最近更新文章
2017/11/24
Ruckus推出新系列交換器 業界最高效能
2017/11/24
網路安全不僅是投資
2017/11/24
國防級資安技術加持 端點異常無所遁形
2017/11/23
AI辨識超越人力極限 惡意行為即時偵測分析
2017/11/22
齊全功能搶佔協作市場 整合平台點亮生產力
2017/11/22
對行動裝置做雲端鑑識 解析雲服務存取足跡
2017/11/21
IBM攜手星展銀推全新AI虛擬助理,更包含企金服務
2017/11/21
偵測、鑑識、回應兼備 端點安全更上層樓
2017/11/21
四個開源大數據工具 打造超高速輿情監控系統
2017/11/20
VMware協助台灣託管服務商轉型並交付新型服務
2017/11/20
打造私有雲協作平台 重新定義工作型態
2017/11/20
虛擬桌面VMware再出招 新版Horizon 7.2大提升
2017/11/19
Pure Storage 推出全新SAP自動化拷貝工具(CAT)
2017/11/17
打造智慧工廠 IPC大廠分享實戰經驗
2017/11/17
跨雲時代的轉型秘訣
2017/11/17
行為鑑識搭配防毒引擎 提升端點偵測效率
2017/11/16
威聯通科技引領雲端風潮 整合高速運算啟動AI應用
2017/11/16
Juniper Networks協助國立暨南國際大學擴充校園核心網路
2017/11/16
EDR跨足次世代防毒 挺進端點保護平台市場
2017/11/15
台灣駭客隊伍數破新高,全球駭客12月來台爭冠
2017/11/15
趨勢科技獲 2017 NSS Labs 評測,入侵偵測率的完美成績
2017/11/15
紅帽與阿里雲攜手 運用開放原始碼技術帶來更高靈活性
將此篇文章跟 Facebook 上的朋友分享將此篇文章跟 Plurk 上的朋友分享將此篇文章跟 Twitter 上的朋友分享列印轉寄
2017/9/5

以搜尋引擎技術奠定基礎 建立新世代SIEM資安智慧平台

輔助獵捕威脅指標 即時回應連動執行攔阻

洪羿漣
在IT業界以搜尋引擎技術處理機器資料著稱的Splunk,從大數據概念萌芽初期即已提供分析平台解決方案,運用MapReduce平行運算處理非結構化資料的架構,較常被應用於商業分析、維運管理等領域。
自2012開始以Splunk Enterprise Security進入SIEM市場,在國際市場上始終保持亮眼成績。近年來亦積極發展未知型攻擊處理能力,以MapReduce核心技術,提出新世代SIEM資安智慧平台。

Splunk北亞區總經理戴健慶說明,之所以稱為新世代的SIEM,主要因為傳統SIEM系統可處理的資料來源較侷限,而Splunk大數據分析平台核心技術蒐集的則是原始資料,不論任何格式皆可處理,可取得更多樣化的資料來源,來輔助分析與辨識。例如勒索軟體主要透過郵件發送,並非SIEM平台蒐集的資料範疇,Splunk則不限制檔案格式,皆可藉由Enterprise Security套件分析處理,並且執行攻擊獵捕(Threat Hunting),藉此發掘入侵指標並阻斷未知型威脅活動。

依據狙殺鏈活動階段 進行資料蒐集與分析

新型態外部攻擊威脅日漸精進,即使是資安預算充足的大型企業,有能力建置先進的防禦偵測機制,也未必能即時辨識惡意程式。有鑑於此,Splunk以既有的搜尋技術與大數據分析平台為基礎,延伸提供的Enterprise Security,將艱澀難懂的機器資料以圖形化方式呈現,輔助資安人員及早發現進階式攻擊活動。


▲ Splunk以搜尋引擎技術處理大量非結構化資料,掌握端到端的行為資訊,輔助資安人員執行事件調查,提出公正客觀的證據。(資料來源:Splunk)


Enterprise Security可依據狙殺鏈(Kill Chain)亦即攻擊活動的多重階段,建立資料蒐集與關聯分析來執行攻擊獵捕,包含:偵查選定標的、研發自動攻擊程式、遞送、利用弱點執行滲透、取得控制權、執行活動目的、保持隱匿不被發現,只要其中一項環節被阻斷,即可摧毀整起攻擊活動。

