因應企業雲端化、行動化發展趨勢,IBM提供的資安防禦視角,已由單點朝向應用層環境全面性發展。IBM軟體事業處業務專案經理金天威指出,其實IBM定義的資安範疇相當廣泛,除了以軟體與硬體為主的安全防禦方案外,服務人力更是IBM的強項,擁有技術與諮詢的服務團隊,也累積許多經驗。實務上遇到客戶面對應用轉型潛在的風險性,仍傾向於透過成熟的解決方案或服務,逐步建立控管機制。
他以傳統保險公司的客戶為例,該客戶全台皆有設立辦公室,首次評估時即發現DLP(Data Loss Prevention)防護能力、防火牆承載量(Capacity)等皆不足以因應,且再增添辦公室還要新建一套,但最後決定建置的卻是QRadar,藉由SIEM平台提高IT視野,透過統一視窗畫面檢視需要關注之標的運行狀況,例如攻擊事件、流量行為等資訊。經過一年觀察,大致清楚資安風險態勢後,才逐步擴大到特殊的應用系統。
|
▲ IBM軟體事業處業務專案經理金天威認為,以服務方式提供安全機制已成趨勢,如同滲透測試(Penetration test),經由服務廠商以不同工具協助交叉比對,不僅報表資訊更加多元,亦可由專業資安顧問提供改善的建議。 |
事實上,QRadar已非侷限在日誌管理或SIEM,而是安全整合平台。金天威強調,由於日誌管理較偏向事後稽核,SIEM平台則是事前告警,而QRadar除了Log的解析,也包括網路封包資料,可收納更多不同層面的資訊進而分析,才得以掌握全貌,可說是QRadar較獨特之處。
此外,QRadar於今年初新增Incident Forensics(跡證鑑識)功能模組,藉由事件追蹤與回溯,協助企業找到問題的根本原因。當QRadar分析資訊後發現問題會出現事件告警,Incident Forensics得以進一步產生關聯,指出觸發該事件的人事時地物資訊,甚至可提供當時所開啟的郵件附加文件,或瀏覽社交網站時所夾帶的檔案,因此已不單只是告警,還提供事件內容、歷史資訊。
「Incident Forensics在事前就可整合關聯資產弱點資訊,畢竟現代駭客活動大多利用弱點發動,因此QRadar的發展思維是在SIEM之前,要先進行資產盤點與弱點掃描,掌握這些資訊後,再進行規則比對將可更精確。」金天威說。
搭配IBM X-Force提供的威脅情資(Threat Intelligence),例如動態即時更新的IP黑名單,或是駭客最新攻擊手法、利用的弱點資訊,皆可提升QRadar辨識潛在攻擊行為的能力。且X-Force亦可針對攻擊行為產生虛擬補丁(Virtual Patch)提供企業先行防範,在相關IT原廠未能即時發布更新前,即可透過Virtual Patch抵擋,以免遭駭客用於發動攻擊。