看重全球企業上雲需求持續增長,擅長次世代防火牆(NGFW)技術的Palo Alto Networks,近年來積極發展雲端安全服務,日前更是宣布正式啟動Cortex台灣雲端資料中心,讓受到法規限制的企業,可就近選用Cortex XSIAM、Cortex XSOAR、Cortex XPANSE等服務。
Palo Alto Networks台灣區技術總監蕭松瀛指出,日前發布的《2023年雲端原生安全趨勢報告》統計,全球各地的企業對雲端科技的需求持續升溫,其中高達53%的雲端工作負載是託管在公共雲環境中。台灣的企業情況亦然,尤其是在金管會近期放寬了金融業進行雲端委外的相關規範後,該領域的雲端應用申請流程得以簡化。然而,隨著台灣企業更廣泛地接受雲端解決方案,這也無疑增加了偵測和預防威脅的難度,並可能導致更多的資源和成本投入。
「Palo Alto Networks一直強調區域性的服務承諾,致力於為台灣以及其他區域客戶提供全方位且符合當地法規規範的資安服務,以協助保護攸關營運競爭力的機敏資料。並且藉由掌握全球最新威脅情資的能力,有效地識別和應對潛在的資安威脅,為台灣企業帶來更高效和簡便的安全解決方案。」蕭松瀛說。
SIEM持續進化整合多功能統一監控
Cortex XSIAM已整合了SIEM、SOAR、端點偵測與回應(EDR)、網路偵測與回應(NDR)、威脅情報管理(TIM)、攻擊面管理(ASM)等功能,並且彙整所有日誌並使其標準化,運用機器學習演算把資料元素相互關聯。
資安事件管理系統(SIEM)向來是維運工作不可或缺的技術工具,如今已變得難以跟上當前網路攻擊的速度和複雜度。蕭松瀛觀察,以往網路、端點、身分、雲端等環境皆有各自的資安防護技術,但隨著攻擊面的擴大,獨立運行的安全機制經常遭攻擊者成功繞過,抑或是觸發多處偵測告警,讓SOC團隊產生告警疲勞,駭客再趁亂橫向移動來達到目標。
無論是內部導入部署SIEM平台,或是採用雲端服務,蒐集各種不同來源的日誌後運行關聯分析,須演進採以自動化輔助判讀大多數資訊,少部分高風險事件才交給SOC人力執行調查與回應,讓有限的資安人員發揮最大效益。
蕭松瀛進一步說明,Cortex XSIAM能全面掌握每次的攻擊,包括告警事件分組、提供與根本原因相關的資訊,使資安人員能更快速地著手事件調查。內建的自動化機制還可強化警示、回應惡意行徑,讓資安人員專注在少數需要人為判讀的高風險威脅。
值得一提的是,XSIAM平台背後是由Palo Alto Networks Unit 42專業研究團隊持續不斷地更新情資。其基於全球超過85,000名客戶提供的威脅資訊,用以訓練機器學習偵測模型,並且自動發布到XSIAM平台,提高進階式攻擊手法的辨識能力。
XSIAM雲服務保障資料不出境
Cortex XSIAM是Palo Alto Networks提出的自主安全平台,旨在透過使用AI與機器學習演算模型,實踐資料驅動檢測、自動化調查與回應機制,改善資安營運中心(SOC)團隊維運效率。蕭松瀛認為,利用Cortex XSIAM,台灣企業不僅能加快SOC的現代化進程,還能夠確保機敏資料得到妥善保存。
再者,Cortex XSOAR是Palo Alto Networks為現代SOC設計的資訊安全自動化和協同工作平台。這個平台能自動化和最佳化SOC團隊的工作流程,提高整體效率。它還整合了多種服務,並提供一個易用的SaaS操作介面。透過Cortex XSOAR機制,企業能夠獲得預先定義的操作流程和整合多種技術平台,提升應對威脅的速度和效果。
至於Cortex XPANSE則是一個主動式的攻擊面管理平台。這個平台讓企業能更主動地減少其潛在的攻擊面範圍,進而優化企業的資安管理。該解決方案使用AI驅動的操作,可快速地識別和修復攻擊面存在的安全漏洞,有效提升網路防禦能力,降低攻擊成功的風險。
對於希望更全面地達到資料安全防護的企業,Palo Alto Networks也提供了Cortex Data Lake解決方案。該方案能蒐集、轉換和整合企業IT環境產生的各類型資料格式,同時確保這些資料存放在境內且有適當的防護。
當違規事件發生時,資安團隊必須迅速採取行動。透過Cortex XSOAR,可利用最佳實踐工作流程,以自動化方式來執行隔離與修復遭受感染的端點。例如當Cortex XDR或其他工具偵測到勒索軟體攻擊時,立即觸發執行勒索軟體劇本(Playbook),從作業系統環境蒐集資料、運行分析調查、遏止惡意程式擴散,處理過程亦可在XSOAR儀表板上完整呈現。
ITDR行為數據提升信任推斷準確度
隨著網路安全格局的演變,即時處理大量資料和應對潛在威脅已成為Cortex XSIAM重要的發展方向。尤其是基於AI和自動化的整合,應對日益增長的威脅,以確保能夠主動和有效地減少資安風險。今年(2023)年初,Cortex XSIAM平台新發布了身分識別威脅偵測與回應(ITDR)模組,讓企業IT能夠將使用者身分和行為資料匯入,運用機器學習演算模型快速地完成偵測。
現代化攻擊活動的第一步,大多是透過盜取使用者憑證來存取機敏資料或關鍵應用系統。近期知名的案例莫過於Lapsus$駭客組織利用特權使用者憑證攻擊了多個政府機構以及多家大型科技公司。
蕭松瀛指出,當前偵測與身分有關的攻擊活動通常須部署多種工具,例如使用者與實體行為分析(UEBA)、內部風險管理、基於端點的ITDR等,但每種技術都只提供對使用者活動的部分視角。這種零散的方法導致難以察覺全貌、告警事件過多,以及在事件調查上花費過多時間。隨著ITDR的加入,XSIAM平台可將所有身分資料來源整合為一個橫跨端點、網路和雲端的安全基礎,讓AI驅動的威脅偵測發揮效益。
ITDR模組能處理來自各種來源的資料,包含認證服務、端點日誌、雲端身分資料、郵件、作業系統等,藉此訓練使用者行為模型,以標記出可疑活動,控管資安風險。
蕭松瀛認為,身為資安防禦方,最讓人擔心的是誤判。因此,如何進行更精確的信任推斷成為企業關注的要點。這也正是Cortex XSIAM發展AI驅動機制可發揮之處。透過風險分數、設備識別和身分識別等多種方式,企業可以更精確地進行信任推斷。例如,如果一個設備沒有定期更新安全補丁,則其風險分數應該相對較高。AI作為輔助工具,正可持續監控並提高其準確性。