將此篇文章跟 Facebook 上的朋友分享將此篇文章跟 Plurk 上的朋友分享將此篇文章跟 Twitter 上的朋友分享列印轉寄
2019/6/11

全盤掌握相關威脅情資 資安團隊以逸待勞隨時反擊

強化資安監控密技 對抗網路駭客不落下風

Jeremy Goldstein
遊戲主機的出現,對遊戲產業造成翻天覆地的影響,在單一介面上就可以玩各種遊戲,只要插入不同的卡帶,就可以享受額外的功能。如同電玩消費者轉向追求整合式的電玩平台,各大企業資安長也紛紛尋求可以跟著企業發展持續新增功能的整合式解決方案。


資安和電玩是過去二十年少數業績成長快速的產業。這兩大產業在過去幾年不僅見證了使用者數量的消長,還有消費者喜好不斷改變。兩大產業除了要學習適應各自平台的轉型,也要自我革新,才能夠適者生存。

從獨立街機遊戲機台 到隨插即用的解決方案

許多人對電玩產業最早的印象就是街頭電玩店,每次只要新的遊戲機一推出,店家就要花費一大筆錢購買機台,像是「真人快打II」及其系列遊戲發行時,新機台並未與原有的「真人快打」遊戲機台相容,店家每次都必須花錢投資新的遊戲機。資安也面臨諸如此類的困境,各企業組織部署的80多種的資安產品往往來自於40多家供應商。

遊戲主機的出現,對遊戲產業造成翻天覆地的影響。玩家不再需要為每一款新遊戲購買全新的機器,而是在單一介面上就可以玩各種遊戲,「超級任天堂(SNES)」就是個經典例子,只要插入不同的卡帶,就可以享受額外的功能。比起花大錢買體積龐大的獨立遊戲機,消費者當然更偏好模組化平台,隨時都可以添加新的遊戲。

如同電玩消費者轉向追求整合式的電玩平台,各大企業資安長(CISO)也紛紛尋求可以跟著企業發展持續新增功能的整合式解決方案。即使在資安產品更加整合和資安資料更為統一的同時,企業組織該如何從這些資料中汲取可行的洞察,才能夠更了解攻擊者、縮短資安事件分析所需的時間,並能對所處環境有更深刻的理解?

電玩遊戲設計與威脅情資之間的關聯性

威脅情資可連結許多資安工具中特定威脅識別(Threat Identifiers)並於其中提供相關資訊,協助資安人員主動進行調查、事件應變和啟動補救工作流程。若要打造威脅情資策略協助分析人員迅速偵測威脅,並培養資安營運中心(SOC)領導階層得以做出明智決策的能力,就必須考量貴企業組織基於產業特色、地理位置以及關鍵資產等特性所衍生的特殊需求。

電玩設計師在設計遊戲時,也會因遊戲類型及目的而選擇著重不同面向,但仍有三大面向是在設計遊戲時不變的原則:

1. 角色和玩家

在開發電玩遊戲角色時常採用好人、壞人二分法,這也反映了企業組織和資安威脅之間如「貓抓老鼠」的關係。無論是瑪利歐大戰庫巴或是資安分析師對抗網路駭客,都必須瞭解攻擊方背後的動機,才能精準預測他們的下一步。

不管攻擊者是要綁架公主或洩漏敏感資訊,只要深入瞭解敵方的運作模式,資安主管便能為風險管理、組織本身以及人員配置做出明智決策。若資安分析師知悉該產業遭到不肖分子鎖定,就可以快速辨別是否暴露於被入侵的風險,或積極採取行動修補並保護可能受影響的系統。

要活用《孫子兵法》中的「知己知彼,百戰不殆」原則,必須要洞悉同行或同區域中盛行的資安攻擊行為,才能洞察敵方的思考模式,並瞭解自己組織內的資安弱點,在被攻擊前設下強大的防禦措施。

2. 旁白敘述和遊戲體驗

讓遊戲脫穎而出很重要的元素,就是在多玩家遊戲世界中加入感染力強的旁白敘述,電玩設計師精心安排一些抉擇時刻,讓使用者做出決定,以影響遊戲劇情的發展。而威脅情資則是於決策過程中引導使用者,並協助他們將資訊傳達到資安營運中心的各個層級。戰術性威脅情資可與工作流程整合,減少錯誤情資並讓前線的分析人員從眾多資訊中快速分辨出真正的威脅。那些負責主動獵捕威脅和執行事件應變的第二、三級分析人員,若得到特定駭客的攻擊戰術流程(TTPs),便更能遊刃有餘地根據每天情況進行工作優先排序、緩解威脅和資源配置等決策。

隨著近幾年的趨勢發展,多人線上遊戲漸漸取代單機版遊戲,這種團隊型的遊戲需要有效的溝通和合作,因為個人的成功取決於團隊的成功。即便資安分析師有時會覺得自己在孤軍奮戰,但維護資安仍舊是項團隊運動。威脅情資分析本身即為需要協同合作的專案,必須仰賴同業間互通有無以及威脅研究人員驗證過的資訊所帶來的豐富洞察。

威脅情資可以凝聚資安營運中心全體人員的力量協同合作、執行調查及事件應變。當團隊發現真正的威脅,需要進行調查或啟動應變工作流程時,威脅情資解決方案能整合事件應變和案件管理工具,在Playbook中添加關於該威脅的詳細資訊。當面臨緊急狀況需要全體動員時,各團隊能透過建立調查工作和在威脅情資中找尋合適的資訊,快速協同合作並新增威脅識別。

3. 重複可玩性

那些最受歡迎的遊戲會讓人一玩再玩,也就是玩家所說的「重複可玩性」。企業組織會為了獲得更廣泛的資訊,部署多種品質不一的威脅情資來源蒐集工具。若團隊能掌控更多的資訊,通常不是件壞事,但增加資安可視度也需要付出一定的代價。資安團隊只單純靠分析含有大量且僅以逗點分隔入侵指標(IoCs)的CVS檔案的日子已經不復存在,即便只有四個威脅情資來源,每天提供300項威脅識別,資安團隊一年內也會接收到近500,000項的威脅識別。


▲如同電玩消費者轉向追求整合式的電玩平台,各大企業資安長也紛紛尋求可以跟著企業發展持續新增功能的整合式解決方案。


分析人員需要花費大量時間大海撈針從這些資料中去蕪存菁,找出據以採取行動的資訊。重複性高且數量龐大的工作負擔加上資安技術斷層的壓力,常讓分析人員喘不過氣來。當潛在的威脅可自動按照嚴重性分級時,便能縮短分析時間,讓分析人員專注於企業組織最為致命的威脅。

結語

有了可據以行動的相關威脅情資,資安團隊便有了前所未有的視野,大幅加速他們的工作效率。正如同科拿米密技在「魂斗羅系列」中產生的效果,「反」(Contra)威脅情資也能提供企業組織各種資安監控密技,讓他們在對抗網路駭客時能佔上風。

<本文作者:Jeremy Goldstein現為IBM QRadar、X-Force Exchange與App Exchange產品行銷經理/本文由IBM大中華軟體研發中心協理姚任遠摘要編譯>

這篇文章讓你覺得滿意不滿意
送出
相關文章
破解IoT總體策略迷思
謹慎處理生醫個資 去識別化降低外洩風險
A10 Networks 新增零時差自動防護功能
數位轉型首要考量資安
零壹科技建構企業 IT 生態圈
留言
顯示暱稱:
留言內容:
送出
熱門點閱文章