數位化程度愈高,資安事件發生也愈頻繁,若能蒐集彙整大數據運行機器學習分析來輔助及早偵查發現異常,以便清查與修復漏洞、事件調查與回應、自動化工作流程協同跨領域方案執行保護,將可有效降低複雜手法滲透入侵風險。
由SIEM(安全資訊和事件管理)平台演進而來的SOAR(Security Orchestration, Automation and Response,資安協調、自動化與回應)方案,便是主要的實作方法。在台灣耕耘此市場已久的ArcSight,如今已是Micro Focus旗下新世代資安維運中心的核心成員,除了本身就已具備威脅回應管理(Threat Response Manager,TRM)能力,亦結合2019年正式併購Interset取得的非監督式機器學習演算分析技術,能指出須進行主機調查的異常環節,並可進一步整合Micro Focus旗下的ITOM(IT Operation Management)管理平台來執行,讓SecOps團隊藉此協同工作。
與此同時,現階段ArcSight正在積極轉型成容器化,下一步將可部署在Micro Focus自家的Container Deployment Foundation環境,更貼近企業現代化應用的需求。Micro Focus資安產品資深技術經理邱裕翔指出,ArcSight在2018年推出ESM 7.0時,就已經開始功能性拆解,現階段7.2版的Event Broker、Connector已可部署在容器環境,目標在ESM 7.5版時完成整體微服務架構,預期可更進一步提升事件處理、大數據分析的運行效能。
加密勒索病毒促進企業正視資安威脅
因應更難以辨識與處置的現代攻擊手法,Gartner在2017年將相關方案定義為SOAR產品,其價值是整合既有資安技術以建立主動調查與採取行動的工作流程,邱裕翔表示,事實上,早在2013年ArcSight客戶與合作夥伴年度大會中推出的TRM機制就已經具備SOAR概念,操作介面上可點選滑鼠右鍵,執行TRM預設的處理程序,並且把活動執行狀況,比如說觸發的行為、阻斷的連線等,直接以圖形介面呈現。
以往的資安事件分析,最終都會依資安風險控管理論來回應,方法不外乎阻絕、接受、轉嫁,較常見是以直接阻絕來處理,盡可能防範任何可能提高風險的事件發生。對此SIEM發展初期也較著重於資安事件分析,只是ArcSight先一步提出輔助性機制,讓資安人員得以快速地針對問題產生的標的主機執行處置。
SIEM演進到SOAR,其實是在勒索軟體病毒開始出現之後,企業與組織才正視資安事件問題,因為若偵測工具發現卻未能及時處置,勒索病毒恐擴大感染範圍,萬一機敏檔案被惡意加密,即使願意支付贖金也未必能取得金鑰。
邱裕翔進一步說明,在勒索軟體尚未成為主流攻擊威脅時,多數企業對於資安的重視程度僅為稽核定期產出報表,直到近幾年加密勒索軟體橫行,業主親身感受到危險性,才開始關注資安問題。「從客戶端實際發生的資安事故來看,已有許多企業是內部系統的弱點被突破,導致遭到後門程式植入、生產線被迫中斷,逐漸使業主認知到聯防體系中必須再增添事件調查、協同工作與緊急回應的機制。SOAR興起可說是必然的趨勢。」
SOAR已不僅為SIEM平台,更多了產業鏈彼此之間的整合,藉由撰寫Playbook以自動化方式協同合作。發展的關鍵在於提供可彈性開發整合的API,有效降低資安人力負擔。此外,SOAR平台亦可彙整告警、事件日誌、例外狀況等資料,讓大數據餵入機器學習演算分析,主動調查指出更多人力無法察覺的灰色地帶。
UEBA擴大演算分析可辨識的範疇
ArcSight平台原本已可藉由Connector介接整合NAC或網路安全設備,至於終端裝置,針對目前企業環境主流的Windows作業系統,ArcSight亦有提供代理程式方式蒐集資料,以便統整後運行關聯式分析。如今可更進一步藉由Interset UEBA(User and Entity Behavioral Analytics)採用非監督式機器學習演算技術輔助,提高異常行為的辨識能力。
Interset屬於美國IQT非營利創投公司旗下贊助的公司之一,以擁有非監督式機器學習演算分析技術在業界著稱,Micro Focus在2019年併購取得。邱裕翔表示,機器學習與人工智慧如今已是資安解決方案必要的應用,只是往往較偏重於監督式學習,需要擁有正確的大數據、定義標籤,再執行演算模型的訓練。Interset的非監督式學習,則是事先建立多種維度的模型分析方法,搭配數學運算式驗證,以協助拆解問題。
「實際上市場上已有許多提供UEBA機制的供應商,可惜大多缺乏領域知識。」邱裕翔說。多數的大數據平台,強調可以訓練模型,運行分析後給予評分,仍舊不容易判斷問題的嚴重性。Interset擅長的非監督式學習,已內建450種類的模型,可提出不同維度的分析判斷,最具優勢之處莫過於分析範圍可包含程式儲存庫(Repository),如今許多產業投入相當多資源進行軟體開發,原始碼亦需要建立保護機制,即可借助Interset分析技術來偵測與判斷。
橫向串接建立自動化執行程序
Micro Focus提供的資安維運方案,不僅只建立平台整合網路層、作業系統層的問題以協助進行威脅獵捕與事件調查,後續亦可搭配DCA(Data Center Automation)、NOM(Network Operations Manager)機制增強處置能力。
Micro Focus資深技術經理尹德行觀察,目前市場上探討的SOAR平台,主要是為了協助事件調查,但若欲深入解決問題,則須結合進階的自動化功能,呼叫網路設備或作業系統採取行動。Micro Focus透過Operations Orchestration(OO)串接建立自動化執行程序,在判定為惡意行為時,可如同專業資安人員到現場處理的操作流程,加快事件應變能力。
例如偵測到主機正遭受攻擊,當下發現是前所未見的惡意程式,此時即可自動觸發DCA,開始大規模執行內部系統弱點掃描,列出具有相同漏洞的主機,進而直接安裝修補更新。
「前述的案例是基於ITOM(IT Operation Management)管理平台來執行,讓SecOps團隊藉此協同工作,這可說是Micro Focus的重要優勢。」邱裕翔強調,該公司在網路管理與資安領域皆已累積豐厚的經驗,不僅打造專屬的人工智慧應用輔助,再加上OO介接建立的自動執行工作程序,可藉由問題根源分析找到錯誤配置、資安規則無法定義的模糊地帶,例如擁有存取機敏資料權限的員工,執行列印的行為看似正常,但也可能存在風險,諸如此類難以界定威脅條件的行為,人工智慧正可發揮效益。