根據IBM發布的《X-Force 2023威脅情報指數》統計,最常見的威脅行為前三名為部署後門程式(21%)、勒索軟體(17%)和商業電子郵件欺詐(6%)。攻擊者部署後門程式的意圖不外乎遠端控制系統,但值得留意的是,有67%已發現存在後門程式的系統未能進一步轉變為勒索軟體攻擊,因為防禦者成功地在勒索軟體下載與運行之前,就已經中斷了後門程式。由此顯示資安措施確有其必要性。
勒索軟體和商業電子郵件欺詐雖然占比較低,但這兩種攻擊方式通常具有更高的破壞性和經濟傷害。勒索軟體攻擊可能導致資料遭到加密,迫使企業支付贖金以恢復資料;商業電子郵件欺詐則可能導致資金遭轉帳騙走。因此,企業須持續評估自身的資安架構,並適時更新防禦策略。這也正是SIEM平台可發揮之處。
資安管理策略不可或缺SIEM
SIEM技術的出現至今已超過20年,隨著企業對於資安風險的重視度增加而持續演進。最初SIEM是設計用以蒐集防火牆、入侵偵測系統等網路安全方案產生的日誌,並提供了資料過濾、規則引擎、告警和事件相關性分析,協助執行監控、分析和回應資安事件。
對預定義規則和威脅特徵碼的依賴,始終是傳統SIEM平台的弱點之一,導致無法準確地識別惡意活動以防範零時差攻擊。只能在發生資安事故後,調查威脅入侵的行徑,這意味著損害已經造成。
雲端運算和AI的興起對SIEM解決方案帶來了重大影響。一方面,雲端儲存解決方案使得SIEM系統能夠更靈活地擴展儲存容量和運算能力;另一方面,AI與機器學習演算模型的應用使SIEM能更精準地識別潛在的安全威脅。
為了應對日益複雜的攻擊手法,SIEM解決方案開始廣泛地納入威脅情資(Threat Intelligence),以及增添自動化能力,降低資安專業人力的負擔。2018年市調機構Gartner更進一步把SOAR機制納入SIEM年度報告中,以增進資安協調(Orchestration)、自動化(Automation)和回應(Response)能力。自此SIEM與SOAR成了企業落實資安管理策略不可或缺系統工具。
根據市調機構IMARC Group發布的報告統計,2022年SIEM市場價值為52億美元,預計在未來五年內將達到85億美元。美國商業顧問公司Reportlinker估計,2022年SOAR的市場價值為13.2億美元,預計年複合成長率為16.4%。由此不難發現,外部威脅正促使企業對資安風險控管的需求持續增長。
AI輔助釐清威脅精準回應
至於AI的運用方面,SIEM平台近幾年陸續增添的用戶和實體行為分析(UEBA)、網路流量分析(NTA)、擴展式偵測與回應(XDR)機制,大多仰賴機器學習演算法實作。這些機制可增進威脅識別和偵測措施的能力,藉由檢查更多因素,以發現異常或偏離被認為是正常的活動模式。
UEBA使用機器學習技術,如監督和非監督學習、深度學習,以更有效地偵測惡意活動,甚至可降低內部人員造成的威脅。UEBA的深度學習主要用於實作:
1.自動特徵學習:傳統機器學習算法往往需要人工選取特徵,這在資訊安全領域尤為複雜。深度學習,尤其是卷積神經網路(CNN)和遞歸神經網路(RNN),能自動從原始資料中學習有用的特徵。
2.時間序列分析:深度學習,特別是LSTM(長短期記憶)網路,對於處理時間序列資料(例如:用戶行為日誌)具有優勢。
3.異常檢測:一些深度學習模型,例如自動編碼器(Auto-encoder),被用於偵測不同於一般模式的行為,因此適用於異常檢測。
XDR則是結合了網路和端點的偵測與回應(即NDR與EDR)機制,使企業有能力識別威脅並即時回應。這對於採取混合或遠端工作模式的企業而言相當重要。網際網路環境中潛藏各式釣魚手法,端點的數量之多使得可視性成為企業資安控管的首要任務,但實現這種可視性也成為一項挑戰。XDR可檢視複雜網路中的應用程式和服務運行行為,幫助企業IT找出潛在問題的位置,並採取措施或引導修復。
SOAR為零信任原則設立最佳實踐
企業採用SIEM平台,目標之一是加速針對威脅的回應,降低資安風險。問題是企業營運過程中產生大量資料,連分析威脅都難以及時,更不用說實現時即時回應了。辨識與整理所有與資安相關的資料成為當前的瓶頸,特別是對於擁有大量聯網設備的IT應用場域。
AI驅動的下一代SIEM將有助於解決此困境。SIEM可根據上下文感測(Context-aware Detection)先行針對資安指標進行分類,以及依據風險高低排序優先等級,從而減少需要人工介入調查的負擔。它確保最關鍵的告警可在第一時間得到解決,以防止惡化成更嚴重的問題。此外,告警根據其安全性和影響程度進行排序,確保資安團隊可以專注於排除最緊迫和關鍵的事件,解決以往常見「告警疲勞」狀況。 此外,具有情境感知(Contextual Awareness)功能的SIEM,最大好處之一是減少誤報的情況。過去SIEM經常因為不正確或過於保守的偵測設定,而錯誤地將正常活動標記為威脅或者漏報。AI則有助於解決此缺點,藉由整合來自不同來源的日誌資料,確保只有真正的威脅會被標記,並降低漏報的機率。
引進AI功能的SIEM平台搭配SOAR機制,可連結各種資安工具,以便整合運行並分享資訊。SOAR協調流程可讓這些工具以群組的形式在整個環境中回應事件,即使資料散布在整個網路中亦可實現,藉此可進一步提高回應處理效率。不論是傳統地端部署的SIEM解決方案,或是近年來興起的雲端原生服務,皆陸續增添更多AI的運用,輔助資安團隊提高生產力。
值得留意的是,美國拜登政府於2022年1月26日頒布一項網路安全行政命令,這是美國政府對網路安全策略的一個重要轉折點。該命令是對2021年5月的行政命令14028的補充,其關鍵在明確要求全美政府機構採用零信任網路安全原則,並要求整合SOAR技術。所有美國政府機構必須在2024財政年度末之前實施指定的網路安全標準。
零信任原則和SOAR技術可相輔相成以增進資安。零信任為保障存取行為提供了架構基礎,而SOAR則簡化事件回應並最小化手動介入。如此可建構具有彈性的網路安全生態系統,這對保護關鍵基礎設施尤為重要。隨著美國政府機構過渡到新的網路安全等級,影響所及將逐漸向外擴散,可能成為各國企業與組織發展零信任控管模式的最佳實踐基準。