Threat Intelligence Service Fortinet FortiGuard Labs User Behavior Analytics Cyber Security Micro Focus IBM X-Force ArcSight Splunk QRadar DIGI+ 數位經濟 SIEM ISAC CERT SOC UBA TIS 資安

SIEM統合內外情資 打通事件調查瓶頸

2017-09-01
數位經濟正在重塑全球各種產業結構,國內企業或組織為了接軌行動、雲端、萬物連網的新世代,莫不寄望新興人工智慧(AI)、雲端運算、區塊鏈(Blockchain)、分析演算方法等技術,以及鞏固網路資安防禦,打造安全、穩定的創新應用情境。
其中尤以人工智慧與物聯網的應用,被視為台灣產業贏得未來競爭力的契機。資策會產業情報研究所(MIC)展望下半年趨勢,物聯網、人工智慧應用將成為下一波主要成長動能,預估2017年市場規模8,775億美元,發展到2020年將成長至1.22兆美元,年複合成長率4.6%。

然而,正當產業轉型之際,地下犯罪經濟的生態鏈已快速成形,去年(2016)爆發Mirai病毒事件引發全球關注,首度出現藉由感染連網功能的網路監控攝影機、家用路由器等消費性電子產品,瞬間壯大殭屍網路規模,發動前所未見的Tbps等級DDoS攻擊。此後Mirai作者還公開原始碼,成為變種病毒的學習與設計基礎,恐危及未來各式連網應用的安全性。不論企業或公部門,面對嚴峻的資安威脅,勢必得有所因應。


▲ IBM建立免費X-Force Exchange雲端型威脅情報分享平台,資安人員可搜尋IPv4/IPv6位址、URL、漏洞編號、應用程式名稱、MD5雜湊值,快速研究最新威脅並匯聚情報。(資料來源:exchange.xforce.ibmcloud.com)

以政府部門為例,在「資安即國安」的政策發展下,由行政院推動的前瞻基礎建設計畫,日前特別條例已送交立法院三讀通過,隨即加速進行預算編列及審查,其中「數位建設」部分主要脫胎自簡稱「DIGI+方案」的數位國家創新經濟發展方案,執行項目中便包含強化與建置各關鍵基礎設施(金融、能源、交通、政府機關、醫院、高科技園區等八大領域)資訊分享與分析中心(ISAC)、電腦緊急應變團隊(CERT)、資安監控中心(SOC),藉由建立資安情資分享、及早預警、緊急應變、持續監控機制,讓資安風險得以控制以降低危害。

在舉國一片重視資安的風潮下,IT基礎架構中用以協助落實資安治理的事件管理系統(SIEM),亦隨著應用需求的改變持續進化,不再僅限於蒐集統整內網資安設備、網路設備、應用系統等異質平台的Log檔,進行關聯式分析,掌握內網存取行為軌跡資訊;近年來的SIEM平台更進一步開放介接更多外部不同領域蒐集的威脅情資,來加強偵測與比對惡意行為的準確度,進而在事發當下觸發呼叫防禦機制,執行攔阻指令即時回應。

強化資安事件可視性 釐清惡意行為真相

投入資安領域已逾十多年的Micro Focus資深技術經理邱裕翔觀察,資安市場可說是IT產業發展中的特殊領域,必須緊跟著外部攻擊威脅的腳步持續不斷地精進,因此可發現許多已發展相當成熟的資安產品仍持續不斷再進化,問世已12年的SIEM系統亦是如此。

從攻擊活動的生命週期與手法來看,十多年前的攻擊多是無差別方式,當時主要是透過入侵偵測系統(IDS)及時修補漏洞或弱點,並監看利用漏洞發起的攻擊活動,以即時觸發告警通知IT管理者處理。近年來攻擊手法逐漸改以針對性為主流,從過去展現技術能力,變成獲取利益。以日前發生的WannaCry事件來看,邱裕翔認為,相當類似於2001年出現的紅色代碼(Code Red)蠕蟲,利用IIS漏洞進行滲透,凡是未安裝修補更新程式的系統皆無法倖免。

「其實攻擊活動的邏輯大致相同,主要仍是利用軟體或作業系統漏洞來發動,但手法變化卻相當大,才造就已發展十多年的SIEM在市場仍屹立不搖,甚至還持續演進,同時,企業端的使用率也逐年增長,以2015年國際市調機構數字顯示,大約有六成企業已採用SIEM或建置類似功能的管理系統,來強化資安可視性。」邱裕翔說。

同樣在資安領域已累積超過十年經驗的Splunk北亞區總經理戴健慶觀察,現今企業或組織無論規模大小,均須面對網路犯罪、資安威脅,即便投入充足資源建置先進的防禦技術,也可能會發生被滲透入侵進而竊取資料。因此「資安事件一定會發生」可說是應具備的基本觀念,基於此,在內部培養熟知自家IT架構的資安人員,並提供易於上手的SIEM平台工具,才得以在事件發生時,快速地從各式Log檔案中追查到事件的最源頭,從根本解決資安問題。

為資安人員搭建全球威脅情報分享平台

就功能面來看,SIEM為Log統整平台,經過正規化、分類、關聯後,讓資安人員基於內部控管政策建置措施,因此涵蓋的範疇相當廣泛,IBM企業安全部安全諮詢顧問洪國富說明,包含事前預防弱點或漏洞被利用、事件發生當下快速地釐清問題、事後則須回應處理。

為了及時洞悉低調隱匿的攻擊活動,近年來各家SIEM廠商除了自設情資研究團隊,例如IBM X-Force、ArcSight資安研究組織、Fortinet FortiGuard Labs等,亦積極廣納第三方交換情資,例如Splunk平台,可直接於搜尋介面上查詢入侵指標。

此外,IBM已建立免費開放的雲端型威脅情報分享平台X-Force Exchange,讓資安人員在儀表板搜尋IPv4/IPv6位址、URL、漏洞編號、應用程式名稱、MD5雜湊值,快速研究最新威脅、匯聚可執行的情報,或是在討論區洽詢專家意見。針對已建置QRadar平台的用戶,則可提供App Exchange服務,下載安裝適用於QRadar的UBA(User Behavior Analytics)、Watson顧問、Resilient事件回應等App來擴增功能性;該網站也可透過API建立存取權,提供RESTful API方式實作,基於JSON格式,以及業界廣泛用於情資交換的STIX/TAXII格式,獲取X-Force Exchange情報。

日前Fortinet發布的FortiGuard威脅情資服務(Threat Intelligence Service,TIS),亦讓資安人員透過統一儀表板掌握全球威脅活動趨勢,或是檢視狙殺鏈(Kill Chain)總體報告,可針對超過二十種不同產業別,查看應用程式、IPS、惡意軟體、殭屍網路的統計數據,以圖形化呈現威脅指標、主要活動區域、受影響的組織規模。各項威脅統計,皆可單獨點選FortiGuard百科全書所記錄的細節描述,包括來源、行為與修復方式。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!