專家知識納入智慧分析 助力SOC團隊精準判讀

2020-07-23
長期以來在本土提供資安服務的供應商,除了電信業者以外,大多源自於IDC主機代管業者內部的資安部門,例如安碁資訊原本便是屬於宏碁雲架構(前稱為acer eDC),近年來隨著資安市場需求量增長,安碁資訊正可發揮長期累積的實戰經驗。

 

隨著資安防護設備數量日益成長,資安/IT人員無力負荷管理每天數以百萬計的資安日誌,因此市場上開始出現資訊安全監控中心(SOC)的營運模式。常見是基於資訊安全事件管理平台(SIEM)執行任務,主要功能為進行跨設備即時監控,綜合分析多種資安日誌,當發現資安威脅時,主動告警通知。此類型的服務模式,主要根據已經發生之攻擊行為、中毒事件或異常連線,再發出告警,安碁資訊稱之為反應式資安防護中心,這是目前廣為周知,發展已相當成熟的營運方式。

然而,若無偵測到攻擊等異常徵兆,則不會主動發出告警,例如在駭客潛伏期間,傳統的反應式分析邏輯,無法偵測尚未發動攻擊的異常活動。對此安碁資訊自主開發專家智慧分析系統,運用大數據與機器學習技術,建立智慧化的分析能力,讓資安監控與防護進入主動式,是該公司在資安監控與防護的重要突破,可及時發現資安設備無法偵測的異常行為,在攻擊活動仍在潛伏期階段時便予以破壞,同時發布威脅情資,讓更多企業先一步採取防禦措施。

要達到以上之目的,需利用大數據平台長週期、大規模地分析跨領域與客戶端資料,並具備專家智慧分析功能才能達到。安碁資訊研發的智慧分析系統,從不同維度進一步分析其SOC經年累月所蒐集的日誌,例如針對攻擊者經常利用DNS協定發動的入侵手法,已在智慧分析系統中內建DNS Exfiltration偵測演算法,把模型產生的預測結果拋送到SOC,讓監控人員藉此進行規則關聯之設計與判斷。

跨領域整合聯防架構展效益 

坊間的資安服務業者眾多且良莠不齊,安碁資訊技術副總黃瓊瑩觀察,例如IT廠商,特別是軟體開發商,不論承接的是政府或私人企業工作,都會被問到安全機制,或者是被要求在既有的應用環境中強化安全性,長此以往,自然也會開始具備一定程度的資安知識與部署能力,逐步跨足服務。其次是銷售軟硬體解決方案的代理商或經銷商,為因應企業客戶的需求,工程師必須也得具備資安相關技術能力,這類型IT廠商亦可能發展成為資安服務供應商。

問題是,資安服務相當廣泛,可說是集資訊科技的大成,須懂得網路、程式設計開發、資料庫、作業系統等,各個不同環節皆須涵蓋,才有能力處理複雜的資安事件。就目前市場上許多資安服務商來看,擅長的往往是次世代防火牆、入侵偵測系統、資料外洩等特定的解決方案,較少涉獵其他領域的技術,相較之下,安碁資訊這類老牌的SOC廠商,提供的則是綜合性資安服務,可讓企業既有部署的防禦架構整合運行,發揮實質上的效益。

發展SOAR平台提供MDR服務 

安碁資訊過去是以提供SOC服務為主,著重在偵測與通報,近年隨著國際間資安防護的發展趨勢逐漸轉向主動式回應,已將既有的SIEM搭配智慧分析系統整合完成,成為屬於Gartner新定義的SOAR(Security Orchestration, Automation and Response)平台。

黃瓊瑩指出,「建置平台只是奠定基礎,更關鍵的是自動化工作流程。SOAR扮演的角色較偏重於流程引擎,主要目的在於串接。這正是過去安碁資訊主張Intelligence SOC的精神。Intelligence目標在自動化的偵測、判斷、回應,運用機器學習與人工智慧來輔助實現。」

近年來SOC服務供應商紛紛開始提供MDR(Managed Detection and Response)服務,安碁資訊也不例外,發展的方向是基於SOAR平台,讓MDR須執行的工作項目得以自動化處理。由於可能發生資安事件的環節相當多,例如終端、網路、軟體或系統漏洞等方面,每起事件皆為獨立個案,無法以通則方法進行處理,採用的工具也有所不同,MDR執行回應之前必須先行釐清狀況,才可精準地執行處理。安碁資訊即是基於SOC引擎偵測能力,搭配MDR執行工具,加快回應的速度與精準度。

自動化回應劇本輔助提升服務能量 

近年來資安市場上對於SOAR領域有許多討論,黃瓊瑩認為,SOAR本質是資安事件處理的邏輯,就像是工作流程引擎的實作,至於可實作的工具則選擇性相當多。例如Splunk併購的Phantom工作流程引擎,可事前部署各式各樣的劇本(Playbook);QRadar也有類似的引擎。關鍵在於串接工作流程的能力,必須符合組織定義的資安管理政策,同時要達到足夠精準的偵測、判斷,最後執行的回應措施才會有效益。

安碁資訊提供的服務,執行流程當然也得自行設計,工具本身只是輔助性角色。黃瓊瑩強調,「過去市場上常把安碁資訊視為就是基於ArcSight來提供服務,其實我不贊成這種說法。畢竟資安服務發展至今,過程中勢必得採用多種工具輔助,甚至包含自主研發,例如運用Hadoop平台彙整大數據、搭配Elastic Stack開源工具,藉此增強工作流程引擎以便能夠依據企業管理政策量身訂做,當SOC監控發現異常行為並確定為攻擊活動時,便可觸發工作流程執行回應,遠端派送增添防禦規則、調整控管政策等設定到資安設備,目的在於減少資安人力介入。」

安碁資訊技術副總黃瓊瑩觀察,每年爆發重大資安事故,確實讓企業高階管理層對於資安的優先順序轉變,較以往行有餘力才實施資安政策的思維完全不同。企業開始認同在數位化應用場域中,安全性已是必要的建置,為新型態營運模式奠定成功的基礎。

例如近期勒索軟體攻擊事件頻繁發生,可從遭受感染的客戶端取得實際樣本,過去的作法是轉交給防毒軟體廠商以便製作疫苗,發布更新讓客戶具備防護力,這種模式最快也必須花費一天時間。但資安服務廠商既然第一時間就已經取得樣本,現代化技術已可直接建立惡意檔案的特徵值(Hash),透過API介接餵入用戶端的防毒軟體,先一步增添聯合防禦的能力,避免可能造成的損害。「客戶的中控台託管在安碁資訊,資安團隊即可藉此主動設定,自動化回應串接完成後,可同時造福更多的客戶。」

自動化回應的劇本,屬於SOAR的一環,SOAR平台供應商大多內建有常用劇本,但是各家企業應用環境皆不同,無法僅仰賴通則的作法,唯有客製化制定工作流程才可達到滿意的精準度。安碁資訊技術團隊長年站在第一線作戰,經常面對技術精湛的攻擊者,被迫持續不斷地改善知識、工具、作戰策略等,這些實戰經驗最終都轉化為協助客戶應對資安攻擊的自動化執行程序。

 


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!