台灣IBM科技事業部資深資安顧問劉泰興觀察,過去企業IT環境的資安監控,主要藉由專業的外包供應商提供SOC(資安監控中心)服務。近年來,更多企業選擇自行建置SIEM,或至少進行半自建的導入。其中一個重要的推手來自於監管機構的法規要求。
隨著法規要求的落實,企業不僅滿足了基本的日誌保存,更進一步有能力挖掘出潛在的威脅,也促使SIEM系統由單一的資料蒐集工具,演變成更為複雜、具備高度判斷能力的安全管理平台,甚至引進AI技術搭配自動化機制輔助資安維運。
數位化防護需求彈性選用部署
QRadar平台的設計能夠處理來自多種不同來源的日誌,包括主動取得如JDBC、Log File、SMBTail、REST API等通訊協定,以及被動接收如Syslog、SNMP、HTTP Receiver等。這些資料一旦被蒐集,QRadar就能運行事件關聯分析。此外,QRadar的關聯規則可以把多個事件收斂成單一告警,並詳盡說明觸犯的規則,讓資安人員能進一步執行調查工作。
劉泰興說明,根據Gartner年度調查報告,QRadar已連續13年被列於SIEM市場領導象限位置,這不僅證明了其市場接受度,也反映了其高度的技術成熟度。QRadar優勢主要聚焦以下8項特性。
1.準確的關聯規則:內含威脅情資,無須額外採購。
2.即時偵測:能做到蒐集日誌與偵測同時執行,提供更高的時效性。
3.使用者友善的規則設計:內建規則,減少資安維運團隊的工作負擔。
4.AI事件調查:透過AI服務,能精確地評估攻擊事件的風險程度。
5.使用者行為分析(UBA):使用機器學習來判斷異常行為,進一步提升其偵測能力。
6.彈性部署與多平台支援:不僅可以在IBM Cloud部署,也可選擇Azure、GCP等其他雲端平台。
7.網路流量分析:除了日誌蒐集,QRadar也能分析網路流量(Flow),提供更全面的資訊安全保障。
8.在地研發與情資支援:具有台灣在地的研發團隊和情資分析人員,能更快速地回應客戶的問題和需求。
然而,各家SIEM解決方案都面對著一些共同的市場瓶頸,例如架構不夠彈性,只能在地端部署或僅能夠採用雲端訂閱。由於企業應用系統正朝著容器化和微服務架構發展,SIEM也需要支援這些新趨勢,QRadar混合雲的部署模式正可適應企業數位轉型過程中的資安防護需求。
納入AI應用輔助執行資安任務
如今資安監控中心(SOC)團隊在保護日益擴大的數位足跡時,面臨到混合雲環境帶來的複雜性和加速攻擊速度的挑戰。資安人員經常因為費時的告警調查和回應過程,手動串接各種資訊,以及在不連貫的數據、工具和操作介面之間切換而受到拖延。
「IBM對其市場領先的威脅偵測與回應組合進行重新架構,以最大化速度和效率,並滿足當今資安分析師的特定需求。」劉泰興說。全新的IBM Security QRadar Suite包括EDR、SIEM、SOAR,以及一個新的雲原生日誌管理功能Log Insights,設計理念主要是建構開放基礎架構,以共同的使用者介面、共享的洞察和連接的工作流程,協助資安專家加快處理事件調查與回應。
企業IT環境普遍存在的狀況是,資安防護架構由多個供應商的技術各自運行,這往往造成資訊孤島和管理上的困難。QRadar Suite內建的Federated Access技術,可允許不同的產品透過單一共通平台進行資訊共享。這種設計不僅使IBM的平台能夠與其他品牌(例如Splunk)的產品協同合作,亦有助於實現資安全局視野。
自從生成式AI受到關注,資安領域也開始納入整合應用。IBM Security QRadar Suite亦借助基礎模型(Foundation Model)與生成式AI提高生產力,以協助企業克服資安人力短缺問題。這些基礎模型具有出色的推理和深度學習能力,可用於資料分類、自然語言處理和圖像識別等多種任務。
為了進一步推動AI應用趨勢,IBM提出了企業級AI與資料平台watsonx。劉泰興說明,watsonx將使用更先進的基礎模型,例如Flan-t5-x1(30億參數)以及正在評估的模型如LLama2和Falcon40。這些高度先進的模型將會進一步提升資安分析的準確度和速度。
目前,IBM已經實施了包括告警事件優先排序、資安事件總結和攻擊面管理偵測等應用機制。下一步,IBM計畫透過自然語言協助撰寫Kusto查詢語言(KQL),以降低資安人員執行資料湖查詢的門檻。
SOAR推動跨部門協同合作
IBM的QRadar獨特之處在於整合IBM X-Force威脅情資,提供即時的資訊比對和告警功能。除了IBM自家的情資,QRadar還支援第三方情資餵入,使其能更全面地識別各種潛在威脅。
劉泰興舉例,假設一名員工連接到外部惡意網站,但防火牆的黑名單並未辨識到。透過QRadar平台的威脅情資比對與分析,該平台會立即發出告警,通知資安團隊。許多IBM的客戶已經實現資安聯防機制,即可在QRadar發出告警的同時,觸發腳本以更新防火牆規則。
「QRadar不僅提供了威脅偵測,還內建了使用者行為分析(UBA)功能。這一點與其他需要額外收費的SIEM方案形成鮮明對比。」劉泰興強調。UBA功能利用機器學習技術,為每個員工設定正常行為模型,並在儀表板上監控員工的總體風險。企業可利用QRadar的UBA功能來實施零信任控管政策,從而更有效地管理內部資安風險。
除了偵測和分析,QRadar還提供跨部門協同和自動化執行的能力,通常透過SOAR機制。若員工不慎點擊釣魚郵件的連結,企業可以利用QRadar透過SOAR實作的Playbook,根據企業的管理策略,自動決定是立即通知郵件伺服器刪除該郵件,還是先由維運人員審核。不同企業文化皆可藉此實作跨部門的協同合作,共同解決潛在的資安隱憂。