因此早在2016年資安協調、自動化與應變(SOAR)市場尚未被國際市調機構明確定義時,IBM就已收購Resilient,輔助資安維運人員得以最有效率地處理大量且複雜的事件。
IBM大中華軟體研發實驗室開發經理郭澄祐指出,發展已相當成熟的SIEM平台可彙整IT環境所有日誌檔案,且內建各種功能項目輔助執行威脅獵捕、透過API整合呼叫實體設備或端點啟動資料蒐集與執行回應。近幾年SIEM平台亦開始增添機器學習演算技術解析使用者行為,藉此建立主動回應事件機制,IBM QRadar同樣也不例外,當告警事例出現,抑或是由SOAR平台如Resilient判定為Incident時,皆會觸發派工(Ticket)指定負責人處理,讓SOC(資安維運中心)第一線成員依據過往經驗進行調查以釐清問題。
實務上常見的問題是,對於尚未經過訓練的SOC團隊成員而言,通常根本不知從何著手。每種資安技術都有其主要用途,當功能特性過多時,反而不知該從何開始。再加上同時得處理多種類型的事例,若能以單一介面協助統整所有資料,釐清優先處理順序以及執行步驟,如此一來,不僅可引導新加入的SOC成員完成任務,亦可藉由自動化機制降低學習曲線。
「前述正是SOAR平台最初研發時想要解決的問題,藉由銜接SIEM平台所彙整的資料,設計了簡單直覺的操作介面,讓資安或IT維運人員得以一目了然派工事項清單,只要點擊開始處理,即可依照指示功能的確認項目,逐步執行調查。」郭澄祐說。其流程是依照事件回應標準作業程序所設計,畢竟對於技術人員來說,即便是早已相當熟悉的工作流程,仍難免可能出錯,特別是工作任務過多時,因此SOAR提供任務清單引導執行優先順序,更具備自動化機制,可輔助第一線資安人員提高效率且避免出錯。
標準化工具降低人員技能落差
從近幾年爆發的重大資安新聞事件可發現,即便是投入大量資源部署各式先進技術,也未必能抵禦外敵,畢竟在資安防禦中,人、流程、工具三者缺一不可。特別是專業資安人力的缺口並非短時間內得以補齊,即便從企業內部培養也常難以留住人才,現階段大多得仰仗資安廠商研發更易於上手的工具來輔助強化。
回應處理程序的關鍵在於事先制定計畫,以Resilient為例,假設IT人員對於資安已經有基本認知,遇到勒索軟體時,首先可依據檔案的Hash值進行搜查,先掌握內部流向,一旦發現惡意檔案流動便立即阻斷並重建作業系統。問題是,資安事件回應過程中常有許多例外,例如當釣魚郵件發生在高階管理層時,嚴重等級勢必較一般員工來得更高,因為可能代表攻擊者已完成鎖定。此時的回應程序已無法依據規範按表操課,必須活用領域知識,並且累積許多處理例外狀況的經驗,再依據產業特性適時調整因應措施。
由此看來資安事件偵測與回應只有執行原則,無法制定出固定步驟,如此情況下,也就難以基於Workflow來自動運行,而是必須改為設計Playbook,讓維運者有所依循,調整設計合適的工作流程。郭澄祐指出,例如參考美國系統與網路安全協會(SANS Institute)等單位所提出的資安事件回應計畫,運用Playbook來定義執行階段、檢討改進、逐步改善。
簡單易於上手為工具設計的首要精神,因此Resilient提供以拖拉放的方式定義Playbook自動化流程來執行事件回應,讓每天在處理資安事件的人員,得以基於任務清單引導執行。
Resilient三大核心主軸
事件應變、協調與自動化、威脅情資分析可說是Resilient三大核心主軸。事件應變的作法就如同IT人員熟知的派工系統,管理者可指派相關技術人員處置,操作執行過程全數予以記錄就算完成。難度最高的當屬協調與自動化機制,SOAR平台是以案例模式把所有資訊加以彙整,透過拖拉放的方式設計Workflow,以自動化方式處理主要任務。例如釣魚郵件可說是最頻繁的攻擊手法,複雜度不高,但在資安維運中心SIEM平台告警數量最多,若未能釐清恐因此提高資安風險。此時設計以Playbook自動化辨識與先行處置即可降低維運負擔。
Resilient擁有豐富的威脅情資奠定辨識基礎,除了安裝IBM自家的X-Force Exchange,同時可餵入Cisco Threat Grid、iSIGHT、SANS網際網路風暴中心(ISC)資料庫、VirusTotal等第三方資料。以釣魚郵件為例,可檢查寄件者名稱與位址、收件者、主旨、內文連結與附加檔案,一旦偵查到可疑的環節,Resilient會主動提出要求使用者上傳郵件樣本,運用自動化流程拆解各種檢查項目,以及保留可被追蹤的資訊。
從釣魚郵件中取出屬性值之後,Resilient接下來可能產生的工單是從LDAP取得收件人資料,維運人員無須實際下指令執行,只要在Resilient操作平台上點選即可自動完成。郭澄祐進一步說明,以往維運人員著手調查時,必須請系統管理員手動執行LDAP查詢收件者與該群組的相關資訊,跨團隊溝通往往需要時間,如今基於Resilient則只要點選執行即可自動化完成。
「協調整合運行的資料來源種類更多樣化之後,有助於SOAR平台上設置自動化機制,大幅縮短維運人員深度追蹤與調查潛在惡意事件所耗費的時間,更重要的是藉此讓具備資安知識,但不熟練各式交換器指令、防火牆規則等操作方式的IT人員或資安人員,同樣可順利執行任務。」 Playbook設計的工作流程可讓大部分的任務以自動化方式完成,對於特定需要人力介入判斷的環節,Playbook亦得以動態調整執行任務。延續前述的釣魚郵件處理案例,假設經過LDAP查詢,該郵件已進入五名員工的收件匣,其中有三人已經點選開啟惡意附加檔案,並且端點偵測及回應(EDR)代理程式已詳細記錄影響範圍。此時Playbook工作流程中查詢Hash值發現遭受感染的端點包含高階管理層,被歸類於高風險事件,便可觸發法務部門與第二線資安團隊共同加入應變,並且動態地變更至另一套處理流程,以因應更高等級的風險。