Security Information and Event Management Managed Security Services Provider Advanced Persistent Threat Security Operation Center SmartSOC EyeQuila APT狙擊手 企業資安 MSSP SEIM 資安艦隊 中華電信 SOC APT

以巨量分析延伸資安代管 開展數位鑑識服務

2015-12-23
現代惡意程式設計精良,以詭譎技倆繞過資安偵測與防禦機制,企業或組織往往在資料外洩後,才發現內部網路不僅被滲透,且潛伏已久。在資料外洩事件發生後,究竟該從何追蹤攻擊足跡,並加以修復、改善,以防止類似事件再次發生,正是企業IT當前的難題。
對此需求,如今資訊安全代管服務(Managed Security Services Provider,MSSP)業者的資安監控中心(Security Operation Center,SOC),除了提供7×24的監看,亦可協助進行後續的處理。

改善結構本質 以免威脅趁機滲入

以中華電信企業資安服務提供的資安監控中心為例,原本就整合了人員(People)、產品(Product)、程序(Procedure),並運用資安事件管理平台(Security Information and Event Management,SEIM)協助資料(Log)的關聯性分析,藉此為客戶提供預警服務、防禦與偵測、監控與管理、事件通報與應變處理服務。

近來隨著駭客攻擊模式轉變為以進階持續滲透攻擊(Advanced Persistent Threat,APT)為主,中華電信數據通信分公司資安處處長謝東明觀察到,其實各行各業、不分公司規模大或小,皆有受駭的狀況發生,但畢竟台灣不像是歐美、日本等國家,有法令要求必須公開透明資訊,因此在發現內部員工的電腦遭受入侵時,大多會選擇低調解決,甚至根本未對外求援,只由IT人員自行重新安裝作業系統了事。但其實根本的漏洞問題仍舊存在,相同的狀況又再次發生,最終可能導致機敏資料循此管道外洩。

目前台灣較關注資安議題,願意投入資源徹底解決的產業,以金融、政府單位,以及提供第三方支付的業者居多。「多數台灣企業主的思維仍是以『賠率』來估算,用資料外洩事件發生的損失與採購服務解決問題的花費是否等比例來賭上一把。儘管發現單一電腦受駭時,立即處理可以暫時治標,但若根本問題未被解決,若駭客仍舊可長驅直入,最終恐將造成營運中斷。」謝東明強調。面對資安議題,應從事件發展狀況凸顯的結構性問題尋求解決之道,而非僅就單一事件來看賠率,因為資安的趨勢是駭客數量只會增加不會減少,結構性的問題若不改善,恐怕將來還會影響正常營運。

成立鑑識實驗室 確保數位證據力

為了協助已實際遭受滲透的客戶,更深入地追溯最初進入的管道,進而制定改善措施,中華電信自行研發了SmartSOC平台,提供巨量資料蒐尋保存服務。中華電信數據通信分公司資安技術研發組組長吳明峰說明,儘管透過SIEM平台分析Log檔之後,已可明確指出資安事件,但對於現代的進階式攻擊而言,只憑Log檔並無法完整掌握攻擊行徑,對於後續回應處理與制定改善措施亦無所依循,於是才設計SmartSOC,運用深度封包檢測(DPI)技術,針對流量進行錄製與解析。


▲SmartSOC巨量資料蒐尋保存服務,藉由解析流量、保存紀錄、持續分析,發現異常行為時及時告警,供IT人員追查問題。(資料來源:中華電信數據通信分公司)

SmartSOC同時具備流量的收集與保存機制。由於流量本身較Log的資料量更為龐大,底層勢必要運用Big Data平台輔助,先將龐大流量轉換成Metadata與Payload,再將Metadata對應(Mapping)到相關聯的Log。「我們需要的是,在事件發生當下得以追蹤駭客的行徑,勢必需要先掌握駭客的作為,釐清受駭範圍後,才能夠提出建議。」吳明峰強調。

另一方面,謝東明進一步提到,SmartSOC亦可說是數位鑑識用來蒐證的工具,鑑識的主要關鍵在於取得樣本後分析,強調的是數位資料可以被重現(Reproduce),牽涉範圍包括檢驗程序、搜查字串等能力。只是數位鑑識發展多年來,仍舊是以人為本,也就是最後還是需要透過人力判斷是否為證據,很難透過自動化來協助。而這也可說是資安服務的核心價值,例如政府資安服務共同契約中的資安健診其中一個項目即是網路惡意活動的鑑識,目前的作法即是透過錄製後進行分析來得知。

「數位鑑識的法律效力至關重要,除了要有專業的鑑識人員,同時我們也積極地建立數位鑑識實驗室,預估明年就會通過ISO 17025的驗證。目前硬體設備已建置完成,正在準備驗證的工作項目。因此發展SmartSOC的出發點就是為了資安事件處理與鑑識。」謝東明說。

聯合APT狙擊手與EyeQuila建置多重防禦

中華電信企業資安服務今年推出的APT狙擊手與EyeQuila,即是因應日漸增加的APT防護需求而設計。APT狙擊手屬於閘道端的防禦機制,可以抵擋利用郵件發動的攻擊,但若是透過隨身碟等管道進行內部滲透,非APT狙擊手得以察覺的範疇,即可導入基於Big Data平台技術的EyeQuila,經由收取內部防火牆、Proxy、DNS等設備產出的Log,從中萃取出潛伏的滲透活動,透過行為分析引擎亦可自動回溯偵測以往的歷史軌跡。

現代企業在行動化普及之後,員工接取網路的方式亦可經由行動上網,完全未通過內部網路控管審查即可連線,將大幅增加資安風險,因此中華電信企業資安服務除了引進閘道端口的沙箱設備偵測,也針對客戶的內部網路研發分析機制,藉此監看隱匿低調的網路行為,補足閘道端無從偵測的缺口。

謝東明進一步說明,考量業主著重的安全等級不同,或是預算不多、無力建置眾多資安設備的中小企業,至少可於線路源頭選用標準版的APT狙擊手,僅依據客戶申請頻寬收取月租費。或是進一步採用白金版,建置於企業網閘道端執行過濾偵測。

至於下一步,吳明峰提及,資安服務將發展SmartSOC的雲端版本,進而成為資安艦隊系列服務項目之一。畢竟目前資安艦隊提供的服務皆是由源頭進行保護,未來若客戶願意將防火牆、DHCP等Log導向至SmartSOC平台,即可提供交叉式查詢,也就是在資安艦隊中發生的告警,可透過SmartSOC進一步追查,藉此釐清在源頭被阻擋的事件,是由內部網路哪一個端點所觸發,解決根本問題。甚至像是資安艦隊目前的內容過濾(Content Filter)服務,可阻擋色情、賭博等非法網站,但客戶可能會進一步想知道究竟是哪一位員工在看,若客戶願意將Log導向至SmartSOC,即可提供諸如此類的資訊。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!