在國際間以資安鑑識著稱的廠商Mandiant,自2014年被FireEye併購後,整合推出Cyber Defense Readiness Assessment與Compromise Assessment,均為協助企業執行資安事件回應與調查的服務。
前者Cyber Defense Readiness Assessment主要是針對自行維運的企業,可藉此服務評估網路防禦能力是否就緒。FireEye台灣暨香港技術經理林秉忠舉例,若企業內部已建置資安監控中心(SOC),目標是讓資安人員藉此進行資安事件的調查與回應,即可藉此服務項目檢視現有的資安控管措施、資安人員IR(Incident Response)的能力、事件應變對策,跟目標之間的差距。經過評估後,可能會發現,需要調整SOC政策配置、人力教育訓練、建立完整的標準作業程序。畢竟企業的IT環境皆不同,必須依據現況評估才得以達到所需的目標。
 |
| ▲FireEye台灣暨香港技術經理林秉忠建議,評估挑選IR服務業者時有一些參考指標,首先是國內外累積的實際案例與經驗值;其次是資安人力的素質,可能是專業證照、過去工作背景,例如曾任職於國安局等單位;最後則是業界的評價。 |
至於Compromise Assessment服務,則是針對企業內部未建置SOC,根本無法判斷究竟是否已被滲透入侵,即可採用此服務協助評估。林秉忠說明,FireEye會提供檢測所需的資安設備,執行完整的IR流程。在首要的偵測入侵狀況,會透過實體設備的建置,進行全面性診斷。若發現入侵的跡象,則進一步深入調查駭客進入時間、運用的途徑、內部影響範圍。而最後的修復是交由企業合作的廠商或內部IT人員來執行。
就客戶採用的比例來看,以Compromise Assessment服務居多,主要因為本土企業大多沒有建置SOC,多數僅做到集中管理Log而已,無法藉此找到問題發生的根本原因,可說是目前最難處理的環節。當然FireEye亦有搭配建置在AWS的TAP(Threat Analytics Platform)解決方案,林秉忠說明,跟傳統SOC服務供應商的概念相同,主要是客戶端把Log指定傳送至該平台,再依照APT威脅情報執行關連性分析,判斷是否存在攻擊行為。一旦發現問題,仍舊需要IR流程,才能追蹤取得駭客進入時間、運用的途徑、內部影響範圍。
此外,FireEye的資安事件回應服務項目中亦提供IR Retainer(IR控管服務),主要是由FireEye跟客戶的資安法務單位進行協商,事先擬定SLA的範圍與收費模式,例如發生重大資安事件時,FireEye的顧問團隊依據到場服務、遠端執行服務、採用的工具等細節,先談妥價格計算方式,並簽訂合約。一旦出現資安問題,IR團隊才可立即到場進行事件調查,以免被冗長的申請流程耽誤,在第一時間直接進入Compromise Assessment階段,才能有效蒐集取得相關軌跡資訊。