Cisco 思科 Talos Encrypted Traffic Analytics ETA

人工智慧強化工具與程序 彌補資安人力缺口

打造預防式資安體系 關鍵在先從基本功做起

2019-08-01
從全球企業資安現況來看,現階段最大的缺口當屬專業人才。思科大中華區服務事業群資深顧問游証硯引述2018年Gartner Security Summit發布的資安人力調查指出,全美國至少短缺25萬名Cyber Security人員。台灣也不例外,短期內為補足資安人力,仍是以既有的網路與系統工程師轉換職務來遞補,以減少管理衝突。

 

他進一步說明,自從資訊科技發展以來,大部分本土企業並不在意資安,始終認為是可有可無的輔助性建置,即便是政府公布施行個資法,多數企業也只是觀望,未能讓高階管理者真正關注與重視。直到近幾年銀行、高科技製造等大型企業接連因資安事件導致鉅額損失,才促使當局及相關產業開始追趕強化資安防護。問題是,過去資安市場的人力需求量不多,無法讓技術人員得以發揮,導致如今需求量大增卻難以召募到專才。「資安問題複雜度相當高,並非IT技術可全數解決,況且牽涉到人,建議從檢測、分析、防禦、應變為基本主軸進行訓練。」游証硯說。

Cyber Range模擬實作培訓專才 

思科在台灣已推行多年的Cyber Range Service(數位靶場實戰服務),是由攻擊方(Red Team)與防守方(Blue Team)共同模擬測試,透過實作方式來培育專業人才。此外,Cyber Range亦視為是另類的滲透測試,經由Red Team利用漏洞發動攻擊,除了可確認系統修補程式皆已確實安裝,同時可檢測企業IT防禦力,以及人員應變工作流程,定期校正改善保護措施,長期累積勢必有助於提升整體資安成熟度。

許多企業為了墊高威脅入侵的門檻,部署了多種異質技術的產品,游証硯認為,如此一來複雜度勢必變高,也會引發難以整合控管的問題。事實上,最好的方法是資安團隊依照安全性需求選擇最佳解決方案。「根據思科2018基準研究報告指出,72%的資安人員會針對個別的防禦功能需求,分別導入建置特定的最佳解決方案,而28%的資安人員則傾向建置整套的整合式解決方案以利協同防禦。但無論採取何種部署思維,評估的要點除了成本效益以外,還必須符合易於執行的原則。」

威脅情資平台提升辨識度

欲達到易於執行的目標,首要必須提升統一控管平台的能力,不能僅是日誌蒐集與關聯分析、每季度弱點掃描或滲透測試,還得廣納各式異質技術平台的資料,彙整至大數據平台,打造建立情資分析平台,藉由日漸成熟的機器學習演算法主動偵測,而非只能被動處理已發生的資安事件。

已累積豐富情資的思科Talos研究團隊,除了可餵入威脅指標以提高辨識精準度,同時也持續發布明確的資安與威脅訊息,提供給全球對於網路安全感興趣的專業人士,有助於資安從業人員掌握最新脈動。這些報告中會針對威脅趨勢與影響提供詳細的說明,同時還提供最佳作法來抵銷資料外洩所產生的不良影響。例如思科以往的網路安全年度威脅報告,自2019年開始將改以系列模式,拆解成探討GDPR等國際法規議題的資料隱私權基準研究、說明最新攻擊手法的威脅報告、資安長(CISO)基礎研究報告。

加密流量分析Header 辨識威脅 

針對近兩年來人工智慧與機器學習技術在資安領域的應用,游証硯引述思科於2018年公布的資安能力基準研究報告指出,多數資安長急欲增添人工智慧與機器學習相關工具,希望藉以降低資安基礎架構維運的複雜度,同時提升對於複雜攻擊手法的辨識率。
「然而,該報告也指出,資安長們普遍擔心這類系統的誤報數量過多,會反而加重資安團隊的工作量。所幸隨著機器學習與人工智慧技術的成熟,在所監控的網路環境中學習並理解正常活動的模型,這些擔憂應隨著時間前進而逐漸緩解。當被問及組織最依賴哪些新技術時,有39%的資安專家回答直指自動化,34%則是偏重於機器學習演算大數據,32%為人工智慧。」

就實際應用來看,為了克服流量加密後傳輸所造成的可視性不足,思科的加密流量分析(Encrypted Traffic Analytics,ETA)技術可基於封包中的Header,擷取出Layer 4以下,表頭中夾帶的封包大小、時間值、來源與目的位址等資料內容加以運算,根據Talos過往經驗給予評分,凸顯出高風險的行為模式。這類新興技術已不再僅為行銷用語,確實有助於企業或組織弭平人員技能方面的差距,更有效率地辨識已知或新興威脅。

落實預防措施降低資安風險 

若以製造業為例,游証硯說明,製造執行系統(MES)是所有製程控制系統核心,連接到控制程序中的其他資訊系統,但攻擊者可能藉由DMZ區域的伺服器做為入侵內部網路的跳板。實務上,許多資安事件經過調查後發現,原來是伺服器系統允許RDP(遠端桌面協定)連線的設定錯誤,才導致被利用來滲透入侵,並且追查到該伺服器已遭受多組IP位址控制,攻擊者可以藉此橫向移動進入企業內部網路,進而對該公司的其他工廠發動惡意攻擊。

思科大中華區服務事業群資深顧問游証硯指出,仍有為數不少的本土企業,對於資安的觀念只停留在單點,例如閘道端、終端防護,必須盡早投入培養具備架構思維的資安人才,落實檢測、分析、防禦、應變程序,以達到主動式安全防護。

從過去的經驗可以發現,許多重大的資料外洩事件,攻擊者一開始都是先滲透進入易受攻擊的伺服器,游証硯建議,企業或組織可採取以下措施來降低風險,同時確保設施內作業的完整性:

‧定期檢查硬體設備與韌體,查看套用修補程式與系統更新的狀態。(若無法安裝使用修補程式,應考慮移轉至新的技術平台。)

‧減少使用USB儲存裝置、DVD光碟機。

‧從網路層隔離核心系統。

‧核心網路或系統的操作權限須嚴加限制,並假想防護策略全數失效的狀況,擬定災難應變計畫。

‧盤點並移除生產網路中所有內嵌密碼或預設密碼,並盡可能實施雙因素認證。

‧切勿輕忽資安事件,無論影響規模大小,都必須追查原因,並啟動災害復原計畫。

【專題報導】:迎戰IT轉型 資安防線變陣


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!