為防範網路犯罪攻擊,資安人力、分析工具、事件回應對策,皆是必要的環節。以防禦APT攻擊解決方案聞名的FireEye產品線,近年來亦陸續透過併購方式強化專業顧問服務與地下威脅情資,包括在事件回應(IR)服務領域知名的Mandiant,以及今年初連續買下的iSIGHT與Invotas兩家公司。
iSIGHT為威脅情報資訊(Threat Intelligence)領域具代表性的服務供應商之一;Invotas則為Security Orchestration,以自動化平台降低執行蒐獵(Hunting)時的專業人力負擔。
FireEye台灣暨香港區技術經理林秉忠說明,現階段的Mandiant主要為提供顧問服務,協助客戶從SOC升級成為Advanced-SOC(A-SOC)。如今多數的SOC主要工作仍舊維持在蒐集Log、關聯分析後提出告警、並開立工單(Ticket),但A-SOC更加關注的是開立Ticket之後的後續追蹤,必須以標準方法論建立的IR流程,執行事件調查、鑑識、電子資料蒐集,也就是在事發後的緊急應變計畫。
 |
| ▲FireEye台灣暨香港區技術經理林秉忠認為,台灣企業欲發展至蒐獵(Hunting)階段,由專業背景人力主動發現異常行為,前提須先建立IR團隊與處置流程,才能在事前有效地抵擋新型態攻擊。 |
「只是以台灣的企業環境來看,大致僅少數產業界龍頭較有能力落實完整回應措施,但問題是,現階段連指標性企業都尚未具備,僅發展至SIEM Monitoring,又如何期待整體資安素養能提升,勢必還有一段很長的路要走。資安發展較為成熟的歐美企業作法,正可成為努力的目標。」林秉忠說。
SIEM平台的下一階段,是基於偵測到的入侵指標,再進一步清點內部是否還有類似跡象,辨識攻擊者足跡建立的方式,勾勒出整個Kill Chain的樣貌,才有能力提出有效的改善計畫。接下來發展至Hunting階段,已不僅只仰賴SIEM統合內部IT環境所有資料,關鍵在於須納入更多外部的威脅情報資訊,為內部掃描辨識建立基礎,藉由資安人員執行蒐獵,得知主流威脅手法是否已滲入內網,不僅是事後調查與鑑識,更進一步可在案發前主動出擊。
雖然FireEye已有可提供的威脅情報來源,包含資安產品回饋的資訊、Mandiant顧問服務協助客戶處理資安事件後累積的惡意程式樣本與入侵指標(Indicator of Compromise),但終究屬於被動地跟進滲透手法變化的腳步。
為了能在案發前具備預警能力,FireEye整合收購取得的iSIGHT Intelligence,作法是透過情報員,在全球四百多個佈點蒐集最新攻擊資訊,甚至偽裝成攻擊組織成員,深入臥底了解地下經濟運作的狀態,取得最新情報。企業用戶可透過訂閱服務或API介接轉送到SIEM平台,提高Hunting的精準度。