資訊安全 協調 Orchestration 自動化 SOC 安全營運中心

情勢詭譎多變難預料 隨時調整應變方為上策

資安協調結合自動化 串連系統靈活應變

2019-03-28
安全營運中心(Security Operation Center)持續進化,協助網路資安專家面對與日俱增的挑戰。這類挑戰包含複雜的網路攻擊、數量持續增長的資安工具,以及日益擴大的技術落差。為了緩解這類網路威脅,企業組織無不加快腳步採用更先進的資安自動化和協調(Security Automation and Orchestration)策略。

 

在討論資安議題時,協調(Orchestration)和自動化(Automation)常被交替使用,但其用途卻截然不同,特別是面對事件回應(Incident Response,IR)時更是如此。協調較為多元,是探討執行流程最佳化的策略。目的是讓回應人員、回應流程,以及執行回應的各種工具技術密切配合,進而判斷何時、由誰、採用何種工具來完成資安事件回應。自動化技術則是以技術為本,用來加快工具類工作流程的作業速度,例如威脅情報查閱。

企業組織一旦能掌握多元的協調策略,也就更能駕馭自動化工作流程,從而降低風險並產生更多效益。要協調技術與自動化技術有效整合,不僅可讓彼此相得益彰,還能提供策略性與智慧化兼具的應變措施。

掌握資料不等於掌握資訊掌握資訊不代表掌控全局 

我曾在RSA大會中看過許多企業忙著推銷資安緊急事件應變措施自動化技術。這些人的願景是讓電腦取代人力,偶而加入一些機器學習或其他AI技術,並以電腦的速度因應資安攻擊。雖然這是一個令人讚賞的目標,但要在短期之內達成目的卻有一個根本性的問題。那就是只能針對已確定的項目執行自動化,但網路安全的不確定因素卻是無遠弗屆。自動化技術在緊急事件應變措施中確實占有一席之地,但應該把重心放在如何協助人員改善效率,而非將其盡數取代。也就是說,重點在協調,而非是自動化。

這不是在玩文字遊戲,而是從原理來看,兩者之間確有差異。美國軍方在90年代就搞過這一套。當時叫做「軍事事務變革」(Revolution in Military Affairs,簡稱RMA),原意是打算改變戰爭的方式。衛星、無人機和戰場感應器應為指揮官提供目前戰況的大量資訊,同時已連接網路的士兵和武器應可協助部隊協同作戰,讓彼此的整合達成前所未有的程度。簡言之,傳統的戰爭迷霧將被完整資訊所取代,讓確定性全面取代不確定因素。美國軍方當時也認為確定性可以推動自動化,且即時面對多種情況,科技還是足以取代人力。

當然,事情可沒這麼簡單。美國在阿富汗與伊拉克所學到的教訓,就是情報蒐集與協調系統還有許多漏洞。無人機確實有派上用場,但卻無法取代地面部隊。

RMA的推動過程的確為美軍帶來強大優勢,尤其是面對缺乏相同技術的敵軍時更是如此,但卻不能保證不會發生意外。戰場上仍然充斥著各種不確定因素,而地面上的士兵才是有效控制敵境領土的唯一方式。

但在此過程中學到了對確定性的掌握程度,將如何影響軍方思維。我曾參加由前任國家安全顧問赫伯特 • 雷蒙德 • 麥馬斯特(H.R. McMaster) 所主持的主題講座,他的講座曾論述多種主題,有一次談到了RMA的挫敗,並且證實軍事戰略專家誤信只要掌握足夠資料,意外就不會發生。但他也利用這次機會進一步思忖,概述了軍事戰略專家在思考現代戰爭時一味相信確定性所帶來的後果。

他的觀察結果,與網路資安事件回應措施有著直接關聯。我們也曾一度認為掌握資料可確保意外不發生,並犯下與90年代軍方相同的錯誤。處於充滿不確定性的世界,能增加對全局的瞭解至關重要,因此指揮官必須想辦法洞悉一切。若是處理確定性高的問題,只要蒐集資料就能掌握全局,方法相對簡單。

網路資安也出現相同的謬論。有不少出席RSA大會的公司承諾,有辦法蒐集更詳細的資料並予以顯示,還能從這些資料中洞悉一切。這簡直是一派胡言。掌握資料不等於掌握資訊,掌握資訊不等於掌握全局。我們的確需要資料,但還必須排定解析資料的優先順序,而不是一味地蒐集更多資料。這個問題與大量監控的問題非常相似,「蒐集全部資料」所能提供的價值會比蒐集特定資料的價值更低。

處於充滿不確定性的世界,應把重點放在執行。至於處理確定性高的任務,重點則在於妥善規劃。我認為網路資安也是一體適用。Resilient Systems(現已納入IBM Security)可協助事件應變措施團隊管理各類資安事件與入侵偵測。雖然這套工具在進行規劃與測試作業時非常實用,但其重心始終在於執行。

想要克服不確定因素,必須仰賴主動出擊;想要掌握確定性,則是必須仰賴同步程度。而我們在這裡又走錯一步。所有事件回應措施的工具,係為了協助回應人員改善工作效率。這些人員必須同時具備相關技能與專業能力,才能有效執行任務。

