資安事件防禦與應變能力

2018 / 11 / 15

編輯部

善用科技工具與服務來即時監控網路活動，透過機器智慧分析能力，及早發現可疑的網路活動，並提出警示供管理者判斷，若確認是不正常的網路活動，便分析活動的源頭，及時加以攔阻，避免事件擴大，若發現系統漏洞，也以最短的時間加以修正，才能避免類似的攻擊行動再度發生。

由內而外、由下而上全面建置資安防護管理中心

針對「資安事件處理策略」，可以先從領域SOC實務建置索引談起，從最基層的CI提供者層級，再往上到領域SOC層級，最高則到N-SOC層級，層層向上回報資安事件的情資，由「資訊分享與分析中心（Information Sharing and Analysis Center, ISAC）」、「電腦緊急應變團隊（Computer Emergency Response Team, CERT）」、「資安作業中心（Security Operation Center, SOC）」與「資安託管服務供應商（Managed Security Service Provider, MSSP）」負責監看情資與事件調查工作。

安碁資訊資深經理孫明功表示，區域聯防中心整體架構則是從衛星縣市的SOC（委外或自建），向上到區域聯防中心，由SOC負責事前預警監控，CERT負責事中通報應變，ISAC負責事後分享回饋，然後再往上到國家層級的N-SOC、N-CERT、N-ISAC，建構出完整的區域聯防中心架構。SOC成立目的便在於進行集中監控，以便從異常徵兆找出資安事件，新世代的Intelligent SOC架構，則可從資安事件中進行分析，威脅監控中心則可透過大數據平台、長時間軸分析、情資研究中心、機器學習、端點偵測回應，應用機器學習演算法進行偵測，然後進行整體分析，達成全方位的資安防護。
及早找出資安鏈的短板，補上缺口
大多數單位都著重在外圍防護的資安工作，例如建立邊界網路、閘道設備、防火牆、防入侵、防毒、郵件防護、網址防護、內容過濾等工作，但進階持續性滲透攻擊（Advanced Persistent Threat, APT）則會透過釣魚郵件、水坑式攻擊、木馬等方式，滲透到內網，因此需要進行內城防禦，進行設備行為分析（User and Entity Behavioral Analytics，UEBA）方案、駭客攻擊行為分析、惡意程式基因分析、終端偵測與防火牆聯防，才能夠擋住駭客的入侵。

合勤投控資訊服務處游政卿協理表示，由於各階段的駭客行為都有其特徵，因此只要累積紀錄駭客的行為，便可以建立行為特徵資料庫，累積威脅行為積分，當嫌疑指數超過臨界值時，便發送警報，並開始圈制駭客、保留受害現場，著手進行分析與數位鑑識，進一步優化駭客行為資料庫，將威脅程式納入DNA資料庫，便可以進一步檢測出駭客的攻擊行為，及早進行防堵。此外，還必須定期查核系統弱點，取得存在弱點亟待修補的電腦清單，找出資安鏈的短板，補上缺口，才能讓駭客無可趁之機。

事實上，世界上沒有絕對安全的系統，我們能做的是當事件發生時盡快修復，群暉科技產品經理江瑞敏表示，以群暉成立的產品資安事件應變小組（Product Security Incident Response Team，PSIRT）為例，其工作便是當發現產品漏洞時，能夠在最短的時間加以修復。例如SambaCry漏洞在24小時便推出了修正檔，HeartBleed漏洞也在48小時加以修復，CVE-2017-14491漏洞與Krack漏洞也都在24小時修復。想要做到這麼短的時間做到漏洞修正，便是透過「事件回應流程」來達到，Mike Jiang表示，首先便是發現漏洞之後，PSIRT會透過不同的來源，收集事件的相關資訊，並判斷這些資訊的正確性與可信度，評估這個漏洞的嚴重性，並討論出修復的時間表，接著由研發人員展開修補作業，PSIRT則會從旁輔助，並檢視修復的成品有無其他的問題，然後在上線推出安全性更新供用戶下載。

此外，群暉還透過紅綠燈協定來控管與分類資訊的敏感程度，透過用顏色來區分資訊的等級，像是紅色代表非常敏感的資訊，會對公司的隱私、商譽與營運帶來影響，只有公司內相關的人才能分享相關資訊；琥珀色則代表敏感性較低一些，可以在公司內部進行分享，但若洩漏到公司之外，也會對公司造成一定程度的影響；綠色則代表可以分享給公司外部的人，但不要公開地分享給不相干的人；白色則代表該訊息可以在版權允許的狀況下，分享給所有的人。這種資訊管理方式，可以清楚又明白地讓所有人知道資訊的敏感程度，值得給資安管理人士參考。

資安事件防禦