原始資料豐富度可說是攻擊獵捕成功的關鍵,把現行蒐集到的網路設備、DNS、端點、弱點掃描、應用系統等方面資料,以及歷史資料,運用機器學習演算法分析,從中察覺出異常行為的IP位址,例如首次在假日時間出現連線行為,並且下載公司文件,即可懷疑是用戶端電腦遭受惡意軟體滲透入侵所導致。

Splunk除了提供機器學習演算法,亦具備UBA(使用者行為分析)模組的分析機制,藉此先行釐清異常資訊,資安人員可依據優先順序等級深入調查,一旦發現問題,可透過Splunk Enterprise Security提供的動態適配回應夥伴(Adaptive Response Partners),立即破壞即將執行的攻擊活動。「這兩年Splunk幫助台灣幾家金融業與高科技製造業,成功找到前所未見的攻擊活動,即是基於此運行模式。」戴健慶說。

非監督式機器學習模型 實作使用者行為分析

▲Splunk北亞區總經理戴健慶指出,企業或組織面對進階式攻擊威脅,內部培養熟知自家IT環境的資安人員,已是不可或缺的一環。同時,建立可蒐集IT環境中所有日誌的工具輔助,才有能力在事件發生時,快速地解決問題。
近年來SIEM平台供應商陸續納入UBA機制,Splunk亦藉由2015年收購Caspida取得相關技術,以模組方式整合提供。戴健慶說,「我們在UBA方面,採用機器學習演算法來實作,先建立存取與連線行為正常的模式,成為比對基礎,一旦發現偏離常態分佈的狀況時,即判定為高風險,進而發出告警或阻斷執行程序。」

值得一提的是,Splunk UBA採用的機器學習演算法模型,主要偏重於非監督式(Unsupervised)學習模式,不需特別定義特徵標籤,而是藉由學習資料內容的類型辨識風險性,較以往普遍採用設定臨界值的偵測方式,得以更快速、彈性的調整分析條件,貼近用戶端應用環境的特性,畢竟即使是合法存取行為亦可能屬於高風險類型。

要實作機器學習演算法,首要條件即為大量搜集資料,Splunk核心的搜尋引擎技術類似於Google,先透過大量資料的搜集與整理分析,奠定基礎後,再納入機器學習演算法來輔助判斷,才得以更快速與靈活調整風險指標。

建立防禦神經中樞 提升事件回應效率

IT基礎架構中包含各種軟硬體建置,不同廠商設計的產品彼此之間本無法相互溝通,欲快速、有效地回應現代攻擊威脅事件,首要關鍵即是打破各自獨立運作的現況,讓不同技術平台的資安設備建立溝通,進而達到聯合防禦。

戴健慶指出,以往SIEM專注於搜集日誌、關聯分析,藉此產生資安事件告警,經人工調查釐清真相後,再執行回應措施,如此工作流程勢必需要一段時間,無法達到即時處置。「Splunk建立的動態適配回應夥伴計畫,發展理念即是為了提升事件反應效率,讓SIEM成為公司內部神經中樞,協同各家廠商,讓不同技術平台的產品可彼此溝通,只要在Splunk平台上調查到攻擊威脅,可連動合作廠商的技術平台,執行處理的指令。如此一來,才得以在發現問題當下立即反應,讓危害限縮到最低。」

以合作夥伴Palo Alto為例,已經撰寫完成可安裝在Splunk平台之上的App,用戶不需自行整合,或額外學習特殊技能,直覺地操作即可遠端發送指令執行處置。當Splunk UBA指出特定帳號用戶點選勒索軟體網站,如此情況下即可在Splunk平台搜尋介面上,直接送出Palo Alto設備語法,遠端執行阻斷連線到勒索軟體網站的行為。

「原本都有各自聯合防禦發展策略的多數IT廠商,之所以會選擇Splunk為合作夥伴,即由於Splunk在全球已累積相當多客戶,就連思科內部的SOC監控中心也是採用Splunk協助建置,解決大規模資料蒐集時,遇到欄位格式無法辨識、實體資源擴充等問題。」戴健慶說。

這篇文章讓你覺得滿意不滿意
送出
相關文章
網路安全不僅是投資
國防級資安技術加持 端點異常無所遁形
AI辨識超越人力極限 惡意行為即時偵測分析
偵測、鑑識、回應兼備 端點安全更上層樓
行為鑑識搭配防毒引擎 提升端點偵測效率
留言
顯示暱稱:
留言內容:
送出