近期,我國又有一家知名科技製造業者遭受勒索軟體攻擊,惡意程式改版快速,在企業尚未掌握新威脅前已開始侵門踏戶,由此可知「未知攻擊」是現今資安防護的一大挑戰。為此,Splunk與數聯資安共同舉辦《資安管理科學專家 發現未知攻擊預測未來威脅》線上研討會,並在會中分享因應的技術、程序及建議。
迎擊勒索軟體的五個問題
「要因應未知攻擊,必須如電視劇中刑事案件調查一樣,先假設犯罪情境,而後從可疑蹤跡深入調查,並用調查證據驗證假設是否成立,成立即能讓威脅現形。」Splunk北亞區資深合作夥伴售前工程師楊耀輝道出企業面對勒索軟體所必須面對的
- 第一個課題:如何迎擊?答案在於建立威脅獵捕(threat hunting)能力。
- 第二個問題是該如何計畫與準備?對此重點在於盡可能廣泛與深入的收集資訊,過短的資訊收集無法讓長期潛伏的惡意程式顯露全貌,同時企業當從中建立起自己內部的IOC(攻陷指標),以及將完整攻擊程序以MITRE攻擊矩陣的方式加以描繪對應。
- 第三是必須了解到勒索軟體的衝擊影響,對此除了經常關注與研讀各種資安事故報導外,Splunk也提供了資安部落格,分析各種威脅的特性、衝擊度、已受災的狀況等,客觀公允地報告可能的衝擊影響性,讓企業主更安心。
- 第四是如何精進防護?關於此Splunk有企業防護內容庫(ES Content, ES即企業防護),充分運用有助於強化資安防護能力,內容庫也快速頻繁更新(update),即Splunk ESCU(ES Content Update)。
- 第五是如何更快迎擊?對此Splunk有Phantom可用於管理IOC,並依據標準流程(SOC)執行各種自動化程式(或稱機器人),例如遭遇某種攻擊就立即對某個系統進行隔離,避免威脅持續擴散波及。
另外也可以介接外部的威脅情資平台(TIP),隨時引入最新的外部威脅指標,讓內部防護系統隨時能偵測、辨識尚未臨門的新威脅,並事先加以防備。
最後楊耀輝建議,企業應採循序漸進方式建立對未知攻擊的防護,首先可運用Splunk Enterprise/Splunk Cloud實現資安日誌管理和調查;而後導入Mission Control、Splunk SIEM以持續監控;進一步的,同樣以Mission Control、Splunk SIEM為基礎加入SOAR,如此便能智慧且自動化地因應新未知威脅;然後也要考慮內部人員可能有可疑行為,因此也必須施行UBA使用者行為分析,如此讓資安防護達到高度完備。
圖1 Spunk建議企業依據路線圖逐步建立資安防護。(圖片來源:Splunk)
NG-SOC新世代資安指揮中心經驗分享
「許多資安業者均有提供SOC資安營運中心的委外監控服務,然箇中的主要差異在於實務資歷與評鑑。」數聯資安資安管理平台發展處副處長黃繼民說明,數聯資安擁有20年以上的資安歷練,並在2020年獲得行政院資安服務廠商評鑑的A級特優結果,足見服務能量。
隨企業資料量的遽增以及威脅蹤跡日益難辨,原有的SOC功能角色已逐漸吃力,須升級成資安戰情指揮中心,以便收容更多更廣的資訊以利威脅分析,同時加強主動、自動的偵測辨識能力,方能因應未知攻擊,但此一升級任務相當艱鉅。即便如此數聯資安毅然決然在2018年進行升級,經審慎評估後決議改以Splunk平台為基礎建構服務,理由在於Splunk平台具有厚實的核心基礎,同時已高度支援與滿足資安分析需求。升級後的SOC已有別於過往的SOC,稱之為NG-SOC,即新世代資安指揮中心。
NG-SOC可運用XDR多維度偵測偵測與回應、NG-SIEM新世代資安戰情平台、SOAR資安協作自動化應變以及CTI資安威脅情資等新的威脅分析與防護技術來強化資安,加上數聯資安的經驗實務可統合人員、程序與技術,讓未知攻擊及早現形,並能自動化因應。升級後的NG-SOC也有更高的處理能力,黃繼民表示,2018年升級前數聯資安每天即要處理高達5億筆的資安事件,如今資料量更加龐大,若無升級將難以因應。
另外,數聯資安的NG-SOC能將相同的資安記錄,依據企業內不同的角色進行轉化,例如經營者、資安長、稽核人員等對資安資訊內容均有不同需求,如此儀表板、報表所呈現的內容也會不同,讓各類型成員更快掌握自身關切的資訊。
圖2 數聯資安能依據企業內不同角色給予不同的資安資訊報告。(圖片來源:數聯資安)
最後,雖然數聯資安順利升級成NG-SOC,但其他企業仍可能面臨相同的升級挑戰,對此數聯資安可協助企業建置或升級SOC;或者,企業衡量自身營運規模與技術能量後,亦可考慮採行資安委外服務的方式,直接援引使用數聯資安的NG-SOC,或者是Co-Source模式,將部份內部資安工作轉由數聯資安代行。
面對無窮無盡的駭客攻擊,企業已深刻體認到雙拳難敵四手的道理,在尋找專家外援的同時,也必須審慎評估廠商是否也能夠因應時勢,加速轉型並提升能力。數聯資安與Splunk聯手合作,為安全營運中心轉型立下良好典範。