隨著企業逐階段落實數位轉型,資安風險亦須重新評估,以確保新興應用模式得以如預期運行。近幾年興起的攻擊面管理(ASM),即是著眼於數位資產快速增加,不受傳統網路裝置、伺服器、資料中心以及網路的實體限制,導致基於企業營運需求及數位服務可用性的攻擊面迅速變動。
對此,趨勢科技Trend Vision One雲原生平台,發布ASRM(Attack Service Risk Management),以協助企業理解應用場域究竟潛藏多少可供駭客利用的攻擊面,對風險形成統籌認知。
趨勢科技台灣區技術總監劉家麟指出,攻擊面管理概念自2021年起成為資安界矚目焦點,也開始獲得企業青睞。由於攻擊面管理本質上是種全面性的資安策略,改用駭客組織的視角來評估企業資安狀態,過程中不僅包含了部署於網路和端點的資安偵測與防禦技術,而且強調將這些解決方案所產生的資料匯集至統一的平台,以便關聯與評估攻擊面的風險,藉此讓以往資安防護思維由被動轉變為主動。攻擊面管理可基於最新取得的威脅情資運行分析,來識別並緩解數位資產潛在的安全隱患,降低受到惡意攻擊成功的風險。
儘管以往的資安管理措施也具備某些攻擊面管理元素,例如弱點掃描、資產盤點、漏洞管理等,劉家麟認為,這些手段僅為攻擊面管理框架中的部分,而非全部。他說明,以往的弱點掃描著重於識別作業系統和辦公軟體的漏洞,讓IT部門可以針對這些弱點進行修補和更新。然而,僅靠弱點掃描是不足夠的,因為它的焦點局限於已知的弱點,而攻擊面管理的範疇則擴及到整個應用環境,且要求企業持續地、甚至自動地識別並緩解潛在安全疑慮,以抵禦日益複雜的威脅。
理解攻擊面風險生命週期
趨勢科技Trend Vision One雲原生平台提供的ASRM,也就是攻擊面管理,透過無須安裝代理程式的雲端原生漏洞掃描,讓混合雲環境具備風險可視性,且能持續發掘、評估及防範企業IT生態系的風險。有別於一般的設備監控和挖掘風險,ASRM是從駭客的觀點來評估資安漏洞因素,包括人員、流程及技術的整體風險。
劉家麟說明,攻擊面風險管理的目標是要將資安風險評估營運化,而這就需要持續掌握攻擊面風險的三個生命週期階段:發掘、評估、防範。 首先,必須要具備完整的可視性,才有能力發掘與持續監控已知、未知、內部以及對外連網資產。過往企業導入部署的端點防護、入侵偵測系統、進階威脅防護、郵件安全等資安解決方案,皆為獨立運行執行特定任務,產生的日誌檔案難以彙整到統一平台,無法提升整體資安架構的可視性。諸如採用開放原始碼的雲原生新專案、新加入的使用者、聯網裝置等資產,若在因應營運調整時無法立即掌握與控管資安風險,一旦出現人為疏失、設定配置不當等弱點,往往直到發生資安事件後才會得知。
擁有了可視性後,接下來須做到風險評估。也就是要能在整個應用場景生態系發生變化時立即掌握,並且運用國際威脅情資、已知漏洞、弱點檢測等方式,計算出風險分數,以便排定優先順序,讓資安團隊先針對危險程度最高的風險施以控管措施。劉家麟指出,Trend Vision One進行風險評估方式,可從端點、網際網路公開資產(Internet-Facing Assets)、帳號、應用程式、雲端資產、API等不同面向賦予風險分數。
防範風險弱點被惡意攻擊者利用,可說是攻擊面管理的核心目的。Trend Vision One平台的ASRM服務,可提供防範風險遭利用的行動指引,例如虛擬補丁、調整組態設定、控制使用者存取參數等。同時也將回應流程轉化為自動化運行腳本,資安人員亦可依據應變管理辦法調整腳本流程,或是在特定處理階段要求須由其他部門承辦人員確認後才繼續自動施行,以貼近企業管理流程。
統一平台彙整資料AI助理輔助解析
就現行市場上提供攻擊面管理的技術供應商來看,可發現領域相當廣泛,例如防火牆、端點防護、資產管理、漏洞管理等業者,皆有提供攻擊面管理方案。這些供應商基於自家擅長的研發技術,來整合和處理從不同管道獲取的資料,這些資料可能包含了威脅情資、檢測指標、系統當前狀態等。
趨勢科技台灣區技術總監劉家麟指出,Trend Vision One平台搭配Companion輔助推動資安分析的效率與準確度,也為企業提升了辨識資產與控管風險的能力,強化數位資產的資安韌性。
劉家麟認為,攻擊面管理的關鍵能力之一在於融合不同管道產生的資料格式。以趨勢科技為例,對於Trend Vision One平台而言,網路安全、端點防護、雲端應用程式安全代理(CASB)、網站安全閘道(SWG)等解決方案,皆為感知器的角色,負責收集企業營運流程產生的資料,統一回報到Trend Vision One平台,運行關聯分析,使整體攻擊面進行更精準的風險評估。
Trend Vision One平台已運用生成式人工智慧(AI)技術增添Companion助理。他表示,Companion為趨勢科技的資安專家在AI與機器學習領域累積數十年的創新結晶,可協助資安團隊提高工作效率,準確地管控數位攻擊面,在風險演變成資安事件之前預判並加以攔阻。
因應措施轉化為Playbook增進韌性
生成式AI是基於大型語言模型(LLM)的先進技術,具備從大規模資料集中學習的能力。這種技術不僅能夠解讀並總結資訊,還能創造出全新的內容。利用Companion訓練完成的AI模型,能大幅減輕資安團隊的工作複雜度,除了提高生產力,亦可用來降低工作門檻,讓資歷較淺的資安人員也能更快上手,避免人才短缺帶來衝擊。
Trend Vision One平台憑借原生感知器、最新的威脅情資,運行預判式風險洞察,為企業提供了一個新的視角,理解自家資產在數位世界可遭受攻擊的環節。搭配生成式AI技術設計的Companion助理,改變擴展式偵測與回應(XDR)觸發告警的處理流程,讓資安團隊可快速理解事件內容。同時藉由Companion進行分類,亦可提供後續處理的建議。
舉例而言,資安團隊經常因為告警事件過多,而難以分辨回應處理的優先順序。此時可透過自然語言方式詢問Companion,取得事件摘要,並可逐一說明攻擊的步驟、交叉關聯攻擊手法與技巧,明確指出攻擊的範圍及其造成的衝擊。如此一來,資安團隊便能準確地協調出因應措施,轉化為自動化劇本(Playbook),提升防範攻擊的能力。