從攻防演練看資安威脅與因應之道 - TWNIC · 談企業資安因應之道... • 「資訊安全」是⼀個「流程」制度,不是單純的「技術問題」 • 「資訊安全」是⼀個「管理」議題,不是單純的「技術⽅案」
從資安威脅情資 看企業安全 防禦之道 · 20 財金資訊季刊 / no.94 / 2018.12...
Transcript of 從資安威脅情資 看企業安全 防禦之道 · 20 財金資訊季刊 / no.94 / 2018.12...
20 ■ 財金資訊季刊 / No.94 / 2018.12
本期企劃〡從資安威脅情資 看企業安全防禦之道
從資安威脅情資 看企業安全防禦之道
金天威 / 台灣 IBM資訊安全事業部協理 謝明君 / IBM全球威脅防禦解決方案協理
一、 前言
依據安全公司 Risk Based Security 近期
發布的報告顯示,2017年披露的安全性漏洞
數量高達 20,832個,較 2016年上升 31.0%,
創下歷年最高紀錄。其中,7,900個安全
性漏洞並未收錄進 MITRE的通用漏洞列表
(Common Vulnerabilities and Exposures,CVE)
和 國 家 漏 洞 資 料 庫 (National Vulnerability
Database,NVD),更有 44.5%的漏洞,在新版
通用漏洞評分系統 (CVSSv3)中,得分處於 7.0
到 10之間,屬於高危險漏洞。這不啻為全球
企業帶來重大風險,因為,未收錄進 CVE和
NVD的事實,意謂著全球多數企業根本沒有
注意到這些高危險漏洞的存在。
2017年是漏洞披露創紀錄的一年,我們
見證資料洩露事件不斷增多,資安防護工作
的難度和重要性,亦屢創新高。重大資安威脅
年年都上媒體頭版新聞,面對層出不窮的攻擊
事件,駭客不斷針對特定產業和客戶進行網路
攻擊,如果企業的漏洞情資解決方案,沒有覆
蓋 2017年披露的 2萬多個漏洞,必然面臨比
以往更大的風險;企業迫切需要及時取得具高
效且足夠詳盡的威脅情資,以結合現有資安平
台,迅速並有效阻絕資安漏洞,同時維護競爭
優勢與網路安全。
二、 威脅情資共享扮演的重要角色
掌握威脅情資就如同戰場上的偵察機,可
深入敵營、瞭解敵區的各種動態和最新部署,
及時調整防禦工事,以獲致最大勝算。而威脅
情資與資安防護工具的整合,可針對攻擊者
不斷更新的惡意站點與威脅指標 (Indicator of
Compromise, IOC),提供即時的威脅情資整
合資訊,以達到事前及事中的偵測與阻絕,提
高資安防禦能力。在當前企業的資安防護工作
上,威脅情資扮演極為重要的角色,儼然成為
企業安全基礎設施的重要一環。
目前已知有許多全球化的威脅情資交換
平台,提供有關漏洞 (Vulnerability)、IP、
URL、惡意程式 (Malware)及相關網際網路
應用程式的詳細資訊,俾供資安工作人員、
資安廠商及客戶進行訊息的取用、查詢及分
享。以 IBM為例,每日從全球 133個國家、
逾 4千個託管用戶的 2萬多台監管設備中,所
蒐集的訊息超過 150億筆事件,目前已累積
逾 320億筆的網路資訊、800萬筆的釣魚及攻
www.fisc.com.tw ■ 21
從資安威脅情資 看企業安全防禦之道〡本期企劃
擊內容,並包含逾 10萬個漏洞資訊及上百萬
件惡意軟體樣本。另於 2017年,IBM宣布和
Cisco策略聯盟中,也包括威脅情資平台情資
共享、情資研究及安全事件合作;唯有持續增
加資安威脅平台的廣度和深度,方能期待精確
且快速地回應各式安全威脅。
圖 1 IBM X-Force資安威脅情資平台
威脅情資須互通有無、協同合作,才能更
有效面對日新月異的攻擊。運用威脅情資解決
方案,可為企業帶來以下價值:
(一 ) 提供高階的資安威脅情資,內容包括攻
擊行為者、威脅活動、事件及可信任憑
