UBA)、網路活動與異常檢測分析 (Network Insights)、機器學習(Machine Learning)分析應用等。此外,藉由IBM Security App Exchange平台協助,可大幅拓展與第三方合作夥伴工具的整合能力,搭配 IBM X-Force Exchange 威脅情資、IBM Resilient 安全事件回應平台,可將偵測與事後回應工作密切結合,為企業提供完整的安全處理機制。金天威指出,除了前述的進階分析功能外,IBM QRadar Data Store讓企業建立具成本效益的日誌數據湖,IBM提供無限數量的日誌存儲,支持企業進行深度報告和分析,不計較存取流量許可,企業組織能夠基於存儲的數據建構自定義的應用程式和報告,解放企業數據,擁有更高的掌控度。
希望進一步了解或免費試用IBM QRadar,
請前往:https://www.ibm.com/tw-zh/marketplace/ibm-qradar-siem
相關文章請造訪
<[資安小錦囊] 內部威脅 您清楚了嗎?>及<[資安小錦囊] 資安計畫怎麼訂?>