最近更新文章
2018/10/17
Arm Pelion 物聯網平台 新生力軍 Arduino、myDevices 與 Intel
2018/10/17
NVIDIA 攜手 Oracle 將雲端應用導入下一代分析、機器學習與 AI
2018/10/17
APEC TEL 取經遠傳打造智慧城市經驗
2018/10/17
八成詐騙郵件來自非法寄件者或含可疑網址
2018/10/17
何謂適當安全維護措施 個資法無具體規定
2018/10/17
邊緣運算帶來新角色 微型資料中心應運而生
2018/10/16
Google 助理講中文 Pixel 3正式登台
2018/10/16
聚焦區塊鏈世代之資訊與數據安全議題
2018/10/16
路孚特大數據實驗室率先進駐政大創新園區
2018/10/16
ShareTech HiGuard X 多功能 UTM
2018/10/16
思納捷攜手資策會、遠傳 在新北導入「校園智慧能源雲」
2018/10/16
Xilinx 與華為在中國推出 FPGA 雲端即時視訊串流解決方案
2018/10/16
Nutanix 企業雲操作系統超融合基礎架構解決方案通過 SAP HANA 認證
2018/10/16
消除IT部門控管隱憂 UEM集中管理異質端點
2018/10/16
叢集伺服器系統升級實戰 直上WS2016免停機(上)
2018/10/15
Juniper Contrail Enterprise Multicloud 滿足企業多雲策略需求
2018/10/15
Teradata 推智慧分析平臺 運用 AI 技術即時分析、精準決策
2018/10/15
實戰eXo Platform 打造企業內部社群平台
2018/10/15
打造動態立體安全防禦 迎戰自動化攻擊時代
2018/10/14
Akamai 強化數位業務的安全性與靈活度
2018/10/14
IBM 力推「維護大聯盟」
2018/10/14
BlackBerry與Check Point聯手減輕網路安全威脅
將此篇文章跟 Facebook 上的朋友分享將此篇文章跟 Plurk 上的朋友分享將此篇文章跟 Twitter 上的朋友分享列印轉寄
2018/9/19

以X-Force為核心建構資安免疫系統

共享威脅情資 建立安全洞察力

洪羿漣
藉由更豐富、精確的入侵指標,掌握全球駭客組織慣用的戰術、技術與流程(Tactics, Techniques and Procedures,TTP)相關威脅情資,讓資安人員得以藉此提升調查與分析效率,及早發現威脅活動,進而採取行動預防重大事故發生,已成為資安產業共同的發展趨勢。
IBM X-Force Exchange首席架構師Ron Williams引用研究機構ESG(Enterprise Strategy Group)發布的數據指出,目前全球有65%企業開始訂閱外部威脅情資,且平均多達5種不同領域來源;另一份由Grand View Research市調機構提出的報告中則預估,全球威脅情資市場規模,將以每年17.4%複合成長率持續發展至2025年達到126億美元。

▲ IBM X-Force Exchange首席架構師Ron Williams指出,X-Force Exchange平台支援RESTful API,運用標準JSON進行互動,以及支援STIX、TAXII標準格式描述威脅情資,來達到分享的目的。
對於資安人員而言,豐富的威脅情資確實有助於日常監控與事件調查,問題在於資料量過於龐大時,必須有機制可協助依據企業工作流程建立關聯性,以便提高分析並且判斷潛在威脅行為的效率,再依據風險等級調整因應措施,來改善弱點、預防發生事故。此時,雲端型的IBM X-Force Exchange威脅情報共享平台即可成為輔助工具,藉以快速掌握威脅指標,盡可能跟進威脅變化的腳步。

Ron Williams進一步說明,企業通常會透過SIEM蒐集取得各式各樣的日誌檔案,例如IBM QRadar平台,藉此建立能見度,以及撰寫因應規則,在資安事件發生時觸發執行處置。X-Force Exchange的定位則是建立工作流程平台,協助資安人員調查事件真偽、嚴重等級、可能造成的影響等判斷決策。

在X-Force Exchange平台上具備資訊集合(Collection)機制,當資安人員發現SIEM系統的回應規則被觸發,即可藉此平台深入查探細節、釐清威脅指標、風險等級、相關的入侵指標,甚至是匯出成為STIX/TAXII標準格式檔案,餵入(Feed)支援情資交換的SIEM平台,進而轉寫規則引擎可執行的判斷式,來檢查內部IT環境遭受感染的狀況,再整合端點偵測回應方案執行清除、修補與更新。實作方式是透過平台提供的SDK,整合既有的防火牆、IPS等資安設備,每隔5到10分鐘自動同步資料庫,確保惡意IP清單等入侵指標保持最新狀態,以建立即時阻擋措施。

「IBM的情資蒐集,首先是基於全球蒐集取得的垃圾郵件、DNS查詢記錄等,每天掃描大約1,700多萬封垃圾郵件、320億個網頁,追蹤惡意程式與垃圾郵件來源,並透過Quad 9的免費DNS服務來解析釣魚網站與惡意網站,同時監看全球超過2萬個資安代管網路設備的運作狀態,藉此建立對於金融業、零售業等產業的洞察報告。」Ron Williams說。另一種是運用IBM機器學習演算法,對大數據資料進行解析並予以分類,一旦機器無法判讀則交由資安團隊以人工執行拆解分析,可增進威脅情資的品質,提高判斷精準度並降低誤判率。

這篇文章讓你覺得滿意不滿意
送出
相關文章
資安邁入認知安全時代 依情資持續推理學習
留言
顯示暱稱:
留言內容:
送出