不論對何種產業類型、跨國集團或本土企業、亦或各種規模大小的企業組織來說,談到勒索軟體攻擊的危害都令所有人聞之色變。前不久又發生駭客集團REvil攻擊遠端監控管理軟體開發商Kaseya,以其軟體漏洞為跳板,對其代管服務供應商客戶及企業用戶發動勒索軟體攻擊的事件。這類結合勒索軟體與供應鏈攻擊的手法層出不窮,這不是REvil第一次犯案而REvil也不是唯一的駭客集團,Kaseya更不是第一個受害者也不會是最後一個。日前行政院發布109年國家資通安全情勢報告中也提到,勒索軟體攻擊已成為常態,如何縮短災害復原耗費的時間將成為關鍵。若遭受攻擊無法避免,自動化回應機制將是能縮短災害復原時間的解答。
靠機器自動應變的SOAR 大幅縮短回應時間從半導體龍頭大廠、政府機關到中小企業,無以計數的企業組織遭受過勒索軟體攻擊。以知名勒索軟體Wannacry來說,在病毒啟動不到10分鐘內,能迅速感染上百台電腦,電腦立刻呈現藍白畫面。3年前半導體大廠遭遇勒索病毒攻擊,也是在幾小時內就令2個廠區所有電腦與機台中毒。因此,要能快速對勒索攻擊採取應變措施,縮短平均偵測與回應時間,唯有靠新世代安全事件管理系統(NG-SIEM),尤其是讓SIEM與資安協作自動應變系統(Security Orchestration, Automation and Response簡稱SOAR)整合搭配,並與其他資安/網管設備自動協同聯防,才能實現安全完善的自動化回應。
過去不管是自建自管SIEM平台或將資安監控中心(SOC)委由廠商提供代管服務,企業不難發現資安維運團隊經常需要花許多時間進行Alert告警調查、分流處理等例行常態及重複性高的工作。SIEM主要負責長時間搜集日誌並作分析,一旦調查之後該採取哪些因應措施,很大程度是靠人力介入,造成資安應處的動作耗力、費時、效率低、效果差的體現。而NG-SIEM搭配的SOAR主要則是靠機器立刻自動應變來做資安事件應變處理的增強。
SOAR是一套新的資安機制,具備智慧機械人的自動化系統,能串接跨多品牌之間不同的資安工具與網路系統,因此能夠真正實現資安常言道的縱深聯合防禦,且SOAR能匯入威脅情資,將機器可讀取的情資直接整合至SOAR,提高資安事件應變處理的可靠度,也幫助資安維運團隊可快速調查並做決策。
彙整各種告警 SOAR清楚看出攻擊全貌此外SOAR具備三大功能可以解決現今資安維運上遭遇的挑戰瓶頸:
首先SOAR內建各種資安事故情境腳本,能依據不同異常狀況立刻採取不同行動,例如:若發現某電腦嘗試暴力破解登入系統,SOAR可以立刻透過防火牆App擋掉該電腦IP,但若是沒有SOAR,IT管理者收到告警訊息則需要先開啟防火牆App再手動阻擋該異常IP。手動操作程序不僅較花時間,也較容易出錯。簡言之,過去SIEM產生太多與安全相關的告警,分析師須花時間調查分析再採取,而SOAR透過腳本能精簡資安維運工作,自動執行針對資安events的回應操作。
其次,SOAR能依據事件影響層級通報給不同權限者。即便SOAR能自動採取防禦措施,但若在適當時機通報資安人員,經由判斷後則能做到更全面且徹底的偵測。例如過去五天內每天都偵測到中了相同病毒的電腦,經由人員判斷決定立即針對所有網域內的電腦做一次全面的掃描,可儘早發現異常阻斷感染鏈。
第三、SOAR能夠將不同種類的事件按優先順序排序以便於工程師進行調查,並且能將不同設備發出的告警彙整為單一案件,此一方式能清楚看出事件的相關性,以了解攻擊全貌。此外,也能讓資安工程師與其他網路工程師能更有效率地聚焦及分享資訊進行協作。
雖然SOAR是可以獨立運行的系統,但並非用來取代SIEM;SIEM扮演大腦中樞,負責事件搜集、進行資料分析,而SOAR則是負責採取反應動作的小腦。當發生攻擊事件時若能SIEM與SOAR整合協作,能讓SOAR採取更精準的反應行動。當SOAR與SIEM共同存在搭配下,才是幫助企業組織在資安上健全完整的腦運作。
不論是勒索軟體攻擊或任何刁鑽的目標式攻擊,駭客要觸動攻擊程式前,都已植入木馬或後門程式潛伏在目標環境一段時間。因此靠著事前定期進行社交工程演練與弱點掃描,能針對人員與系統的弱點與高風險處先做修補與改善,再搭配SIEM與SOAR在事件發生當下能更快速反應、採取決斷動作的防護措施。透過層層部署才能及早發現駭客入侵的蛛絲馬跡,將入侵攻擊的損害降到最低。
