基於代理產品AlienVault統一資安管理(Unified Security Management,USM)平台開發加值應用的新創公司竣盟科技,有鑑於現代企業內部逐層建立防禦體系後,一旦發生資安事件往往難以具全面性地彙整查看資訊,於是運用AlienVault內建的資產管理、弱點掃描、SIEM、流量分析等功能模組,從資安實務的角度重新設計儀表板,讓IT管理人員即便未學習高深資安專業技能,也能藉由統計分析數據清楚掌握內部受駭狀況。
基於代理產品AlienVault統一資安管理(Unified Security Management,USM)平台開發加值應用的新創公司竣盟科技,有鑑於現代企業內部逐層建立防禦體系後,一旦發生資安事件往往難以具全面性地彙整查看資訊,於是運用AlienVault內建的資產管理、弱點掃描、SIEM、流量分析等功能模組,從資安實務的角度重新設計儀表板,讓IT管理人員即便未學習高深資安專業技能,也能藉由統計分析數據清楚掌握內部受駭狀況。
竣盟科技總經理鄭加海指出,因應APT等新型態攻擊手法多樣化,AlienVault USM平台內建的OTX(Open Threat Exchange)情資交換機制,以開放社群模式廣納IT業界加入,像是Intel、HPE等國際知名大廠皆為OTX夥伴,在企業日常營運產生的龐大流量之中,以OTX為基礎有效率地找到蛛絲馬跡,篩選出可疑之處後再深入探究,以確認是否為惡意行為。
 |
| ▲竣盟科技總經理鄭加海認為,現代威脅入侵手法多變,單點查看已無法因應,必須透過類似AlienVault平台,運用Log與流量解析能力,建立全面性監看的系統,才能及早發現異常。 |
至於內網,AlienVault除了具備SIEM模組可蒐集、關聯、分析Log資訊,亦搭配Host-IDS代理程式,可涵蓋網路流量分析。鄭加海觀察,一般SIEM的蒐集與分析通常有個盲點,也就是不同的資安設備源自不同原廠設計研發,若SIEM只單純蒐集Log執行關聯分析,實務上通常難以藉由Log內容判斷其意義,甚至一旦資安設備韌體經改版更新後,調整了Log描述方式,則可能導致SIEM根本無法辨識。也因此,以往的SIEM重點只在於因應稽核,而非資安事件分析。
「其實建立資安分析平台,SIEM只是其中一項工具,必須搭配前置的作業,例如先執行資產盤點與滲透測試,掌握保護重點,以及應用系統潛在的風險,再運用資安設備建立防禦措施,並且在安全體系建構完成後執行有效性驗證。」鄭加海說。
他進一步說明,現今企業內部大多已導入建置不同功能的資安設備,建立防禦措施,但往往卻未發揮功效,追蹤其主因,大多是規則設定發生先後順序錯置、彼此牴觸,最終無法達到防禦效果。例如第一條規則就設定為Any-to-any,之後即便再嚴謹的限制,皆無法控制。AlienVault平台則可讓客戶驗證資安設備的相關設定究竟是否符合預期。
此外,本土企業大多有保存Log檔的需求,但AlienVault較著重於即時分析,功能性無法符合需求,因此竣盟科技運用大數據技術平台自行研發Log Master,並且已完成與AlienVault平台之間的整合,讓用戶得以藉此平台長期保存資料。