在SIEM發展初期即已進入台灣市場的ArcSight,歷經2010年由HP收購,到2016年隨同自HPE拆分而出的軟體部門合併至Micro Focus,在市場上ArcSight品牌始終居於翹楚。
儘管經營權有所異動,仍持續不斷地發展先進解決方案,Micro Focus資深技術經理邱裕翔舉例,ArcSight正在研發中的項目之一,包含基於分散式架構來執行大數據的關聯分析與處理,未來將有助於提高事件偵測與回應的即時性。
資安治理的觀念經過多年來市場教育,企業或組織已理解管理政策必須與SIEM工具平台緊密結合,才得以有效輔助專業技術人員掌控資安風險,問題是台灣普遍欠缺專業資安人力,企業往往無法善用SIEM工具技術處理資安問題,因此形成仰賴廠商提供服務的現象。
近兩年在不同種類的外部威脅襲擊下,企業或組織已逐漸意識到危險性,IT規模較大的銀行等產業,已開始設立專職資安維運人員;特別是政府單位,在前瞻基礎建設計畫中,也包含藉由不同領域的威脅情資共享,提升威脅活動的能見度,並運用大數據分析及早辨識高風險存取活動,進而達到有效回應。
事件中介統整資料 即時分析辨識威脅
以往台灣導入SIEM的用戶,統整資料大多是為了法規遵循,如今則寄望於藉此平台分析調查資安事件。現階段ArcSight平台已可同時支援歷史化分析、告警、鑑識,以及即時性分析。此外,也開始基於Apache Kafka環境新增添的事件中介者(Event Broker)工具,讓ArcSight藉由開放環境介接各種資料來源,從大數據中分析察覺潛在威脅。
|
▲ArcSight Investigate從Event Broker上取用蒐集到的即時資料,亦可搜尋取用存放在Hadoop環境中的歷史資料,藉此交叉比對分析,提高調查工作執行效率。 |
邱裕翔說明,ArcSight經過十多年來在各領域累積事件搜集與分析的經驗,已轉化為系統中預設支援45項類別,超過四百種設備,可說涵蓋絕大多數IT基礎架構,因此即便對於ArcSight平台操作方式完全不熟悉,仍可快速透過分類類別來查找相關資料,例如認證失敗、惡意程式攻擊等事件,初步診斷問題發生的原因。
近年來攻擊手法變化速度相當快,若採以過去SIEM提供的蒐集、儲存、執行分析流程,資訊產生的速度已無法因應未知型態行為辨識的需求,導致難以即時發現問題。「SIEM無法更即時地判定,主因在於即時性數據過少,因此ArcSight開始納入大數據分析,可協助把事件中介者搜集的資料建構在Hadoop環境,並且基於開放專案釋出的演算模型執行分析。」
情資整合歷史記錄 分析模型指出潛在威脅
|
▲ Micro Focus資深技術經理邱裕翔認為,SIEM不僅要具備統合內外部情資資料的能力,同時亦須解決執行事件分析規則的處理效能,才得以達到輔助功效。 |
至於情資交換機制,現階段的實作只要遵循業界通用的STIX格式,即可建立自動化機制執行,讓SIEM取得更多駭客組織的追蹤研究調查報告,進行資料的關聯性分析。但邱裕翔認為,僅建立單向蒐集情資機制,無法反映出實際效益,畢竟一旦資料被下載後,供應者就無從得知整合實際應用狀態。
邱裕翔以政府組織舉例,最上層的資安情資分享平台(ISAC),事先得知某駭客團體要針對政府部門發動攻擊,透過技服中心通報各個單位後,究竟影響狀況如何通常無法得知,即使在政府網際網路服務網(GSN)中攔截到攻擊活動,也可能被各單位的防禦設備逕行阻擋,ISAC難以知曉。若可掌握情資被使用的方式、影響程度、準確度等資訊,即可評估情資效益。對此,ArcSight平台所設計的機制,是在情資匯入之後,經由關聯分析處理再回報上傳,如此一來,可藉此得知情資的取用狀況,以及進一步分析情資的準確度。
若能進一步整合歷史資料分析,也許可透過統計模型方法,指出潛在威脅活動。甚至未來,這些大數據統計分析方法,可能發展到偵測零時差攻擊行為。例如日前被揭露Apache Struts2的弱點,有多種版本同時不斷地在演進,目前SIEM慣用的作法是撰寫漏洞檢查程式碼來偵測。一旦搜集的資料夠廣泛,可能從事件記錄中發現,內部所有伺服器主機上突然間出現同一種存取型態。整合歷史資料交叉分析,則可進一步得知為新的存取行為,且同時被多次執行,極可能為惡意人士正在執行弱點掃描,可能會出現進一步滲透威脅。掌握諸如此類更多類似的行為細節資訊,即有機會在資安事件發生前先一步阻止。
整合Investigate方案 揭露隱藏的威脅行為
ArcSight平台除了增添事件中介者作為資訊搜集的匯流排,ESM(Enterprise Security Manager)亦有自主開發建構在大數據平台之上的Investigate方案,以Vertica的大數據分析技術協助調查工作提高效率,主要是把分析方法以視覺化呈現,之後再依據案例建立模型,搜集取得新的資料即可藉此快速執行分析。
「由於Vertica的特性是可支援多種機器學習演算法,來建構後續的分析圖表。但對於ArcSight用戶而言,即便有建立資料統整與關聯分析平台,一旦遇到問題時,往往不知該從何切入調查。因此我們整合不同應用系統技術,讓用戶藉此先行建立資安大數據分析模型,若終極目標是培養資安領域的資料科學家,Vertica亦可協助產生更多應用模式。」
至於偵測到事件後的回應機制,ArcSight是整合HP Datacenter Automation產品線來執行,讓ArcSight偵測到威脅並提出告警,同時觸發指令集執行處置,例如呼叫交換器、防火牆等節點阻斷惡意存取,降低攻擊威脅可能造成的危害。