歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
資安事件防禦與應變能力
2018 / 11 / 15
編輯部
善用科技工具與服務來即時監控網路活動,透過機器智慧分析能力,及早發現可疑的網路活動,並提出警示供管理者判斷,若確認是不正常的網路活動,便分析活動的源頭,及時加以攔阻,避免事件擴大,若發現系統漏洞,也以最短的時間加以修正,才能避免類似的攻擊行動再度發生。
由內而外、由下而上全面建置資安防護管理中心
針對「資安事件處理策略」,可以先從領域SOC實務建置索引談起,從最基層的CI提供者層級,再往上到領域SOC層級,最高則到N-SOC層級,層層向上回報資安事件的情資,由「資訊分享與分析中心(Information Sharing and Analysis Center, ISAC)」、「電腦緊急應變團隊(Computer Emergency Response Team, CERT)」、「資安作業中心(Security Operation Center, SOC)」與「資安託管服務供應商(Managed Security Service Provider, MSSP)」負責監看情資與事件調查工作。
安碁資訊資深經理孫明功表示,區域聯防中心整體架構則是從衛星縣市的SOC(委外或自建),向上到區域聯防中心,由SOC負責事前預警監控,CERT負責事中通報應變,ISAC負責事後分享回饋,然後再往上到國家層級的N-SOC、N-CERT、N-ISAC,建構出完整的區域聯防中心架構。SOC成立目的便在於進行集中監控,以便從異常徵兆找出資安事件,新世代的Intelligent SOC架構,則可從資安事件中進行分析,威脅監控中心則可透過大數據平台、長時間軸分析、情資研究中心、機器學習、端點偵測回應,應用機器學習演算法進行偵測,然後進行整體分析,達成全方位的資安防護。
及早找出資安鏈的短板,補上缺口
大多數單位都著重在外圍防護的資安工作,例如建立邊界網路、閘道設備、防火牆、防入侵、防毒、郵件防護、網址防護、內容過濾等工作,但進階持續性滲透攻擊(Advanced Persistent Threat, APT)則會透過釣魚郵件、水坑式攻擊、木馬等方式,滲透到內網,因此需要進行內城防禦,進行設備行為分析(User and Entity Behavioral Analytics,UEBA)方案、駭客攻擊行為分析、惡意程式基因分析、終端偵測與防火牆聯防,才能夠擋住駭客的入侵。
合勤投控資訊服務處游政卿協理表示,由於各階段的駭客行為都有其特徵,因此只要累積紀錄駭客的行為,便可以建立行為特徵資料庫,累積威脅行為積分,當嫌疑指數超過臨界值時,便發送警報,並開始圈制駭客、保留受害現場,著手進行分析與數位鑑識,進一步優化駭客行為資料庫,將威脅程式納入DNA資料庫,便可以進一步檢測出駭客的攻擊行為,及早進行防堵。此外,還必須定期查核系統弱點,取得存在弱點亟待修補的電腦清單,找出資安鏈的短板,補上缺口,才能讓駭客無可趁之機。
事實上,世界上沒有絕對安全的系統,我們能做的是當事件發生時盡快修復,群暉科技產品經理江瑞敏表示,以群暉成立的產品資安事件應變小組(Product Security Incident Response Team,PSIRT)為例,其工作便是當發現產品漏洞時,能夠在最短的時間加以修復。例如SambaCry漏洞在24小時便推出了修正檔,HeartBleed漏洞也在48小時加以修復,CVE-2017-14491漏洞與Krack漏洞也都在24小時修復。想要做到這麼短的時間做到漏洞修正,便是透過「事件回應流程」來達到,Mike Jiang表示,首先便是發現漏洞之後,PSIRT會透過不同的來源,收集事件的相關資訊,並判斷這些資訊的正確性與可信度,評估這個漏洞的嚴重性,並討論出修復的時間表,接著由研發人員展開修補作業,PSIRT則會從旁輔助,並檢視修復的成品有無其他的問題,然後在上線推出安全性更新供用戶下載。
此外,群暉還透過紅綠燈協定來控管與分類資訊的敏感程度,透過用顏色來區分資訊的等級,像是紅色代表非常敏感的資訊,會對公司的隱私、商譽與營運帶來影響,只有公司內相關的人才能分享相關資訊;琥珀色則代表敏感性較低一些,可以在公司內部進行分享,但若洩漏到公司之外,也會對公司造成一定程度的影響;綠色則代表可以分享給公司外部的人,但不要公開地分享給不相干的人;白色則代表該訊息可以在版權允許的狀況下,分享給所有的人。這種資訊管理方式,可以清楚又明白地讓所有人知道資訊的敏感程度,值得給資安管理人士參考。
資安事件
防禦
最新活動
2025.02.19
2025資安365年會
2025.02.15
2025年ipas資訊安全工程師(初級/中級)-能力培訓班
看更多活動
大家都在看
美國CISA發布OT安全採購指南:強調12項關鍵產品安全要素
駭客利用SPF DNS設定錯誤建立MikroTik殭屍網路散布惡意程式
Microsoft 推出 2025年1月 Patch Tuesday 每月例行更新修補包
美國FTC提告GoDaddy長年網路安全防護不足
美國CERT示警:420萬台設備存在通道協定漏洞,VPN和路由器皆受影響
資安人科技網
文章推薦
思科修補Meeting Management重大權限漏洞,可導致遠端提權攻擊
Cloudflare CDN漏洞恐洩露用戶位置資訊
OT與IT系統融合:資安環境新挑戰