證訊息。
(二 ) 透過威脅情資提供的眾多觀測類別與威
脅指標,可對企業的資安環境提供更有
效控制,如新的漏洞或攻擊、網站過濾、
IP位址信譽、網頁應用控制、反垃圾郵
件、惡意程式資訊等。
(三 ) 藉由威脅情資提供的API或SDK等方式,
可自動化整合現有資安平台,將最新威
脅情資匯入至相關系統,替代傳統的人
工作業並加快事件分析速度,為資安平
台提供更智能的應對能力。
三、 威脅情資與管理系統的協作-落實企業資安防護
威脅情資除與傳統的網路基礎防禦體系如
防火牆、入侵防禦偵測等整合外,對於現今複
雜多變且日益精進的攻擊手法,仍得藉助於安
全資訊與事件管理系統 (Security Information
and Event Management,SIEM)的幫忙,以協
助整合各安全節點資訊,結合諸如資產訊息、
即時威脅指標等,進行協同防禦工作。SIEM
平台可收集多樣且複雜的安全事件 (event),
並分析前後關聯資料 (correlation),進而診斷
企業資安態勢,俾更全面理解威脅、消除誤
報,形成主動與智慧的資安防禦體系。
SIEM雖是有效連結內部資料和提取威脅資
訊的起點;然而,SIEM通常僅能識別和標記已
知威脅,如果一個持續的攻擊者使用新的技術
或工具來抵禦企業的檢測,SIEM對這種新的攻
擊方法並不熟悉,無法有效檢測。隨著攻擊者
技術不斷變化翻新,企業須更加瞭解威脅的本
質、意圖、技術和造成損害的能力,並過濾原
始雜訊以免干擾事件的監控和回應,爰藉由威
脅情資平台,企業可匯總並將威脅資料篩選出
攻擊指標作為可解讀的威脅情資集合,並與現
存的日誌比對,以便發現不常見的趨勢或線索;
22 ■ 財金資訊季刊 / No.94 / 2018.12
本期企劃〡從資安威脅情資 看企業安全防禦之道
威脅情資平台是一個動態系統,從許多不同的
來源自動接入威脅資料,並將資料相互關聯,
與企業的基礎安全設施緊密連動,幫助企業完
成須耗費大量人力的情資威脅分析,追蹤事件
始末,大幅節省傳統 SIEM可能誤報所投入的
時間,幫助企業做出更快速的回應和決策。
威脅情資平台與 SIEM的協作,可幫助企
業達到以下幾點:
(一 ) 日誌、網路流和威脅資料的進一步分析:
來自威脅情資平台的攻擊指標將自動發
送到SIEM中進行告警,同時可在威脅
情資平台確定哪些來源或工具經識別為
惡意行為,並在網路中定位,提供分析
人員清楚掌握惡意行為所在位置。
(二 ) 建立企業自身威脅知識庫:威脅情資平
台提供一個儲存所有威脅資料、團隊記
錄和相關文件的地方,可作為企業的中
央威脅知識庫;促使企業掌握網路犯罪
分子的工具、流程、受害者和預期目標,
進而將過往攻擊者活動與當前資訊進行
比對和關聯性分析,並從過去的攻擊中
學習,主動阻止攻擊者當前和未來可能
的攻擊機會。
(三 ) 企業安全投資最佳化:利用內建的工作
流程,威脅情資平台提供企業在安全基
礎架構中,自動共用威脅情資和SIEM
相關日誌,以便調適最佳安全投資,並
瞭解安全體系的整體健康度。
(四) 根據企業環境生成和優化情資:威脅情資
平台增加事件的可讀性和關係豐富的指
標,因而使企業能夠更好地瞭解威脅的性
質及對企業的風險,更有效地做出全面反
應,幫助企業從戰略上挫敗攻擊者。
(五 ) 形成主動防禦:威脅情資平台可顯示當
前攻擊企業的威脅與可能存在威脅之間
的關係,讓企業安全團隊跨過自己的網
路尋找線索和聯繫,並發現新的相關情
資,將被動防禦轉為主動防禦。
在配備威脅情資平台的情況下,SIEM才
能發揮最大效能。企業可將所有人員、程序和
技術等統一在智慧驅動的防禦背後,獲得強大
的效果,並優化資料以進行快速分析:
(一 ) 識別重要威脅:彙集企業內部日誌,並
將其與威脅情資相結合,以快速識別威
脅及做好回應工作。
(二 ) 更好地瞭解威脅的本質:提升SIEM的
