當企業規模持續增加,營運模式逐漸複雜,對內部的IT投資不斷擴增部署,企業將會意識到所要管理的設備越來越多,且逐漸趨於複雜化。僅僅單純管理設備已經是繁雜的工作,但是真正帶給管理人員們的難題是每個設備所產出的日誌檔(Log)也不斷增加,並且當資料量龐大時,對相關日誌檔的交叉比對分析便極為複雜,更難以用人工閱讀的方式進行對維運有幫助的判斷,尤其是資訊安全相關日誌檔及事件分析,對企業在資安的事前預防和事後分析的處理上,更顯出必要性。
因此,欲達成完善的資訊安全管理,資安事件管理(SIEM)的平台就能夠整合資安設備的管理分析功能,將log檔收集後,做正規化轉換,進而進行相關資安事件的分析,並且給予處理建議,輔助IT部門或專責的資安部門對企業資安達成早期預警及事後分析。Gartner公司2009年5月針對SIEM的調查報告指出,全球SIEM的市場較2008年比起來成長了30%,達到10億美元,顯示市場對SIEM的需求仍然強烈。
由於金融海嘯影響,讓許多專注在SIEM的小型廠商被綜合性資安大廠併購,也表示更加符合需求的此類產品成為企業市場的驅動力,本期將專訪多家廠商,向讀者介紹目前SIEM市場及技術的綜觀。
納入完整管控範圍 掌握關聯事件
RSA部署容易 有效減少SIEM後續成本人力
2006年時SIEM(Security Information and Event Management)的市場開始邁向成熟,SIEM底層技術以收取不同設備龐大的日誌檔Log為主,其次分析後收斂匯集成關聯事件Event,再產出相關報表。現在SIEM平台可以針對企業網路架構發揮三層更深入的價值,首先是能做法規遵循的報表,其次是能達成Security Operation,做到資安風險控管和監控服務,第三則是彙集所有Log和Event後,IT部門就能透過針對網路所做的監控管理和報表閱讀,進而處理解決安全風險問題。SIEM已經從最初底層的Log管理,逐漸發展成三個主要的方向。
RSA大中華區技術顧問黃惠美表示,在權威市調機構Gartner連續幾年發表的SIEM魔術象限報告之中,評價RSA的SIEM產品enVision優勢在於部署簡單,能以較少的人力和成本,達到SIEM平台架構的功能。
外防完善後 內防更重要
 |
| ▲RSA大中華區技術顧問黃惠美表示,企業應透過SIEM將常被忽視的弱點掃描Log及Web Log納入管控,才能做到更完善的資安監控。 |
「整體資安防護重要在於連線存取相關聯的所有行為模式,因此,導入SIEM就能全面監控和檢視來發覺不正常的網路行為,對企業資安管理是相當必要的產品。」黃惠美指出,有些Log管理軟體只能判讀預設可讀的資訊,將欄位切為來源IP和連線目的地,可是沒辦法去做進一步判斷,甚至有些企業只用一些資安設備的報表以正向表列的方式阻擋常攻擊的IP和病毒,這些都只是資安運作的一小部分,根本無法針對內部和外部所關聯起來的惡意行為做判斷。
此外,企業內會有不同的風險,以往資安的概念是關注在外部攻擊,但是假設基礎建設和資安建置完善後,外部攻擊能夠成功的機會不高,相對內部安全而言風險較低,根據調查,絕大多數的資安問題及資料外洩都來自內部,「可是很多企業以為防止外部攻擊做得完善就萬無一失,其實還需要包含內部管控,應該要回頭思考在企業內部能有甚麼機制協助防護。」她指出,RSA enVision的資安防護定位主要專注在內部的風險(Internal threat)管控,內部風險可能包含內部員工透過VPN在非上班時間連入主機等,這些風險往往被忽略。
2007年11月RSA開始在台灣市場推出SIEM解決方案,客戶共通的需求除了內防外防之外,重點也在法規遵循(Compliance)的需求。黃惠美表示,企業要做內部安全控管,就必須要有好的政策、機制和流程,因此企業因應法規需求時就要能統合報表和Log的平台來協助,enVision能確保事件完整資料索取,甚至防止IT為了應付稽核而竄改資料,能公正地產出稽核相關報表。
資料不可竄改性
2009年RSA將enVision改版成4.0後,在Security Operation上更完整,黃惠美表示,enVision對所有事件做內容分類(Taxonomy),就可以知道這個Log是屬於Attack access、Attack malicious code或是Port scan等不同分類名稱,做事件歸類。SIEM核心要素是要對事件做分析管理,因此以資安防護中心(SOC)內的概念,先由產品(Product)做第一層過濾,人員(People)做二層事件調查,才進入流程(Process)後續,防止再度擴散。