若處理的事情具有很高的不確定性,會希望各系統可以進行分散式執行。若不確定性低,集中式管理則是比較重要。訓練有素的事件回應團隊知道這一點有多重要,分散式管理與主動性可說是息息相關。最後一點,處理不確定高的事情,妥善指揮才是第一要務;處理確定性,控制則是第一要務。有效率的事件回應,團隊也同樣知道這一點有多重要;而有效率的管理者,則會願意將控制權下放並委派他人。

就像當年的美國軍方,在事件回應這塊領域已將過多重心轉移至處理確定性高的作業一樣,我們已著重資料蒐集、預先計畫、同步程度、集中式管理與加強控制。這不僅可從使用者討論網路資安未來展望的角度觀察到此趨勢,也能從RSA大會現場所展示的產品與服務察覺。

補強OODA所需工具資安協調也需人力解析 

自動化技術過於死板僵硬。事件回應必須可以臨機應變、調度靈活,因為永遠無法保證例外不會發生,且從另一方面來說,敵人的惡意攻擊懂得自動調整。企業需要的是一套可由人力控制又能隨時自我調整的回應系統,自動化技術只是禁止系統在目前環境所需的一定範圍內執行相關操作而已。如同軍人也必須經過輪調才能讓自己變得更強悍,企業也必須做相同的事。

有一段時間我常根據「OODA循環」在討論資安事件回應方法論。這是一種思考即時對抗關係的方式,最初是為空戰而開發的技術,但現在有了更廣泛的用途。OODA代表「觀察Observe、定位Orient、決定Decide、行動Act」,這也是使用者針對不斷重複發生的網路安全事件的回應模式。我們需要足以補強這四個步驟的相關工具。這類工具必須能在充滿不確定性的環境中運作,且這個環境沒有足以讓你掌握一切的充分資料。我們必須針對解析、執行、主動、分散式管理,以及指揮來安排其優先順序。

與此同時,也必須予以擴充。若要說有何區別,在充滿確定性與自動化功能的環境中,最吸引人之處莫過於這個環境允許擴充防禦措施,而這也是目前力有未逮的問題。我們可以將資訊安全的各個環節自動化並做出相應調整,這些環節包括防毒軟體、自動修補、防火牆管理,但仍無法將自動化範圍延伸至事件回應。這也是為何需要資安人員的原因,而我們必須瞭解有哪些環節可以自動化、哪些環節無法自動化。

資安協調技術也就是人力、程序與技術的整合。儘管現今能採用電腦自動化技術,但某些地方還是需要人為調度來協助。資安協調技術是去串連各系統,可協助使用者掌握訊息並有能力執行相關作業,並讓事件回應的第一線人員以最有效率的方式作業,而非取代這些人力。這才是資安防禦的最佳因應方式。

自動化技術確實占有一席之地,若企業正在思考這項技術可在哪些產品類別中派上用場,答案是只要是確定性高的環境,就是這項技術得以發揮所長的領域。自動化技術適用於防毒軟體、防火牆、修補程式管理以及驗證系統。沒有一套系統是完美無缺,但這些系統已算幾乎可隨時做出正確的判斷,所以才會研發輔助系統,以便在主要系統出錯時處理危機。

環境中充滿太多不確定性,自動化的機制能發揮作用,是因為使用者能夠掌握全局,也就是說人力的角色還是不可或缺。舉例來說,IBM的Watson for Cyber Security這套系統可以擷取大量的隨意資料並從中找出相應規律,再以此為依據為事件回應團隊提供各類洞察報告;即便如此,這套系統仍然不會將人力解析的環節排除在外。

只有在協調模式之下,可讓自動化技術發揮強大威力。而在此所談論的協調模式,正是以人為中心加以協調並促成以下的自動化作業,包含分析資料儀表板、產生報告、協同作業。若非如此,就只是一味地信任機器。若是將充滿不確定因素的程序自動化時,後果將不堪設想。

技術日新月異,這個目標也會不斷變動。總有一天,在即時緊急事件應變措施這塊領域,電腦將會擁有足以取代人類的智慧。但電腦不可能只單靠蒐集足夠資料就有辦法達成這個目標。比較可能的結果,會是電腦將發展出一種認知的能力,並有辦法在充滿不確定因素的環境中運作。這可不是件簡單的任務,但卻不是個遙不可及的夢想,很可能在下一代就能實現。但在那之前,不該將人類排除在體制之外,而協調技術正是達成此一目標的方式。

善用協調技術與自動化落實網路應變能力 

緊急事件應變措施協調技術的問世,是一種網路安全的革命性變革。經過妥善協調的資安環境,可讓自家員工掌控全局,並輔以自動化技術支援。這樣的環境可協助員工整合各項必要的程序與工具,方便他們瞭解攻擊行為、做出決定並快速因應。面對現今的安全態勢,這可是關鍵環節。

<本文作者為IBM Resilient技術長暨IBM資安事業部特別顧問>


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!