自從資安事件頻繁登上媒體頭條後,引發更多產業開始關注,特別是本土堪稱資安管理模範生的半導體製造商,其晶圓廠也遭受勒索軟體感染釀成幾十億元的損失,促使正在轉型的企業更積極尋求面對現代攻擊的因應之道。
目前企業端資安環境遭遇到的困境,Palo Alto Networks資安顧問曾國偉觀察,中小企業至今仍是網管或系統工程師兼任,只能仰賴資安設備或軟體協助防護;而深受法規限制的產業或組織,內部雖設立獨立的資安部門,則是遭遇到資安防護措施告警數量過多,難以釐清潛在的異常活動。對此,市場上新興的資安協調、自動化與回應(SOAR)方案逐漸浮上檯面,不僅既有的資安事件管理(SIEM)平台紛紛以併購手段取得技術,由次世代防火牆起家的Palo Alto Networks,也以2019年收購的Demisto為基礎,於近期推出Cortex XSOAR平台,運用自動化機制來降低資安維運中心(SOC)團隊無效率的工作負擔。
此外,Palo Alto Networks亦有提供雲端安全防護,在雲端平台上已經部署相關方案,透過機器學習演算分析與自動化機制來解決問題,收購Demisto技術正好同時輔助客戶與自家的SOC團隊。
傳承事件處理經驗提升團隊生產力
過去SOC人員依靠SIEM平台蒐集設備與端點相關日誌進行關聯性分析,但以規則為基礎的方式來執行回應通常得耗費較多時間,恐難以抵禦現代多變的攻擊手法。對此資安市場再演進興起SOAR,共同的認知都是必須提高資安事件處理效率,降低平均回應時間(MTTR)與平均檢測時間(MTTD),才能有效地控制資安風險。但SOAR的實作方式是運用大數據分析,建立自動化機制來輔助回應資安事件。
「提出SOAR作法的主要是新創公司,即代表SIEM平台所提供的資安協調與自動化應用需求尚未被滿足,唯有新創公司才有能力打破僵固的思維,從客戶的角度切入發展技術來解決眼前問題。我們也發現資安協調與自動化回應事件是大勢所趨,才在2019年收購Demisto,整合自家方案打造Cortex XSOAR平台。」曾國偉說。
以往資安維運人員會根據不同資安狀態撰寫腳本,提高威脅偵測效率並且緩解遭滲透的風險,問題是,員工會有離職、職務調動的狀況,腳本交接給新人往往難以延續,因而重新撰寫。由此看來,過去維運的經驗並未達到累積的效果,勢必須建立一套可重複被使用的機制,才不至於讓經驗無法傳承。 SOAR可搭配既有SIEM建置的大數據平台運行資料探勘(Data Mining),從資料集中提取出未知的潛在威脅,繪製成決策圖,輔助資安人員判斷事件為善意或惡意。為了提高精準度,不同領域掌握的情資可進行交換,擴充辨識與判斷的範疇,藉此持續改善運算分析,達到高精準度。整體流程透過劇本(Playbook)方式執行。Cortex XSOAR目前已攜手將近四百家不同領域廠商的產品,基於API介接呼叫串連運行,可讓資安維運人員直接指定須撈取的資料,不用再從頭開發腳本。
Playbook工作流程中勢必會遇到設備廠商、企業內部自主開發的應用系統未提供API,必須自行撰寫腳本來撈取資料,但也只需撰寫一次即可納入不同Playbook工作流程中執行,對團隊成員或新進員工而言,可藉此學習事件調查與處理的完整流程,未來遇到類似事件時可成為參考或調整套用,如此一來,團隊成員彼此相互學習成長,有助於增進生產力,更不至於出現資深高手被挖角而後繼無人的窘境。
IT工作流程轉化成Playbook執行
攻擊活動的起手式通常是透過釣魚郵件進行滲透。現階段企業對郵件的偵測、分析、判斷,通常仰仗防惡意郵件設備、沙箱技術分析附加檔案,以及基於IP或網址信譽評等資料庫判斷善意或惡意,不同領域各有其擅長的供應商,產生的日誌資料彙整至SIEM平台之後,由專業資安人力監控運行狀態。但若採用Playbook串連偵測、分析、判斷各個環節,自動執行整體流程,直到計算出風險值,依據高、中、低風險配置相對的回應措施,大約10秒內即可完成。「這正是Cortex XSOAR優勢之處。」曾國偉強調。
只要定義好標準,透過工具建立自動化運行程序,勢必較人力監控更有效率。當然還是會有需要人力介入的狀況,亦可在Playbook中撰寫,若出現高風險狀況時就指派人力查看。一旦經過確認為零時差攻擊,且處理完成後,即可從中學習到經驗,進而調整Playbook定義的標準。最終目的是把資安專家討論出來的結果轉化為Playbook,如此一來,九成以上的攻擊滲透即可運用自動化機制精準處置,資安專家只要專注在不到一成的例外事件即可。例如判斷釣魚郵件,可自動檢查網域名稱相關資訊,若為新註冊卻立即發送郵件,幾乎可直接判定為惡意網域,此時就把相關資訊都撈取進來,在郵件伺服器上設定黑名單,並且把已經進入收件夾的郵件進行隔離。
SOAR不只是可達到自動化安全保護,亦可輔助提升維運效率。曾國偉以實際應用案例說明,某客戶的IT部門運用Cortex XSOAR設計Playbook來處理新進員工例行庶務,當新進員工到人資部門報到後須開通電子郵件,工作流程會自動透過介接人資系統提取相關資料,即可依據職務自動設定帳密與郵件位址,並且配置工作必要存取的系統權限。實際上,只要是IT工作流程都可轉化成Playbook自動執行。
圖說Palo Alto Networks資安顧問曾國偉指出,市場上所謂的SOAR產品,在Palo Alto Networks就是XSOAR,前面的「X」強調蒐集取得的資料來源可橫跨地端與雲端的異質技術領域,以豐富的大數據讓機器學習演算分析,加速事件處理速度。
對於剛接觸SOAR的IT人員而言,Cortex XSOAR平台內建多種範本,企業可依據應用場景調整規則,只要在圖形化操作介面上以拖拉方式設計Playbook即可。曾國偉說明,程式開發著重的是邏輯,Playbook則是以易於理解的方式設計工作流程,運用近四百種已整合的產品,各自具備不同的執行任務,只要在圖形化操作介面上拖拉放來建立。若為客製化應用系統,亦可在事前先自行撰寫撈取資料的執行任務,以便於配置。
相較於其他同類型解決方案,Demisto研發的核心優勢之一,即是可便於設計Playbook。當前SOAR方案提供圖形化介面設計Playbook已是基本必備,但經常會遇到無法重複使用,以及內建整合第三方產品數量不多,執行項目須自行撰寫程式呼叫的狀況,反觀Demisto設計的操作介面中,已提供第三方產品功能性清單,讓IT人員配置時一目了然,只要掌握處理工作相對應流程,即可運用Playbook來實施。