將此篇文章跟 Facebook 上的朋友分享將此篇文章跟 Plurk 上的朋友分享將此篇文章跟 Twitter 上的朋友分享列印轉寄
2017/9/5

認知安全輔助 察覺行為邏輯異常

強化防禦偵測回應能力 建構安全免疫系統

洪羿漣
隨著資訊科技發展日趨成熟,創新應用情境決定了現今的IT基礎架構模式,不僅維運思維須隨之調整,同時得因應以各式手段發動的攻擊威脅。
蒐集來自各個IT領域所產出的資料,確實掌握連線存取行為資訊,已成為新興應用服務不可或缺的一環。其中扮演統一蒐集資料平台的資安事件控管平台(SIEM),不再僅止於蒐集內部IT基礎架構所產出的日誌,基於固定的規則框架正規化、分類,進行關聯事件分析並提出告警,勢必得納入更多威脅入侵指標資訊,才得以提升判斷能力。

辨識威脅行為當下提出告警,已是SIEM基本功能,IBM企業安全部安全諮詢顧問洪國富觀察,目前客戶更關注的環節,主要在於聯合防禦機制,也就是在判斷為威脅行為當下須觸發具備控制能力的防火牆、IPS等資安設備,立即執行阻斷,藉此降低資安事件造成的損害。

建構安全免疫系統 掌握威脅行徑資訊

為了協助客戶建立資安關鍵的預防、偵測、回應能力,IBM近來提出「安全免疫系統」概念,統一整合端點、行動應用、資料與應用程式、雲端、身分驗證與存取、進階詐騙、網路、外部威脅情資等各個環節的資訊,以QRadar建置資安智慧平台執行大數據分析,協助快速偵測威脅,並依據風險等級排列事件處理的優先順序,輔助維運人員掌握全局,降低威脅事件發生率。


▲ IBM QRadar提供雙向即時處理能力,透過搜集IT架構各個節點產生的日誌,進而分析發現攻擊事件,判定為高風險的帳戶或IP位址,可即時觸發命令BigFix、Guardium、API整合的第三方資安機制執行阻斷,不需人力介入。


洪國富說明,安全免疫系統主要是基於QRadar歸納現代企業應用環境需求所設計,在網路犯罪威脅方面,因應手法多樣且複雜,須整合BigFix執行端點資料蒐集,用以檢查使用者是否誤觸釣魚網站,或是否有惡意程式利用漏洞進行滲透入侵;網路層方面,除了既有蒐集IT架構中的防火牆、IPS、交換器等設備所產生的日誌,近年來亦增加網路封包解析能力,以提供更多層面的資料輔助分析。

畢竟網路與資安設備皆來自不同技術供應商所提供,撰寫記錄的欄位並未有統一標準,僅仰賴日誌取得的資訊通常不夠完整,因此QRadar本就已設計搭配解析網路封包來補齊,可支援NetFlow等格式。此外,近來亦增添QRadar Network Insights(QNI)設備,透過交換器連接埠的Mirror方式部署,提供情境分析(Content Analysis)技術解析即時掌握封包內容,遞送到QRadar平台統一處理與分析,藉此發現內部員工傳送機敏資料、應用程式執行行為,以強化偵測能力。

強化快速偵測與事後回應能力

▲ IBM企業安全部安全諮詢顧問洪國富指出,SIEM發展多年來已累積許多實際經驗,並且已把不同應用需求的案例予以文件化,內建於系統平台,讓不同產業的IT環境建置快速部署實施。
快速偵測與事件發生後的回應,可說是目前企業面臨資安事件時的主要挑戰。對此,現代化的SIEM必須擁有更具智慧的手法,即時偵測新型態威脅,而廣泛的資料蒐集能力,可說是必要的關鍵。洪國富認為,若可及早透過QRadar關聯性規則發現攻擊事件,才得以進一步建立即時執行命令,不需要人力介入,透過API來自動觸發防火牆、IPS等資安機制執行阻斷。

「客戶當然都期待SIEM能洞燭機先,從搜集取得的資料中發現問題。外來攻擊威脅需要X-Force研究,以及廣納不同領域的情資,透過外界搜集取得的資訊,輔助客戶快速查看是否有類似事件發生,只要行業中出現第一個受駭單位,其他公司皆應該要能夠及時防範。」洪國富說。

另一方面,SIEM亦可監看內部威脅。擁有權限的使用者存取行為看似合理,但若是有心人士欲竊取內部營業機密資料,則可透過SIEM調查找到蛛絲馬跡,這方面則需要增添UBA(使用者行為分析)模組來協助,先行累積行為資訊建立知識庫,再透過機器學習演算法,針對觸發事件給予總體評分,即使是合法存取行為,亦可分析出風險等級,偵測到非規則定義可察覺的高風險行為。

至於事後回應,IBM在2016年透過收購取得Resilient,開始提供資安事件回應與處理平台(Incident Response Platform,IRP),主要即是為了提供協助客戶建立事件回應程序。Resilient所擅長的是回應資安事件,而非偵測,較類似於派工管理(Ticket)系統,以資安事件為導向,整合處理流程、人員、技術,執行後續回應程序,涵蓋面相當廣泛,包含合規、協調各個部門的端點進行協同防禦等方面。

具備理解、推理、學習能力的認知安全

近年來IBM Watson人工智慧已落實應用於各行各業,資安領域也是其中之一,主要是透過QRadar Advisor with Watson整合運行。當威脅型態日漸增長,由資安專業人力從龐大資料中分析萃取軌跡,可能趕不上攻擊手法變化的速度,在此情況下,即可藉由人工智慧輔助來提升效率。

「Watson主要是從外部搜集相關資安知識,以輔助資安人員進行調查與分析,畢竟單憑人力,根本無法學習網際網路上浩瀚的知識。」洪國富指出。Watson運用資料採礦、機器學習、自然語言處理等技術,以模擬人腦運作與學習的方式,從結構化和非結構化資料中持續擷取威脅特徵與模式,定義後回饋到QRadar平台,增添認知(Cognitive)安全知識,如此一來,系統即可具有主動察覺異常邏輯的能力,並提供推理證據,讓資安人員評估制定改善措施。

洪國富不諱言,事實上人工智慧應用於資安領域,仍持續演進中,目前Watson提供協助較偏重於輔助事後調查與分析,加快亡羊補牢的速度,未來的人工智慧將可提供更多元應用,例如直接以說話方式詢問問題,屆時Watson將進一步扮演如同資安技術顧問角色,任何問題皆可得到解答。

這篇文章讓你覺得滿意不滿意
送出
相關文章
躋身企業轉型策略要角 物聯網既是機會也是挑戰
趨勢科技:勒索病毒攻擊全台已超過2千萬次
遠傳大展企業資安實力 三年營收倍增計畫
趨勢科技 IoT時代 八成企業未具備充足資安防禦知識
搏預警拼聯防 SIEM起飛
留言
顯示暱稱:
留言內容:
送出