ThreatSonar AlienVault 杜浦數位安全 人工智慧 機器學習 資安監控 SIEM 安碁資訊 果核數位 關貿網路 竣盟科技 漢領國際 SOC AI

大數據平台實作分析 掌握異常行為資訊

2018-05-21
現今企業與組織對於資安的態度,已逐漸從過去的「選配」進展到「必備」,法規遵循更是推動的力量之一。竣盟科技自從多年前代理AlienVault統一資安管理方案開始,隨著客戶需求增加,亦逐漸發現SIEM不足之處,於是投入自主研發前端大數據平台,藉此建立區域聯防與實作資料分析。
針對近年來市場需求殷切的事件調查與鑑識,則是協同本土白帽駭客所成立的杜浦數位安全,基於資安專家實際鑑識分析經驗,轉化成為ThreatSonar,以有效率地方式執行主機鑑識。

竣盟科技技術顧問鄭加海指出,多數企業與組織的需求,必須先由資安顧問進行訪談,協助制定合規性的控管措施,再實施工具輔助建立自動化管理措施來提升效率。畢竟配置有專屬資安人力的企業或組織並不多,常見仍舊是IT人員兼任,既要顧及安全性,又得以最少人力的投入來達到符合法規規範的要求,因此必須從工作流程的弱點著手,明確定義管理程序,導入的工具技術才可達到應有效益,奠定良好資安體質。

流程控管奠定基本功 技術輔助才有效益

近兩年全球金融業處理跨國匯款的SWIFT系統接連發生遭滲透入侵案件,鄭加海觀察,其實攻擊手法並不特別,若平時已落實IT管理基本要項例如針對核心系統的異動管理,在惡意程式存入系統環境的第一時間就應該能被發現,即便當下無法判別為惡意,仍舊可觸發告警通知IT管理者進行確認,不需要什麼尖端技術即可避免釀成大禍。


▲竣盟科技自主開發大數據平台,輔助蒐集、保存、分析資料,監看已建置的控管措施,發生問題時即時告警通知,以降低資安風險。(資料來源:竣盟科技)

「其實資安控管並不難,也未必得仰仗專屬工具,關鍵還是在於基本功,以及落實定期檢視有效性,即可先一步發現異常行為。例如特權帳號,常見的狀況是為了方便維運系統,讓多名員工皆擁有高權限的帳號,我們輔導建置方式是基於最簡單的管理措施,只要該帳號登入系統隨即觸發訊息通知,讓每個人都能掌握彼此的存取行為,以免遭非法登入不自知。」

如今資安領域探討的議題,不僅只是建立有效預防措施,更須盡早發現內網中的惡意活動,最大程度地降低損失。落實前述的基本功至少可達到七成防護,再搭配新興技術輔助加以提升可視性,確實有機會識破威脅入侵活動,這也是眾家資安廠商皆看重人工智慧應用的主因。

自主研發大數據平台 建立使用者行為分析

▲ 竣盟科技技術顧問鄭加海認為,近年來資安領域相當看重的使用者行為分析機制,實現方式未必須仰仗SIEM平台的整合,若基於大數據平台蒐集取得更多資料,運用高階統計運算式同樣可達到目的。
竣盟科技提供控管的手段,是基於自主開發的大數據平台,應用人工智慧來達到目標,後端整合的SIEM,可支援Alien Vault、ArcSight、Splunk。鄭加海說明,前端通常需要蒐集IT基礎架構中可取用的資料,數量之多勢必得建立大數據平台輔助保存與管理,甚至藉此達到即時分析。

他進一步說明,以往統籌資料的工作主要皆由SIEM來執行,企業或組織往往為了合規,須保存一段期間,卻經常受限於關聯式資料庫難以保存龐大資料量,因此竣盟科技才投入發展大數據平台,減少遞送到SIEM的資料量,協助資料的保存與調閱的同時,亦可監看已建置的控管措施,發生問題時即時告警通知,以降低資安風險。

在大數據平台中,即包含人工智慧的應用,只是鄭加海不諱言,現階段坊間所謂的人工智慧大多只是高階統計學,甚至在整個資安領域中,多數都尚未達到機器學習的層級,通常是基於大數據平台,撰寫高階統計運算式來進行調查,在樣本數足夠多的情況下,自然可建立準確度。

「基本上大家都是抓幾個重點進行統計。以使用者行為分析(UBA)來看,搭配不同日誌、事件編號,讓正常使用者登入後固定產生日誌,一旦遭受駭客入侵,行為模型可能有變異,比如說研發工程師,每天主要的存取行為是版本控管系統,突然出現連線到跨部門系統,就極可能為異常。」鄭加海說。

透過大量資料蒐集與分析來建立基準值,這類型的做法更多是統計運算邏輯,可針對行為特徵,建立基準值模型,藉此判斷行為變化來發現異常,但尚未到達運用機器學習演算法訓練資料模型輔助精準地辨識。

搭配主機與網路鑑識分析追蹤資安事件

經過資料分析與統計發現問題時,勢必需要有後續處理,竣盟科技的作法是協同資安設備廠商建立區域聯防,依據特定事件觸發執行封鎖,同時也搭配主機與網路流量的鑑識分析。

就資料外洩事件來看,欲追查究竟被盜取多少數量,即需要仰仗網路封包還原的工具來調查。追蹤時,可依據特定時間的事件告警,查看封包解析後取得的資訊,藉此追查被盜取的資料,以及網路攻擊行為模式。鄭加海指出,之所以需要整合,主因在於儲存封包流量過於佔用空間,經過竣盟科技整合後,在事件發生時觸發告警,同時也啟動設備把資料搬到另一個區域永久保存,讓既有儲存空間得以存放平時解析取得的資訊,如此一來,才可降低儲存設備容量擴充的壓力。

「至於主機鑑識分析,主要有兩種作法。一種是常駐型,但會有影響運行效能的疑慮,畢竟主機環境安裝許多應用程式,可能會發生衝突,影響正常運行;另一種是免安裝的程式,當偵測到問題再觸發啟動執行掃描。」他說。

調查工作完成後,再依據制定的資安管理與通報流程處置,竣盟科技提供的大數據平台上亦有設計簡易型的事件管理系統來協助,不僅IT管理者可透過網頁操作介面掌握執行狀態,高階管理者也可透過統計圖表了解內部整體資安狀況。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!