黃惠美指出,每一家SIEM所著重的東西都不一樣,RSA enVision最早是以Log管理起家,接著再增加法規遵循報表技術,由於enVision資料庫裡完全沒有關聯式資料庫管理系統(RDBMS),所以強調資料在資料庫中無法被竄改,是RSA設計資料庫堅持的運作原則,依此基礎再去做Security operation和IT operation等動作。
她也表示,企業內部建置的Windows伺服器由於不支援Syslog,因此大部分的SIEM解決方案需要安裝Agent跟Windows溝通,才能收集Log,但是可能會影響到伺服器系統的效能,兩相比較之下,enVision則能主動針對Windows伺服器的Log事件做收集的動作。enVision將收集到的Log以Raw Data的方式收集,不做檔案壓縮,但是為了縮小龐大的資料量,會以Index的方式來收集,當要跑報表時,再去Index當中抓出相關的Log事件分析。
 |
| ▲RSA enVision強調Raw Data的收集,從每個Index能抓出原始Log紀錄。 |
網頁弱點掃描 Log要收集
黃惠美表示,真正完善的SIEM平台是要知道所有行為模式可能存在的風險,做SIEM時要把整個網路環境所有的Log都匯入,不只包含資安設備,還要包含了資料庫、主機、連線紀錄甚至還有Web的Log都要收集,才能分析成完整的關聯式行為事件。「導入SIEM的客戶常會忽略Web的Log,以前防Web攻擊目的都是防止網站不要出問題,現在攻擊都把Web當作跳板,進入內部網路,更難發現但是風險更高。」
她也指出,還有一個部分是弱點掃描的Log,以某些證券商為例,通常將應用程式寫在Windows平台上,但是很多安全的弱點並沒有修補,又沒有做弱點掃描。
弱點掃描的目的在於能知道哪些主機和哪些應用程式有哪些弱點,以及這些弱點的IP,再結合IDS等資安設備的Log,SIEM就能夠馬上提出即時警告,如果是跟企業營運相關的主機就可以馬上知道要做修補。
SIEM平台如果要建立得完整,企業網路基礎架構要先建立,如果在架構下有弱點掃描的工具,再把掃描後的Log收集出來,就能檢視哪幾台設備的弱點在哪裡,需不需要安裝Patch,還可以針對設備設定重要等級,例如某台設備是測試機,就能設定較低的等級,但如果是營運交易主機,就要設定為最高等級1。當IDS偵測到外部攻擊行為,enVision透過關聯分析,就能判斷有哪幾台主機可能遭受攻擊,針對重要等級,會提供IT管理員處理建議,並直接顯示在即時的報表上。
她表示,目前enVision平台已經支援到200種設備,針對已經支援設備的新版本和新的Log格式,也會打包成Patch發佈給客戶。目前平均每個月會新增三種設備,如果客戶有需求,可以上RSA網站填寫新增設備支援需求單。
部署方式
設備部署上有兩種架構,第一種是All-in-one設備,將Log收集的功能和Event分析及法規遵循模組結合報表產出功能在一台設備中。另一種架構是為了效能考量而拆成三層式架構部署,一台是應用程式伺服器(Application Server),除了提供管理功能介面之外還應付報表產出,另一台是資料伺服器(Data Server)主要存放Raw Data,一台則是收集伺服器(Data Collector)。
黃惠美表示,三層式架構適合企業分點分散時,為了避免傳輸資料太大佔用到頻寬,就會部署遠端遙控收集器在分支據點,先做壓縮和加密再傳至總公司的資料中心。兩個架構的功能一模一樣,差別在於企業規模及保障運作效能考量,越大的企業網路環境越建議三層式架構部署。RSA enVision在部署設計上無須安裝Agent,因此也不以設備數量來計價,收費方式以每秒平均的事件量(Event Per Second,EPS)來算。
 |
| ▲針對ISO 27001所產出的報表範例。 |
結語
