Threat Intelligence Threat Hunting Stealthwatch Umbrella 杜浦數位安全 Cisco 威脅獵捕 中芯數據 主動式 IBM 資安

科學方法評估成熟度 逐步強化資安體質

2018-07-18
欲實踐現代化主動式防護,涉及範疇包含區域聯防、威脅情資、資料分析、威脅獵捕等領域。
思科大中華區資訊安全戰略與運營部經理陳宗祈指出,對思科而言,資安發展方向是協助客戶建立簡單、開放、自動化的資安架構。首先是「簡單」,隨著威脅趨勢的轉變,企業或組織常持續導入各種解決方案來協助因應,疊床架屋的建置不僅難以管理,資安維運人員亦須不斷學習各種類型的新工具,簡化資安架構將有助於減少IT維運上的負擔。

其次是提供開放的平台,過去廠商們所掌握的專屬資料,如今可藉此交流與分享,以彙整更多來自不同領域的最新情資。至於自動化方面,主要是以思科解決方案為基礎建置,例如ISE(身份認證服務引擎)可主動通知次世代防火牆,針對特定使用者的連線行為予以阻斷;同時也可透過Stealthwatch技術,解析蒐集取得的NetFlow以發現異常行為,通知ISE執行阻斷。

可視化為整合運行奠定基礎

為了及早辨識刁鑽的滲透手法,不同領域的IT廠商皆有發展異常行為模式分析,思科Stealthwatch主要是基於網路即感知器與控制點(Network as a Sensor & Enforcer)技術延伸,先行蒐集網路環境中所有溝通的行為資料,匯集到大數據平台之後,運用機器學習演算處理,解析出人、事、時、地、物的相關資訊,進而建立組織行為模型的準則,可輔助日常維運的IT或資安人員,來發現可疑或異常,主動地調查防範資安事件發生。

此外,大數據平台本身已提供超過百種的行為分析模型,可涵蓋資料中心與辦公室環境,亦可直接套用運行,降低維運上的負擔。

「曾有客戶提出的需求是IT人員要自我澄清,主要是因為執行長質疑資料外洩事件也可能是IT部門所造成。我則運用內部自建的Stealthwatch來協助,連續監看使用者連線上網與存取資料中心應用服務的行為至少三個月,藉此分析與發現異常。」陳宗祈說。

此外,Stealthwatch亦可辨識出資料外洩、新型態惡意程式攻擊行為,透過思科的合作夥伴定期到客戶端實際協助調校資料分析模型,而能更貼近企業工作流程,以提高精準度。


▲全面性量化評估資安,比較現階段、行業期望、未來期望的成熟度。(資料來源:思科)

就台灣企業環境來看,陳宗祈認為現階段首要考量是必須先建立可視化能力,才得以進展到下一步的自動化整合運行,包含普遍欠缺的DNS惡意網站防護機制,都應被列為最高優先評估的項目。

他進一步說明,網域名稱每年費用大約台幣2,500元,即使攻擊者一次買十個來發動釣魚郵件,投資成本也不算太高,可利用多組相似的網域名稱來發送惡意郵件,提高繞過偵測防禦的機率。思科資安防護傘(Cisco Umbrella)基於雲端提供服務,可更加及時地掌握全球威脅情資,以及依據網域名稱演算法邏輯進行判斷,補強傳統特徵碼辨識模式的盲點。

大型企業內部培養資安人才已成趨勢

▲思科大中華區資訊安全戰略與運營部經理陳宗祈認為,現代化的主動式防護,必須取得解決方案輔助執行全面監控,把視野從傳統閘道端設備,擴展到類似空中警察的角色。
法規遵循向來是驅動企業資安持續發展的動力之一,例如今年五月已經上路的歐盟個資法GDPR、台灣日前經立法院三讀通過的資通安全管理法,甚至是年初時金管會修正「金融控股公司及銀行業內部控制及稽核制度實施辦法」,條文中指出兆元以上資產的金融單位,必須設立資安長(CSO/CISO)。陳宗祈觀察,目前企業對於資安人力配置大多採兼任方式,包含資安長,要在有限的時間內學習相關知識,可說是相當大的負擔。

「思科擁有領域知識與技術,確實接受到許多客戶正在尋求這方面的協助,可能已經擬定發展策略,也編列執了行預算,通常優先需要落實的則是整體網路可視化。考量點在於,內部已經建置多種不同資安技術平台,目前更欠缺的是對網路環境資訊的完整掌握。」陳宗祈說,在實作方面,其他國家的企業已經開始在內部培養資安人才,甚至是自組滲透測試團隊,反觀本土多數企業的思維卻仍舊是IT人員應負責所有技術問題。

陳宗祈強調,「我認為資安人員的工作職責與職涯發展方向,不能直接套用培養IT維運人員的方式進行,畢竟資安範疇相當廣泛,需要懂得多種不同領域知識,同時必須持續不斷地吸收新知,以掌握全球威脅趨勢脈動。儘管已有先進的工具協助提升效率,最終仍需要具備專業知識的人力操作執行任務以發揮效益。」

以網路安全方法論為基礎重新檢視戰略

「資安發展不外乎人員、工作流程、工具技術,然而許多台灣企業不僅欠缺資安人力,同時也缺乏整體性的策略規畫,」十多年來他常見到的是疊床架屋所構成的資安防線,認為除非重新定義與規畫企業整體發展策略,否則即便技術方面整合運行也難以達到預期效益。

「在台灣,已經開始有大型企業意識到必須重新檢視整體資安政策發展方向。」陳宗祈以最近完成的專案為例說明,團隊是由六名思科資安顧問所組成,依據Cyber Security Framework方法論輔導建置,涵蓋25個領域,超過一千條訪談問項,花費三個月時間輔導企業評估與制定戰略。

此方法論是思科顧問服務團隊,綜合美國國家標準暨技術研究院(NIST)、ISO 27001等國際資安規範所制定,不僅只是輔助擬定資安發展策略規畫,同時思科基於厚實的技術能力,亦可幫助客戶實作落地,並非紙上談兵,而是管理、技術、總體戰略的結合,陳宗祈認為這是思科在資安市場上較大的特色。

顧問經由訪談後取得的結果,會產出評比分數,假設產業的最佳實踐的指標為3.7分,但評比分數只有2.8,針對0.9分的差距,制定各個不同面向應達到的目標,依據目標規畫執行優先順序,為企業擘畫未來三年階段性發展藍圖,來提升整體資安成熟度。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!