人工智慧 機器學習 資安監控 SIEM 安碁資訊 果核數位 關貿網路 竣盟科技 漢領國際 奧義智慧 SOC UBA AI

延伸蒐集端點資訊 釐清駭客攻擊行徑

2018-05-24
看重企業與組織對於資安服務需求提升,果核數位四年前從遊戲橘子獨立後,近年來持續發展服務能量,整合國內外威脅情資,並協同奧義智慧的技術能量,提供具備人工智慧的資安監控服務,運用機器學習演算法模型執行大數據分析,察覺未知型態攻擊活動的異常行為。
果核數位總經理丁瑋明觀察,現代攻擊手法相當多元,很難想像日常在網路分享的言論,也可能被利用來觸發惡意程式執行。面對這類刁鑽的滲透技巧,已無法僅透過傳統SIEM平台上建立關聯式規則偵測出來,須納入人工智慧的應用,才有機會發現並及早應變。

本土企業通常會為了合規而建置控管措施,事實上,任何法規規範的本質都只是最低標準,許多企業卻認為合規後就代表已足夠,殊不知資安並非導入建置防禦技術即可,還必須由專業資安人員依據不同威脅狀況適時調整才能夠發揮效果。問題是目前資安人才供不應求,評估可成為長期合作夥伴的資安服務供應商,反而是較務實的做法。

掌握IT架構規範客製化規則免於誤判

▲果核數位總經理丁瑋明認為,資安產業環境最基本得朝正向發展,進而蓬勃後,依據市場供需邏輯,學校的系所自然會增加,甚至企業也自然會投入培養新世代人才。
SOC服務可蒐集的日誌資料取決於客戶端環境,主要來自於閘道端所建置的設備,資料來源本就不夠完整,同時也極為仰賴專業人力執行分析,尤其是SIEM平台上最重要的關聯規則。丁瑋明不諱言,果核數位實際涉入資安領域之後才發現,本土資安建置過於注重形式,儘管許多企業與組織每年編列預算強化資安技術能量,卻無力發揮實質上應有的效益。

「其實採用SOC服務的客戶,大多抱持買個保險的心態,不見得懂得SOC中心的服務品質。」丁瑋明觀察。畢竟SIEM平台的關聯式分析本就有技術門檻,可提供的服務品質取決於SOC中心的技術人員的能力與經驗。實務上卻常見日誌蒐集機制之後的客製化資料分析方法過於簡單,顯然是過去企業與組織普遍欠缺資安觀念所導致。

企業與組織對於IT環境管理政策各自不同,採用SOC服務初期應該經過詳細的訪談,比如後端應用系統是否透過VPN連線、帳號存取權限配置方式、網段的配置等細節,必須先行掌握IT架構規範,以便關聯式資料分析的撰寫,才不至於發生過多的誤判。

補足端點資訊勾勒出端到端存取行為

源自於遊戲橘子內部資安處的果核數位,十多年前監控外部攻擊威脅的架構,尚未導入建置SIEM平台,主要是基於開放原始碼軟體Snort與Logger實作,由內部自組白帽駭客團隊,透過自行建置的Logger系統蒐集內網所有可取得的資料,並且徒手撰寫資料分析規則,例如近年來資安市場上關注的使用者行為分析(UBA)技術,很早就已自主實作建立。

「從實務經驗上來看,多數資安事件通常是管理面所導致的問題,當時我們就已發現,僅基於共通性規則來偵測惡意行為,得到的結果往往是誤判。欲提升精準度,勢必得先掌握整體IT架構,例如擁有特權帳號者,透過限制IP連線確保安全性,一旦出現其他IP位址存取記錄,勢必需要進一步調查,避免發生資安事件。可惜的是多數SOC服務不會訪談到如此細節的配置。」丁瑋明說。

畢竟SOC服務的客戶群可能多達上百家,僅透過共通性規則來提高監控效率,或許可達到70%過濾效果,問題是現代攻擊手法大多是利用無法被掌握的30%來發動,例如多年前被定義的APT攻擊型態,凸顯出早期的資安偏重在業務營運環境建置防禦機制,而APT攻擊大多是透過社交工程郵件,先滲透入侵辦公室環境中的電腦,再橫向擴散掌握特權帳號,進而取得具利益價值的機敏資料。

從辦公室環境切入,透過發送惡意郵件的攻擊活動反而相對容易成功,主要原因在於社交工程郵件本就利用人性弱點所設計,除非有長期培養警覺心,否則通常難以辨別真偽。因此即使已部署建置最先進的防護技術,但員工普遍欠缺資安意識,自然會讓外部攻擊有機可趁。

「從APT攻擊手法亦可發現,建置於閘道端的設備不足以完整地描述連線存取行為,還必須統合端點產生的日誌,因此果核數位與奧義智慧基於各自擅長領域彼此整合,兩邊各自執行分析後,最後整合產出調查報告。果核數位有7×24小時的一線與二線工程師,奧義智慧則是運用機器學習與人工智慧機制來提升解析資料的效率。」

駭客邏輯轉化為演算法加速事件調查效率

之所以看好整合奧義智慧的技術可為客戶帶來效益,丁瑋明說明,主要是雙方都是基於駭客思維看待資安威脅,更易於溝通與達成共識。尤其是資安事件發生時,必須從駭客活動最後的結果逐步往前調查,通常要耗費數以天計的時間,才得以釐清最接近攻擊的路徑追蹤到源頭。

「奧義智慧發展的概念,是把駭客思維邏輯轉化為演算法,以便在資安事件發生時,快速地估算出各種行徑的可能性,比如說該起攻擊活動預計產生十種滲透路徑,透過權重排列可列出最接近的模式,甚至包含可能刪除日誌的行為,如此一來,可縮短追查初始進入點的時間。」

過去透過資安技術人員從龐大資料中過濾、篩選攻擊行徑,雖可累積厚實的經驗,卻無法提升工作效率。面對現代攻擊次數較以往激增,使得專業人才成為資安領域最大瓶頸,儘管產、官、學界皆開始培育,問題是欠缺練習場域,短時間內恐難以看出實質效果。現階段整合資訊科技之力輔助突破瓶頸,才可解決眼前的問題。

面對現代駭客攻擊事件,舊思維已不足以因應。丁瑋明指出,果核數位的SOC不僅對外提供服務,同時得兼顧橘子集團內部的安全性,因此很清楚只靠SOC中心的不足,現階段先協同奧義智慧,補強端點環境的可視性,之後還可整合其他領域的技術逐步提升擴展資安服務能量。例如日前宣布協同Radware提供Always-on模式的DDoS攻擊流量清洗服務,由於遊戲橘子本身即為用戶,更可從用戶需求的角度來分享使用經驗後產生的效益與技術限制。 資安若要達到完整性,絕非持續不斷地增添控制點,還包含內部人員對於資安意識的提升,才是降低風險的根本之道。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!