Endpoint Detection and Response Advanced Persistent Threat Cyber Threat Intelligence Incident Response Reconnaissance Exploitation Lateral Move Ransomware Kill Chain Indicator Fortinet FireEye Hunting Verint SIEM 竣盟科技 APT EDR 威瑞特 IR Al

開放社群交流威脅指標 AlienVault廣納情資

2016-10-03
基於代理產品AlienVault統一資安管理(Unified Security Management,USM)平台開發加值應用的新創公司竣盟科技,有鑑於現代企業內部逐層建立防禦體系後,一旦發生資安事件往往難以具全面性地彙整查看資訊,於是運用AlienVault內建的資產管理、弱點掃描、SIEM、流量分析等功能模組,從資安實務的角度重新設計儀表板,讓IT管理人員即便未學習高深資安專業技能,也能藉由統計分析數據清楚掌握內部受駭狀況。
基於代理產品AlienVault統一資安管理(Unified Security Management,USM)平台開發加值應用的新創公司竣盟科技,有鑑於現代企業內部逐層建立防禦體系後,一旦發生資安事件往往難以具全面性地彙整查看資訊,於是運用AlienVault內建的資產管理、弱點掃描、SIEM、流量分析等功能模組,從資安實務的角度重新設計儀表板,讓IT管理人員即便未學習高深資安專業技能,也能藉由統計分析數據清楚掌握內部受駭狀況。

竣盟科技總經理鄭加海指出,因應APT等新型態攻擊手法多樣化,AlienVault USM平台內建的OTX(Open Threat Exchange)情資交換機制,以開放社群模式廣納IT業界加入,像是Intel、HPE等國際知名大廠皆為OTX夥伴,在企業日常營運產生的龐大流量之中,以OTX為基礎有效率地找到蛛絲馬跡,篩選出可疑之處後再深入探究,以確認是否為惡意行為。

▲竣盟科技總經理鄭加海認為,現代威脅入侵手法多變,單點查看已無法因應,必須透過類似AlienVault平台,運用Log與流量解析能力,建立全面性監看的系統,才能及早發現異常。
至於內網,AlienVault除了具備SIEM模組可蒐集、關聯、分析Log資訊,亦搭配Host-IDS代理程式,可涵蓋網路流量分析。鄭加海觀察,一般SIEM的蒐集與分析通常有個盲點,也就是不同的資安設備源自不同原廠設計研發,若SIEM只單純蒐集Log執行關聯分析,實務上通常難以藉由Log內容判斷其意義,甚至一旦資安設備韌體經改版更新後,調整了Log描述方式,則可能導致SIEM根本無法辨識。也因此,以往的SIEM重點只在於因應稽核,而非資安事件分析。

「其實建立資安分析平台,SIEM只是其中一項工具,必須搭配前置的作業,例如先執行資產盤點與滲透測試,掌握保護重點,以及應用系統潛在的風險,再運用資安設備建立防禦措施,並且在安全體系建構完成後執行有效性驗證。」鄭加海說。

他進一步說明,現今企業內部大多已導入建置不同功能的資安設備,建立防禦措施,但往往卻未發揮功效,追蹤其主因,大多是規則設定發生先後順序錯置、彼此牴觸,最終無法達到防禦效果。例如第一條規則就設定為Any-to-any,之後即便再嚴謹的限制,皆無法控制。AlienVault平台則可讓客戶驗證資安設備的相關設定究竟是否符合預期。

此外,本土企業大多有保存Log檔的需求,但AlienVault較著重於即時分析,功能性無法符合需求,因此竣盟科技運用大數據技術平台自行研發Log Master,並且已完成與AlienVault平台之間的整合,讓用戶得以藉此平台長期保存資料。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!