藉由更豐富、精確的入侵指標,掌握全球駭客組織慣用的戰術、技術與流程(Tactics, Techniques and Procedures,TTP)相關威脅情資,讓資安人員得以藉此提升調查與分析效率,及早發現威脅活動,進而採取行動預防重大事故發生,已成為資安產業共同的發展趨勢。
IBM X-Force Exchange首席架構師Ron Williams引用研究機構ESG(Enterprise Strategy Group)發布的數據指出,目前全球有65%企業開始訂閱外部威脅情資,且平均多達5種不同領域來源;另一份由Grand View Research市調機構提出的報告中則預估,全球威脅情資市場規模,將以每年17.4%複合成長率持續發展至2025年達到126億美元。
 |
| ▲ IBM X-Force Exchange首席架構師Ron Williams指出,X-Force Exchange平台支援RESTful API,運用標準JSON進行互動,以及支援STIX、TAXII標準格式描述威脅情資,來達到分享的目的。 |
對於資安人員而言,豐富的威脅情資確實有助於日常監控與事件調查,問題在於資料量過於龐大時,必須有機制可協助依據企業工作流程建立關聯性,以便提高分析並且判斷潛在威脅行為的效率,再依據風險等級調整因應措施,來改善弱點、預防發生事故。此時,雲端型的IBM X-Force Exchange威脅情報共享平台即可成為輔助工具,藉以快速掌握威脅指標,盡可能跟進威脅變化的腳步。
Ron Williams進一步說明,企業通常會透過SIEM蒐集取得各式各樣的日誌檔案,例如IBM QRadar平台,藉此建立能見度,以及撰寫因應規則,在資安事件發生時觸發執行處置。X-Force Exchange的定位則是建立工作流程平台,協助資安人員調查事件真偽、嚴重等級、可能造成的影響等判斷決策。
在X-Force Exchange平台上具備資訊集合(Collection)機制,當資安人員發現SIEM系統的回應規則被觸發,即可藉此平台深入查探細節、釐清威脅指標、風險等級、相關的入侵指標,甚至是匯出成為STIX/TAXII標準格式檔案,餵入(Feed)支援情資交換的SIEM平台,進而轉寫規則引擎可執行的判斷式,來檢查內部IT環境遭受感染的狀況,再整合端點偵測回應方案執行清除、修補與更新。實作方式是透過平台提供的SDK,整合既有的防火牆、IPS等資安設備,每隔5到10分鐘自動同步資料庫,確保惡意IP清單等入侵指標保持最新狀態,以建立即時阻擋措施。
「IBM的情資蒐集,首先是基於全球蒐集取得的垃圾郵件、DNS查詢記錄等,每天掃描大約1,700多萬封垃圾郵件、320億個網頁,追蹤惡意程式與垃圾郵件來源,並透過Quad 9的免費DNS服務來解析釣魚網站與惡意網站,同時監看全球超過2萬個資安代管網路設備的運作狀態,藉此建立對於金融業、零售業等產業的洞察報告。」Ron Williams說。另一種是運用IBM機器學習演算法,對大數據資料進行解析並予以分類,一旦機器無法判讀則交由資安團隊以人工執行拆解分析,可增進威脅情資的品質,提高判斷精準度並降低誤判率。