結合戰情中心與AI分析 打造極致防禦架構
資安議題並非現在才誕生,從過去到現今,已歷經多次演進。期初包括防毒、防火牆、Web、E-mail等等閘道端防護,都側重單點思維,一種設備代表一種防禦功能;後來隨著惡意攻擊手法精進,輔以物聯網(IoT)興起而致連網裝置激增、駭客切入點變多,僅憑單點防禦不夠用,致使協同式防禦概念抬頭,透過不同類型閘道設備互通資訊,再搭配雲端、端點等防護機制形成聯合防禦網。
華電聯網資通產品及資安服務處副總經理鄭炤仁表示,前述單點式防禦、協同式防禦,可依序歸類為資安演進史的第一、第二階段,大多數企業仍落在第一階段,近年開始有愈來愈多企業意識到縱深防禦的重要,逐漸啟用SOC監控服務。
持平而論,SOC僅能根據企業用戶端的設備系統日誌,從中過濾異常訊息、定義出可疑事件,即時發送告警通報,後續仍取決用戶自身的判斷與反應,才能做適當處置。然而從資訊解讀到行動方案的底定,往往耗時甚久,故多數企業企盼有更直覺化的戰情中心視覺化平台,不僅蒐集資訊,也能經由簡單的分析、運算、排列優先順序,幫助用戶快速下達因應對策。
新一代戰情中心,助企業隨時掌握資安現狀
華電聯網資通產品及資安服務處資深協理楊仁吉指出,該公司著眼於此,便以Splunk為底層進行加值開發,進而孕育出滿足多數企業期盼的戰情中心,現階段已能在事件發生的當下,透過SMS簡訊、App推播或E-mail等管道提出警訊,協助管理者知道資安現況、應當做什麼處置,預計待至下個進程,該系統可根據威脅型態與政策發出對應指令到相關資安設備,主動加以攔阻。
尤其值得一提,在IoT時代,愈來愈多裝置都有IP,都具有連網能力,以辦公室為例,舉凡PC、IP Phone、印表機、IP Camera乃至打卡鐘皆能連網,個個都可能成為惡意程式的入侵點,亦可能淪為橫向擴散感染的幫兇,因此企業除須關注網路(南北向)防護外,亦需重視實體裝置與內部的網路行為的防護,儘速建立東西向防禦網。
鄭炤仁副總經理接著說,顯而易見,新一代戰情中心的出現,已讓資安第二階段趨於完善,但基本上不管是第一或二階段,皆根據特徵碼查找病毒或惡意程式,伴隨駭客或內賊的攻擊技巧日益提升,愈來愈懂得規避特徵碼檢查機制。因此業界開始倡議第三階段防護思維,意即行為模式分析,一開始偏向網路可視化分析,惟用戶反應僅能藉此得知發生何等網路異狀,仍難以研判威脅輕重,反倒徒然加重管理者的資訊判別與處理負擔,爾後受惠於人工智慧(AI)技術興起,即可由系統自動學習組織內部行為模式,據此建立行為基準線(Baseline),用以比對人與機器的行為是否異常。
只不過Baseline之產生,仍仰賴基本模式的建立,必須花時間學習琢磨,有時未必能精確研判突如其來的非基本性質行為,更何況有些看似相近的行為模式,發生在不同時間,代表的意義也不見得相同,難免滋生誤報;所以開始有業者將AI更加發揚光大,標榜無需借助Baseline,隨時都有能力描繪駭客攻擊路徑,將資安演進推向第四階段。
華電聯網為協助企業抵禦頑強的惡意攻擊、牢牢守護數位資產,與時俱進順應前述四階段脈絡,快速建立對應的資安服務供應實力,現今已與擅長網路、端點的多家AI分析方案業者合作,搭配自身的智慧化戰情中心,匯聚為堅強的資安防禦堡壘
[ 華電聯網資深協理楊仁吉先生,將於7/19舉辦的2018雲端資安論壇發表「化被動為主動-物聯網世代的資安防護思維」,活動完全免費,欲進一步了解如何運用AI建立新一代戰情中心,歡迎MIS、資料庫、營運E化、稽核與法遵等資訊人員報名參加!]