觀點

資安事件防禦與應變能力

2018 / 11 / 15
編輯部
資安事件防禦與應變能力
善用科技工具與服務來即時監控網路活動,透過機器智慧分析能力,及早發現可疑的網路活動,並提出警示供管理者判斷,若確認是不正常的網路活動,便分析活動的源頭,及時加以攔阻,避免事件擴大,若發現系統漏洞,也以最短的時間加以修正,才能避免類似的攻擊行動再度發生。


由內而外、由下而上全面建置資安防護管理中心
針對「資安事件處理策略」,可以先從領域SOC實務建置索引談起,從最基層的CI提供者層級,再往上到領域SOC層級,最高則到N-SOC層級,層層向上回報資安事件的情資,由「資訊分享與分析中心(Information Sharing and Analysis Center, ISAC)」、「電腦緊急應變團隊(Computer Emergency Response Team, CERT)」、「資安作業中心(Security Operation Center, SOC)」與「資安託管服務供應商(Managed Security Service Provider, MSSP)」負責監看情資與事件調查工作。

安碁資訊資深經理孫明功表示,區域聯防中心整體架構則是從衛星縣市的SOC(委外或自建),向上到區域聯防中心,由SOC負責事前預警監控,CERT負責事中通報應變,ISAC負責事後分享回饋,然後再往上到國家層級的N-SOC、N-CERT、N-ISAC,建構出完整的區域聯防中心架構。SOC成立目的便在於進行集中監控,以便從異常徵兆找出資安事件,新世代的Intelligent SOC架構,則可從資安事件中進行分析,威脅監控中心則可透過大數據平台、長時間軸分析、情資研究中心、機器學習、端點偵測回應,應用機器學習演算法進行偵測,然後進行整體分析,達成全方位的資安防護。
及早找出資安鏈的短板,補上缺口
大多數單位都著重在外圍防護的資安工作,例如建立邊界網路、閘道設備、防火牆、防入侵、防毒、郵件防護、網址防護、內容過濾等工作,但進階持續性滲透攻擊(Advanced Persistent Threat, APT)則會透過釣魚郵件、水坑式攻擊、木馬等方式,滲透到內網,因此需要進行內城防禦,進行設備行為分析(User and Entity Behavioral Analytics,UEBA)方案、駭客攻擊行為分析、惡意程式基因分析、終端偵測與防火牆聯防,才能夠擋住駭客的入侵。

合勤投控資訊服務處游政卿協理表示,由於各階段的駭客行為都有其特徵,因此只要累積紀錄駭客的行為,便可以建立行為特徵資料庫,累積威脅行為積分,當嫌疑指數超過臨界值時,便發送警報,並開始圈制駭客、保留受害現場,著手進行分析與數位鑑識,進一步優化駭客行為資料庫,將威脅程式納入DNA資料庫,便可以進一步檢測出駭客的攻擊行為,及早進行防堵。此外,還必須定期查核系統弱點,取得存在弱點亟待修補的電腦清單,找出資安鏈的短板,補上缺口,才能讓駭客無可趁之機。

事實上,世界上沒有絕對安全的系統,我們能做的是當事件發生時盡快修復,群暉科技產品經理江瑞敏表示,以群暉成立的產品資安事件應變小組(Product Security Incident Response Team,PSIRT)為例,其工作便是當發現產品漏洞時,能夠在最短的時間加以修復。例如SambaCry漏洞在24小時便推出了修正檔,HeartBleed漏洞也在48小時加以修復,CVE-2017-14491漏洞與Krack漏洞也都在24小時修復。想要做到這麼短的時間做到漏洞修正,便是透過「事件回應流程」來達到,Mike Jiang表示,首先便是發現漏洞之後,PSIRT會透過不同的來源,收集事件的相關資訊,並判斷這些資訊的正確性與可信度,評估這個漏洞的嚴重性,並討論出修復的時間表,接著由研發人員展開修補作業,PSIRT則會從旁輔助,並檢視修復的成品有無其他的問題,然後在上線推出安全性更新供用戶下載。

此外,群暉還透過紅綠燈協定來控管與分類資訊的敏感程度,透過用顏色來區分資訊的等級,像是紅色代表非常敏感的資訊,會對公司的隱私、商譽與營運帶來影響,只有公司內相關的人才能分享相關資訊;琥珀色則代表敏感性較低一些,可以在公司內部進行分享,但若洩漏到公司之外,也會對公司造成一定程度的影響;綠色則代表可以分享給公司外部的人,但不要公開地分享給不相干的人;白色則代表該訊息可以在版權允許的狀況下,分享給所有的人。這種資訊管理方式,可以清楚又明白地讓所有人知道資訊的敏感程度,值得給資安管理人士參考。