面對層出不窮的資安事件,企業IT管理者的最大期望,并非僅止於在第一時間出手攔阻,而是深切了解該事件的人事時地物,洞察其來龍去脈,只因唯有如此,才能將原始病根清理殆盡,根除日後復發的可能性。
「只不過,單憑傳統工具,無法完全呈現企業IT管理者想看的真相,」安創資訊技術長胡辰澔說,此乃由於,不同的工具挾帶不同介面,各自留存了發散的資訊內容,即使動用資安事件管理平臺(SIEM),將這些散亂訊息整合至單一儀表板,看似已經過有效匯整,但仍經常予人「不知該從哪里看起」之嘆,同樣未能發揮預期功效。
然而企業就這麼放棄了?當然不行,舉凡防毒軟體、防火墻、入侵防御系統(IPS)、網頁應用程式防火墻(WAF)、伺服器日志、應用程式日志,雖然各有管理介面徒增匯整困難,但它們都是賴以判斷企業資訊安全狀態的必要依據,缺一不可,所以企業IT管理人員仍應設法將它們融會貫通,以期了解資安威脅的真因。
僅靠設備日志 無法洞悉安全事件原貌
在傳統上,要達到前述目標,似乎仍離不開SIEM,也就是必須倚靠SIEM平臺進行Log正規化,接著匯集所有Log,執行關聯性分析,最終透過SIEM儀表板呈現分析報表,若分析結果觸發某些預設安全規則,亦會立即對IT管理者發送告警。
但麻煩的是,隨著資安威脅型態愈顯復雜,企業僅靠內部資安設備、應用程式或伺服器日志的交叉比對,已無法還原資安事件全貌,其余諸如Web應用資料、語音或通訊數據、電子郵件、效能監控數據、身分管理訊息,甚或是外部資料來源,都有必要一并納入整合分析范疇,如果仍藉由傳統資安事件管理機制來執行此項統合式任務,不免有其問題。
胡辰澔分析,傳統安全管理機制所產出的報表,大抵分為三大類,分別滿足事件調查、事件監識、法規遵循等三面向需求;然而只要是管理系統,一定有資料庫存在,經由大量數據的日積月累,勢必會影響I/O效能,再者,由於資訊過於繁雜眾多,導致管理者要嘛「懶得看」,要嘛也很難理解大量資訊的個中意涵。
如此一來,上述不管是基於事件調查、事件監識、法規遵循等目的之相關人士,都面臨共通難題,即是無法即時獲得想要的答案;據統計,在臺灣面對每一項安全事件的反應時間,平均落在3~5天水準,更有甚者,往往是肇因於新聞報導、同業口耳相傳,或是受害用戶反應,企業IT管理人員方知已有事故發生,接著才做出必要處置動作,否則自己根本渾然不覺;這般反應速度,與各項法規所要求的15~30分鐘內展開應變,著實差距甚遠。
愈是這樣,愈是讓駭客們額手稱慶,因為他們只需要好整以暇慢慢來,慢慢了解你的整體環境,慢慢滲透你的環境內部,似乎不會遭遇太多挑戰,就能一步步竊取你的機敏資產。
大數據分析加GUI視圖 助企業透析攻擊活動
面對如此險惡的處境,企業應當如何是好?胡辰澔建議應該「Think Outside the Box」,也就是拋開IT管理所熟知的資安事件分析模式,譬如SIEM,轉而推動行為式分析,無論是大量系統、資料,或來自於環境的風吹草動,乃至於外部的GeoIP、黑名單、Watch Lists、媒體報導、社交網路的Chatter,皆可作為企業的情報來源,另以輔以企業本身的智慧分析能量,如此才能真正找出遭受駭客攻擊的問題癥結。
在此前提下,胡辰澔認為,企業不只需要把所有設備的資料一網打盡,也需要針對設想與此事有關的任何非結構化資訊,予以大肆蒐集,并將這些龐大資料通通納進Hadoop平臺,執行巨量資料分析,最終再藉由商業智慧(BI)畫面呈現分析成果;值得一提的,Hadoop最令人津津樂道的特色,乃在於其結構可以一直延伸,目前全球最大的運用案例,系動用多達十余萬臺節點串聯成為龐大平行運算/儲存架構,因此企業完全不需擔心資料量過大而致系統難以支撐。
「企業不要把腦袋放在箱子里,」胡辰澔說,企業一旦跳脫既有資訊安全設備日志,跳脫SIEM或日志管理格局,擁抱大數據分析,等於是將視野無限廣大,所能理解的資安事件癥結,絕對比以往多得多。
比方說,安創資訊有一家客戶,透過一年資安資訊的累積,再結合Google Map呈現來源與目標的連線狀況,作為一個可以綜覽全局的雷達圖,繼而自由依據單位、事件名稱、連線事件進行篩選,意外窺見以往看不出的現象,即是每條不同IP連線所構成的曲線過程,都存在若干斷點,經過分析,發現造成這些斷點的外來IP型態、發動攻擊次數皆屬一致,有了這個依據後,該企業甚至可透過What If預測未來攻擊趨勢,并據此抽絲剝繭,逐一詳查現行安全設定何者正確、何者錯誤,從而將企業防御體質調理到更加健全的狀態,成效可見一斑。