企業面對資訊安全管理的挑戰,與商務營運有許多相似之處,例如無法正確並即時掌握資訊,以致無法依事實做出正確決策,而商業智慧搜集的是企業營運或訂單等相關財務與生產資料,「智慧安全」則是搜集大量日誌檔後,重新分析、架構、重組為單一營運報表,甚至以資安現狀儀表板的方式,呈現即時企業資安現狀。
隨著企業成長,IT管理的範圍與內涵日益廣泛與複雜,但是除了來自內部複雜性的增加,外部資安攻擊的手法、技巧,也更趨於多元與高明;企業本身IT運作、系統管理等、甚至跟攻擊無涉的操作風險層次,都給企業IT部門帶來了龐大的管理壓力。
日誌檔複雜耗力仍為資安監控基本要件
企業為了監測、稽核資安政策是否被遵循,會透過各種資安軟硬體來搜集日誌檔(log file),但隨資訊安全與系統管理相關的軟硬體種類與數量越來越多,光是搜集管理日誌檔,就十分複雜、吃力。
舉例來說,在一般企業環境中,日誌檔的資料源可能來自防火牆、入侵偵測/?防護系統(IPS/IDS)、路由器、交換機、無線網路基地台、伺服器登錄檔、應用軟體登錄檔、存取與身分管理系統(AIM)、實體環境監控系統(例如CCTV)、端點防護軟體等,而資料源、軟硬體廠牌各異,可能又有不同的資料檔案格式,即便企業不要求做到即時監控,光是統整日誌檔,單靠人力根本無法達成,更遑論發生資安事件時,如何從堆積如山的日誌檔中找到事發原因,進而改進及修補。
從過去數期分享的觀點中,已說明了資訊安全其實即是企業整體風險管理中重要的一環,亦即IT風險管理。要做好任何的風險管理,資訊通透其實是重要的先決條件,唯有透明、真實的資訊,才能夠對現狀做好判斷,清楚了解風險因子影響的程度,並且擬定相關對策。
資訊系統日誌檔提供的資訊,正是判定風險狀況的重要依據,不同系統穩定產出的日誌檔記錄,也不難達到資訊的通透性。但若以為掌握這些資料,便可做好IT風險管理與資訊安全防護,不免過於樂觀。
擁有這些資料,如同手上捧著藏寶圖的海盜,就算地圖清楚交代寶藏位置,倘若地圖太大、過於複雜,就算知道其中藏有黃金屋,要找到關鍵位址,卻是不可能的任務。
智慧化管理 資安的下一步
換言之,在概念上,企業不但要從風險管理的角度來看待資安問題,在實際作業的層次上,更要讓協助企業判斷風險位置與嚴重程度的資料,將根本無法被有效理解的紛亂與機器語言狀態,轉化成系統化整理、具備意義與用來輔助決策的安全智慧報表。
「智慧安全」(Security Intelligence)可說是商業智慧(Business Intelligence)與資安管理的嶄新結合。
事實上,企業面對資訊安全管理的挑戰,與商務營運有許多相似之處,例如,無法正確並即時地掌握資訊,以致無法依事實做出正確的決策,而商業智慧搜集的是企業營運或訂單等相關財務與生產資料。
「智慧安全」則是搜集大量日誌檔之後,重新分析、架構、重組為單一營運報表,甚至以資安現狀儀表板的方式,呈現出即時企業資安的現狀,真正達成即時監控,讓管理人員取得充足、快速理解、即時且正確的資料,隨時判定企業資安風險水準高低。事實上,透過智慧安全工具的部署,也才有辦法在眾多監控資料中,統整出對「人」有意義的報表,達成真正的資訊通透,甚至預測未來風險所在才能事先預防,並據此做到良好的IT風險管理。
資安與智慧聚合 打造主動式風險管理
融合資安管理工具與商業智慧與分析技術的趨勢,早已在業界逐漸發酵。以IBM來說,過去數年來陸續購併多家資訊安全業者,從資料庫層次的安全性、入侵偵測防護,乃至軟體開發階段的弱點掃描等,不一而足。
這些資安領域的技術加入IBM後,除彼此合縱連橫組成更完整的防護部署外,還可與IBM在商業分析領域購併的Cognos、SPSS、OpenPages進行技術整合,為智慧資訊安全的願景鋪路。
商業智慧作為企業風險管理的工具,其實在財務領域已有多年歷史,已有許多業者在市場上提供取向不一的產品。舉例來說,銀行業採用商業智慧工具進行授信風險分析,甚至已經從單純的異常狀況監視,進展到依據統計分析方法進行預測的模式,讓風險管理加入預警機制,更強化風險管理的層次。
但是,同樣應屬於企業風險管理一環的IT風險管理,卻不常見到與商業智慧結合的整合式管理取向。
「智慧安全」的優點在於,能徹底把傳統仰賴人工處理、被動因應資安事件的舊有資安管理模式,透過商業智慧工具以及自動化管控機制的建立,以預測性統計分析工具,加上標準化管理規範與流程,將可帶動企業的風險管理往真正智慧化方向邁進,達到減害、避險、提高運作效率等目標。