能力,為告警和事件添加情境和關聯豐
富的資訊,幫助企業更好地瞭解風險,
做出更有針對性的回應。
(三 ) 強化企業內部安全能力:藉由共享威脅
情資,並使用可靠的情資來源,以強化
企業安全能力。
(四 ) 資料共用和儲存:利用自建的資安平台
儲存歷史威脅資料,以建立更完整之知
識庫,描述重新出現或持續存在的威脅。
(五 ) 優化工作流程和編排:配合資安平台的
工作流程,與其他安全基礎架構整合,
將自身的事件資料轉化為內部威脅情
資,以實現其安全價值。
四、 威脅情資結合認知安全-提升資訊安全態勢感知
企業在安全課題方面仍面臨三個關鍵挑
戰-情資、速度和準確性。最新的作法是運用
機器學習、自然語言處理等技術,幫助企業減
少須耗費大量人工收集、閱讀和理解的威脅報
告、部落格文章等文本內容上所消耗的人力與
時間,進而提供建議和佐證來輔助決策。藉由
Watson的人工智慧正式將認知技術引入安全
www.fisc.com.tw ■ 23
從資安威脅情資 看企業安全防禦之道〡本期企劃
營運中心,並提出認知型安全的概念。企業安
全團隊平均每天要從 20萬起安全事件中,篩
選出真正重要的問題,Watson最重要的功能,
就是幫助企業迅速確認安全事件的等級類別,
並展示威脅是如何隱藏於網路環境中。
認知技術可理解浩如煙海的結構化和非結
構化數據,自動攝取諸如研究報告、最佳實踐
等資訊,藉此幫助企業安全人員快速提升業務
水準和洞察力。同時,認知技術可使用如機器
學習、集群、數據挖掘和實體關係模型等分析
方法,來識別潛在威脅;可在攻擊發生前,加
速對高風險使用者行為、數據洩露和惡意軟體
的檢測。當然,Watson並不會代替企業安全
人員做出決定,Watson仍不斷地學習精進,
對威脅的整體防禦能力也在進步中。
「檢測→發現疑似攻擊→判斷 (即確認是
否為誤報 )→回應」是大部分企業安全人員的
主要工作流程,目前企業的安全架構還是集
中在防禦、檢測和回應這三部分。然而,企業
不可能防禦所有安全威脅,但是卻可在事件和
攻擊發生的前期感知到,這也是目前態勢感知
更強調「檢測」技術的原因之一。同時,檢測
與回應的聯動性亦至關重要,快速回應可幫助
企業儘可能減小損失,以認知安全結合威脅情
資,協助企業完善資安策略與行動。
首先,感謝您撥冗閱讀「財金資訊季刊」!
歡迎您提供我們寶貴的意見或建議,讓我們攜手共同耕耘季刊這畝園
地,以求豐富季刊的內容,提升對您的服務。
敬請不吝賜教,並請將意見或建議以電子郵件傳送至財金資訊公司管
理部文書組鍾小姐 [email protected]。
讀者心聲
五、 結語
在媒體報導企業屢屢遭駭、個資頻頻失竊
的今日,吾人已成驚弓之鳥,不知道面對的網
路環境是真是假,害怕進行陌生訪問。從近年
的威脅來看,駭客多半是透過新的漏洞進行攻
擊、且連連得逞,不斷增加的安全漏洞,製造
了更多可乘之機。雖然各大企業早已部署種種
資安防禦解決方案,網路安全防護裝置亦多半
會預先定義已知的惡意網站,但駭客同樣清楚
這點,所使用的站點亦會一直改變以規避攻擊,
不斷翻新的攻擊手法與漏洞,導致企業的防護
能力失效,最終不免成為駭客手下犧牲者。
資安防禦如同戰場備戰一樣,要料敵機
先,威脅情資的蒐集與整合工作絕不可少,企
業可利用各資安廠商的專業情資以及時瞭解並
掌握安全方面的最新情資;企業安全防禦需要
不斷求新、協同並快速回應,才不致成為下一
個受害者。正所謂「毋恃敵之不來,恃吾有以
待之」,企業唯有知己知彼,才能百戰百勝。
(本論述不代表本刊或財金資訊公司立場 )
※參考文獻 /資料來源:RiskBased Security,2018/02/15,7,900 Vulnerabilities In 2017 You Aren’t Aware Of May Put Your Organization At Risk。