莊添發表示,SSIM平台除了能夠將設備上的事件分析比對之外,賽門鐵克針對資訊安全事件雲端解決方案,專門建立了全球智慧網路(Global Intelligent Network,GIN),在全世界兩百多個國家部署了24萬以上的sensor,SSIM能跟GIN連結,將每天在GIN所得到新的資訊傳送到部署在企業的資安平台上,所以能夠不斷偵測到最新的攻擊IP、botnet IP、Worm IP,這些資訊跟企業建置的防火牆Log一比對,就能馬上知道是否有惡意連線,很容易即時地在第一時間就阻擋掉惡意存取連線。
他強調,賽門鐵克SSIM不單單從內部做關聯分析,還增加外部的資安智慧做比對來輔助,同時也將資訊安全網站所公告的資訊和病毒資料庫等資源加入SSIM的智慧比對中。「當今天一個資安事件產生時,賽門鐵克SSIM平台的修補建議,就會直接從GIN或其他提供資訊的網站相關的資訊拉進來,放到修補建議(Remediation)中,IT管理人員就不需還要針對事件自己去研究如何修補和解決,可以直接依循修復建議執行。針對內部整體環境,可能是一台電腦,或是系統中的某個服務,或是作業系統上的漏洞,都會自動匯整到Remediation中。」他說。
整合DLP及處理機制
賽門鐵克SSIM還可以整合DLP平台,DLP所偵測的外洩事件,也可以從SSIM平台檢視操控,還可以細部到使用者的追蹤,假設發生資料外洩事件時,從資料外洩的報表內可以發現事件關聯的使用者名單,在SSIM裡面可以根據此使用者相關聯的Log一併抓出,就能看到Web瀏覽紀錄、防火牆通過紀錄等。SSIM裡面還設計了Watch List追蹤名單,可以把危險可疑Account或是離職員工Account都放入名單中,自動化追蹤所有紀錄。
SSIM除了可對事件處理人員提供自動化的Remediation建議之外,且有Workflow的機制,以派工單的方式,讓事件處理人員能夠自己管理事件處理的流程進度,對事件作追蹤。
莊添發表示,賽門鐵克有完整的協助導入、部署、事件分級的服務,關鍵還是在於企業客戶平時要去檢閱SSIM的報表,再去依照建議的處理流程來執行作業修補。有些企業甚至在這些資安協助的IT工具之外,也和賽門鐵克顧問團隊一起建立適合企業內部的人員配合資安作業流程。