在台灣早期即提供在地SOC(資安監控中心)服務的安碁資訊(Acer Cyber Security Inc.,ACSI),基於十多年來累積的經驗與知識,打造新世代智慧型SOC架構。除了原有SIEM系統執行事件蒐集與關聯式分析,更進一步發展大數據平台威脅監控中心(Threat Monitor Center),餵入國內外情資,輔助運行機器學習、長時間軸分析、端點偵測回應,落實事前預防、事中偵測、事後分析。
安碁資訊資安維運處資深處長黃瓊瑩指出,以往SOC服務主要為蒐集取得客戶端整體IT基礎架構中所產生的日誌記錄,並實作關聯式分析。欲達到及時、關聯、準確的資安資訊分析,SOC服務必須具備的要件包含即時、跨設備分析邏輯,藉此從眾多設備建置中找到問題。
他舉例,若攻擊者試圖繞過入侵偵測系統、防火牆,把惡意檔案送到端點環境,常見的防禦方式是藉由入侵偵測系統特徵碼比對後認定為惡意攻擊,直接予以攔阻。SOC服務中心為了蒐集取得日誌中發現攻擊行為的檔案,必須設計自動化機制輔助判斷,以提高處理事件的效率。
一旦惡意檔案成功繞過防禦設備,對端點漏洞進行攻擊時,SOC服務的系統可掌握連線到中繼站、感染惡意程式、植入後門等攻擊症狀,以深入調查,從已被感染的端點追查攻擊類型、幕後操作者、發動的策略來釐清駭客的目的。
在發現遭受入侵才執行調查的SOC服務,黃瓊瑩稱之為反應式,欲追查攻擊行徑,通常需要耗費許多時間來爬找資料,事件回應與處置效率也因此受限。新世代SOC服務,強調的即是從反應式轉變為主動式,在惡意程式尚未發作之前,就已經得知攻擊者的手法、入侵來源、滲透過程,以建立事前防範機制。實踐的方法,即是運用人工智慧與機器學習提升資料分析能力,發現異常徵兆進而調查並防範資安事件。
場域、專家、運算SOC服務進化到新世代
|
▲安碁資訊資安維運處資深處長黃瓊瑩強調,傳統SOC已從反應式進化到主動式,整合大數據平台所蒐集的前端資料、情資研究中心,再運用機器學習輔助辨識,先一步掌握潛在攻擊、背後的目的,助客戶有效地降低資安風險。 |
實踐新世代SOC服務的作法,黃瓊瑩說明,主要是大數據平台、機器學習演算、領域專家這三個象限的整合。透過既有大數據平台,可蒐集取得比以往時間軸更長、更多領域的資料來源,改善過去較著重於週期性的固定產製報表,未提供更深度應用細節的侷限,畢竟SOC服務所掌握的資料量,每個月平均收容達四百億筆之多,且持續地隨著客戶數量增長中,若能有效地挖掘,則可轉換為防護力,否則就僅為管理上的負擔。
掌握了大數據之後,若得以運用更有效的統計方法,也就是機器學習技術,便有機會找到更多潛藏的威脅。新世代SOC服務即運用了迴歸分析、分類分群、圖形辨別、近似度分析輔助等技術來提升工作效率。至於演算法究竟要從大數據中學習哪些資訊,則必須先建立資料模型,由具備領域知識的資安專家研究與現場驗證運算結果,若發現演算法判斷失準,則回饋到大數據分析平台,優化日後判讀能力。
「機器學習演算法建立的資料模型,勢必需要經過一段時間的訓練,其中領域專家扮演舉足輕重的角色。安碁資訊同時具備場域、專家、運算能力,可說是具競爭優勢之處,特別是在人工智慧應用方面,前述三種能力缺一不可,經過分析後的結果,須由專家衡量與判斷。否則即便空有人工智慧理論基礎,但欠缺場域、專家經驗,也無法訓練出可實際可用的分析模型。」黃瓊瑩說。
統計與數學運算解析資訊輔助偵查
迴歸分析、分類分群為統計理論範疇,資料來源有標記(Label)可予以分類,未標記則是進行分群,若資料來源參數為數字時,則是採用迴歸分析。進而執行的資料模型訓練,除了要提高正確率,同時得留意避免過度學習,因此資料量勢必要足夠多、領域知識夠紮實,且需要有驗證場域讓專家可不斷地進行反覆比對校正,才能提高正確率。
現代攻擊程式在潛伏期間、發作前,或是中繼站的IP位址尚未被列入黑名單時,根本無從得知為惡意。由於新世代SOC服務的客戶數量相當多,一旦客戶端有IP位址被多種功能的資安設備列入黑名單,亦可主動地建立防護措施。至於潛伏期間的攻擊程式,為了避免被偵測發現,始終未曾執行活動,如此情況下,就得採用機器學習協助,找出處於潛伏期、資安設備未發現之異常行為,以主動防範與阻擋。
機器學習實作找出未知潛在攻擊的方法,黃瓊瑩說明,主要是透過運算來釐清連線行為「是否跟以前不一樣、是否跟別人不一樣,以及固定不變的特徵」。相同部門的員工每天所執行的連線行為應該差異不大,正可藉此歸納整理建立基準點,基於日常行為模式,分析當下的狀態,並指出較過往不同之處。
|
▲ 安碁資訊的SOC服務已進展到新世代,以過去的實作平台為基礎,增添以大數據平台所建置的Threat Monitor Center,運行機器學習、長時間軸分析,以及端點偵測回應。(資料來源:安碁資訊) |
「之所以需要機器學習演算法,主因是大數據分析無法運用程式預先定義執行邏輯,必須透過統計理論進行歸納整理。也就是前述分群、分類,以及迴歸分析,透過極端值或稱為離群值(Outlier)分析,檢查當下狀態相較於之前的數值差異,不論過高或過低,皆可判斷為異常行為。」黃瓊瑩說。
另一種常見的分析,是根據來源或指令偏離偵測,將原始日誌轉換分類、分群後,緊接著檢查事件中的IP位址與指令,一旦發現從未見過,即代表異常事件。例如非財務部門的電腦卻連線存取會計系統,可能是因為該電腦中毒導致,即可藉此及早發現。
現代惡意攻擊潛伏期相當長,回呼中繼站的頻率非常低,可能一個星期才連線一次,使得偵測機制根本無法察覺出異常,即便是依據風險等級排列也難以突顯出惡意程度。安碁資訊設計偵測連線頻率方法,是採用數學運算式與圖形識別來計算連線頻率,掌握解析連線行為模式,進而執行頻率分析計算來判斷變異。