莊添發表示,以賽門鐵克協助企業的經驗來看,當開始做資安事件調查時,例如欲了解入侵行為是如何發生時,會先請企業的IT人員將防火牆的Log、IIS Log等全部提供過來,再用SIEM的工具開始做分析,這種手動的協助工作就是SIEM平常就自動在執行的解析,如果當企業有導入SIEM解決方案時,這些Log在平時就直接匯入到SIEM平台中,讓SIEM去分析,當發現有外部連線在掃描內部網路,或是有人惡意在做SQL嘗試,就可以馬上核對這些攻擊行為是否連線成功或失敗,並且能針對這些系統中的漏洞主動地做處理。
SIEM第一個步驟是從大量的網路接取設備中收集Log,接著要能夠自動化做事件分析及等級分類,賽門鐵克SIEM產品Symantec Security Information Manager(SSIM)可將成千上萬筆資料自動判斷等級,分1到5級。依照事件的嚴重性來分等級,最基本的等級1可能代表有外部連線在進行掃描,但都是針對不重要的設備,或是防火牆偵測到外部的已知攻擊IP在做連線並且已阻擋,嚴重性到4級以上的事件通常只剩下個位數。
他表示,要發揮SIEM平台的作用,最重要的還是要有IT管理人員檢閱報表。如果IT檢閱人員都會固定閱讀普遍的防毒報表,但是像防火牆的Log非常多,報表就不是每個企業組織都會固定去檢閱,或是以IIS Log為例,如果網頁對企業營運來說相當重要的話,如果沒有Web的防護,也沒有人去看IIS Log,等於將組織營運完全暴露在攻擊環境下。雖然如此,還是很少企業願意認真的檢閱Log和事件報表紀錄,甚至有時候管理設備人力分散,沒有任何交叉比對的機制。
通常惡意攻擊來源不太可能在很短的時間內就把所有攻擊行為完成,一般會先以早期掃描網路、測試攻擊等,最後才滲透到內網,SIEM就能保護防止企業網路長期受到的威脅。「通常外部攻擊事件從IIS Log就能顯示出SQL Injection,可能先期Log紀錄發現只有幾筆資料外洩,接下來可能就已經上載了駭客工具到內網中,接著改網頁作其他攻擊等,所有動作SIEM都能彙整出來。雖然惡意攻擊事件還是有可能產生,但是能在最短的時間內循線排除,避免更嚴重的安全問題發生。」莊添發說,以SQL Injection為例,如果能透過SIEM檢視這些應用程式是否有問題,當下發現並且修補,就能夠避免後續的攻擊事件。
SIEM自動化的機制是有必要存在的,例如密碼輸入錯誤,可能間隔很長時間才出現一次密碼錯誤,就能判斷這屬於人為失誤,但是如果在一分鐘內錯誤嘗試相當多次,就可能是用工具在做攻擊掃描,SIEM能自動歸類分析。但是如果要以人工檢閱所有登入失敗產生出來的Log清單,完全不可能比對到底哪些屬於人為失誤還是惡意攻擊。
這些動作都是為了能做到資安早期預警,不要等到事件發生後才來做這些動作,也對企業內部做到風險控管,很多企業不知道內部網路風險在哪裡,透過SIEM的解決方案就能清楚完整地掌握。