過去企業遭受駭客攻擊多半低調不張揚,但正因如此讓駭客得以迅速複製並擴大攻擊。近年隨著各產業領域資安情資資訊分享中心的設立及法規要求,企業已逐漸建立事件通報與情資共享的觀念,如今為了更即時防堵避免事件擴大,金管會規定金融業需在30分鐘內完成事件通報。
30分鐘完成通報對資安長來說無疑是極大挑戰,畢竟資安工程師進行事件調查通常需花上數小時,除非仰賴自動化協調工具SOAR的協助,才可能在極短時間內完成事件分析。數聯資安自去年在SOC中心導入SOAR,如今8成告警事件的調查都已自動化,完成事件分析只要1分多鐘,即可啟動通報與處置流程。
SOC中心整合SOAR、通報系統 1分多鐘內完成通報應變
數聯資安的SOC中心每日平均處理500~600個告警事件,過去工程師收到告警接著進行事件調查與判讀約需30分鐘。自從去年導入資安協作自動應變系統(Security Orchestration, Automation and Response,簡稱SOAR)之後,不僅大幅縮短事件回應時間也提高通報正確率,降低人為調查過程中可能的疏漏,而導入事件分析自動化後,第一線工程師有更多時間能投入相關事件分析技術的進修。
自從Gartner提出並為SOAR技術命名至今已6年,但由於SOAR須與企業資安設備高度整合與客製playbook加上軟體授權所費不貲,因此市場導入並不普及。為了加速SOC中心事件處理時效,經評選市場上多家SOAR平台後,數聯資安選擇生態系發展較成熟周全的平台導入。SOAR平台已與主流資安設備完成整合,包含各大廠牌防火牆、入侵防禦系統、網頁應用防火牆都已有介接連接器,經過參數調整即可套用。導入過程中,數聯將SOC中心接收到的各種設備告警事件分類並依據調查SOP建立不同的自動化腳本,如今SOC中心有8成告警事件均已啟動自動化調查,可在1分鐘內完成分析,緊接著SOC工程師即可檢視分析結果並決定是否通報客戶。
不只是本身SOC中心導入SOAR平台,數聯也針對事件通報的後續應變處理推出SOAR加值服務,透過在客戶端安裝SOAR用戶端引擎,一旦SOC中心偵測到告警事件並經SOAR平台調查確認後啟動通報應變流程,即觸發數聯自行開發的RIM事件通報系統,RIM能依據與客戶事先定義好的通報流程通知客戶並由客戶勾選決定事件應變處理方式,最後將決策結果回傳SOAR,啟動自動執行應變措施。
以網站系統入侵事件來說,透過SOAR加值服務可直接與客戶的防火牆、IPS、WAF或EDR等設備連動,可將攻擊IP位址、檔案Hash值自動寫入設備中立即阻擋,將過去需30分鐘完成的分析通報縮短至1分多鐘完成分析通報與應變處置。若擔心設備連動阻擋恐影響企業關鍵應用系統與服務運作,也可採取先將惡意程式隔離阻擋,待完成通報客戶端確認後,再進行處置。
透過SOAR加值服務或自建SOAR平台 快速通報主動聯防
數聯團隊已成功協助某政府機關建置這套結合SOAR與RIM的資安協作自動應變系統。技術顧問指出,SOAR導入關鍵在於組織的事件調查處理程序是否已標準化,若相關流程順序與判斷邏輯均已標準化即可套入自動化腳本(Playbook)中,加速處理流程,因此導入前花時間進行處理流程標準化是絕對必要的。此外若事件通報流程需配合企業組織架構與特定應用系統做連動,如HR系統、ERP系統,或需整合特定帳號密碼系統,數聯團隊也可協助企業客製RIM事件通報系統。
總之,企業要達成30分鐘內完成事件通報與應變的目標,依靠資安工程師以人力進行事件調查分析是非常地耗費人力與時間的,導入具備系統協調連動、自動化事件調查、事件處置應變與威脅情資等四大功能的SOAR平台實有其必要性。而企業可選擇數聯資安SOC監控中心及SOAR加值服務來實現,或是由數聯資安協助自建SOAR,能在符合經濟效益的前提下,不需高昂導入費用即可建置起整合RIM通報系統、最新威脅情資的SOAR,才足以面對如今有目的、組織化的駭客網路攻擊。