RSA也跟顧問公司合作風險評估,協助發現企業的營運流程和資料傳輸流程的風險所在,黃惠美表示,在作風險評估時,要收集資料,但是對顧問公司來說,企業IT架構如此龐大,如果沒有統計好的資料很難進行風險評估,「因此我們先將機器借顧問公司,他們帶到客戶那邊,利用enVision來作分析,可以把容易產生風險的地方做相關的串聯後,訂出Corelation rule,就能做出風險警告。」顧問公司發現SIEM不只幫他們的客戶評估風險,還能讓客戶使用這個平台去管理企業內部所存在的風險,再經由Ticket系統給的事件處理建議來執行修復工作。
她也指出,相關法規不受重視同時也不夠強制性,台灣的企業在全面的資安事件管控的觀念還沒有被建立,對大型製造業或高科技公司來說,IT部門相對於其他產業而言人力較為充裕,但是大部份僅止於人工檢閱設備分散的報表。而銀行單位資訊部門分工明確,但常常卻是網管、資料庫、伺服器等分頭管理,沒有一套平行協同管理的平台,面對稽核和法規要求時,就無法快速有效的提供必要的資訊。甚至一些對即時防禦和事後稽核需求強烈的大型購物網站或是電視購物公司,普遍還是要等到面對安全危害和資料外洩事件時才會意識到重要性,這些安全隱憂必須仰賴SIEM的普及來加以解決。
事件嚴謹分級 才能有效檢閱
Symantec全球智慧型網路 雲端防禦協助支援
跟其他國家比起來,台灣網路環境中的惡意行為變得越來越活躍,企業網路受到的攻擊也變得更多,此外還有法規遵循的需求,以及內部稽核和外部稽核的要求,因此,現在企業採用資安設備越來越多,所產出的報表也跟著越來越多,但是IT資源、人力相對來說還是少,因此在這樣的環境下,更需要自動化的解決方案來協助企業做到資訊安全管理分析。
稽核要求 提升資安需求
賽門鐵克資深技術顧問莊添發表示,現在由於資安稽核要求提升,會檢視企業有無做到特定程度的資安防護建置,例如有沒有監視重要的資產,或是請企業IT人員能否調閱稽核需求的紀錄。企業若部署了SIEM,就可以很快的將相關聯結調閱出來,還可以稽核過去的報表,如果運作SOP上有規定的作業程序,SIEM的報表也可以證明有確實執行。
他進一步指出,稽核也會要求企業要做到流程簽核紀錄,例如一個資安事件產生,就會依照等級通知權限負責人,依照流程進行直到結案,稽核會看事件存證,企業就要有證據能夠因應稽核要求。由於每個行業都不一樣,以金融業為例需要內稽,當單位導入ISO 27001、SOX等標準時,每個法規都會要求要有哪些資訊哪些報表產出,賽門鐵克在SIEM系統裡都會內建這些法規報表的建議,已經預先幫助客戶整理出來,就能快速產生報表,SIEM就會自動針對此報表收集所有設備相關的Log和Event,產出相對應的報表資訊。
入侵事件 有跡可循
 |
| ▲賽門鐵克資深技術顧問莊添發表示,賽門鐵克不只幫助客戶導入SIEM解決方案,還有強大的全球智慧型網路(Global Intelligent Network,GIN)的協同運作,增加外部智慧比對。 |
莊添發常有機會以顧問的角色協助一些企業處理駭客入侵事件,而從這些處理經驗中,常發現其實駭客的入侵事件爆發的時間點更早之前,就已經有訊息存在。
「例如,一個入侵的行為可能是網頁掛馬,但是早在事件爆發出來之前,就已經有許多連線行為在內部活動,在內部的資訊安全設備和機制上,都已經有Log紀錄,只是沒有人去看,所以企業IT部門也不知道為什麼會發生資安問題。」他說。
他進一步舉例,當企業網頁發現SQL Injection時,可能早已經有一些蛛絲馬跡在IIS Log裡面,或是防火牆上面有很多外部連線掃描的Log,防毒軟體說不定也有偵測到一些駭客工具被上載的紀錄,所有的Log都已經存在,但是實際上所看到目前的企業環境總是沒有人去檢閱Log,也沒有人可以針對事件做分析和交叉比對。「因此當我們到企業端協助時,將工具佈建後就會發現早就有這些惡意活動的蹤跡,如果有人能夠檢視這些Log,就不會爆發攻擊行為,這也是為什麼自動化SIEM解決方案如此重要的原因。」莊添發說。
當沒有SIEM解決方案時,平常就是存在大量的Log無人處理,他表示曾經有企業用戶透過SIEM分析機制處理Log量,每個月就超過40億筆資料,因為整個網路架構龐大,包含防火牆還有各式各樣的Log,資料量如此多,而且分散在不同產品內的情況下,當然不可能用人工的方式來檢閱,也不可能要求IT人員要每天把每個產品的報表都看一次,相當費時,再加上現在企業組織IT人員或資安專責人員的配置都相當精簡,工作量太大的情況下根本不可能去顧及到所有的設備。