发帖
雷达卡
「只不过,单凭传统工具,无法完全呈现企业IT管理者想看的真相,」安创资讯技术长胡辰澔说,此乃由於,不同的工具挟带不同介面,各自留存了发散的资讯内容,即使动用资安事件管理平台(SIEM),将这些散乱讯息整合至单一仪表板,看似已经过有效汇整,但仍经常予人「不知该从哪里看起」之叹,同样未能发挥预期功效。
然而企业就这麽放弃了?当然不行,举凡防毒软体、防火墙、入侵防御系统(IPS)、网页应用程式防火墙(WAF)、伺服器日志、应用程式日志,虽然各有管理介面徒增汇整困难,但它们都是赖以判断企业资讯安全状态的必要依据,缺一不可,所以企业IT管理人员仍应设法将它们融会贯通,以期了解资安威胁的真因。
仅靠设备日志 无法洞悉安全事件原貌
在传统上,要达到前述目标,似乎仍离不开SIEM,也就是必须倚靠SIEM平台进行Log正规化,接着汇集所有Log,执行关联性分析,最终透过SIEM仪表板呈现分析报表,若分析结果触发某些预设安全规则,亦会立即对IT管理者发送告警。
但麻烦的是,随着资安威胁型态愈显复杂,企业仅靠内部资安设备、应用程式或伺服器日志的交叉比对,已无法还原资安事件全貌,其余诸如Web应用资料、语音或通讯数据、电子邮件、效能监控数据、身分管理讯息,甚或是外部资料来源,都有必要一并纳入整合分析范畴,如果仍藉由传统资安事件管理机制来执行此项统合式任务,不免有其问题。
胡辰澔分析,传统安全管理机制所产出的报表,大抵分为三大类,分别满足事件调查、事件监识、法规遵循等三面向需求;然而只要是管理系统,一定有资料库存在,经由大量数据的日积月累,势必会影响I/O效能,再者,由於资讯过於繁杂众多,导致管理者要嘛「懒得看」,要嘛也很难理解大量资讯的个中意涵。
如此一来,上述不管是基於事件调查、事件监识、法规遵循等目的之相关人士,都面临共通难题,即是无法即时获得想要的答案;据统计,在台湾面对每一项安全事件的反应时间,平均落在3~5天水准,更有甚者,往往是肇因於新闻报导、同业口耳相传,或是受害用户反应,企业IT管理人员方知已有事故发生,接着才做出必要处置动作,否则自己根本浑然不觉;这般反应速度,与各项法规所要求的15~30分钟内展开应变,着实差距甚远。
愈是这样,愈是让骇客们额手称庆,因为他们只需要好整以暇慢慢来,慢慢了解你的整体环境,慢慢渗透你的环境内部,似乎不会遭遇太多挑战,就能一步步窃取你的机敏资产。
大数据分析加GUI视图 助企业透析攻击活动
面对如此险恶的处境,企业应当如何是好?胡辰澔建议应该「Think Outside the Box」,也就是抛开IT管理所熟知的资安事件分析模式,譬如SIEM,转而推动行为式分析,无论是大量系统、资料,或来自於环境的风吹草动,乃至於外部的GeoIP、黑名单、Watch Lists、媒体报导、社交网路的Chatter,皆可作为企业的情报来源,另以辅以企业本身的智慧分析能量,如此才能真正找出遭受骇客攻击的问题症结。
在此前提下,胡辰澔认为,企业不只需要把所有设备的资料一网打尽,也需要针对设想与此事有关的任何非结构化资讯,予以大肆蒐集,并将这些庞大资料通通纳进Hadoop平台,执行巨量资料分析,最终再藉由商业智慧(BI)画面呈现分析成果;值得一提的,Hadoop最令人津津乐道的特色,乃在於其结构可以一直延伸,目前全球最大的运用案例,系动用多达十余万台节点串联成为庞大平行运算/储存架构,因此企业完全不需担心资料量过大而致系统难以支撑。
「企业不要把脑袋放在箱子里,」胡辰澔说,企业一旦跳脱既有资讯安全设备日志,跳脱SIEM或日志管理格局,拥抱大数据分析,等於是将视野无限广大,所能理解的资安事件症结,绝对比以往多得多。
比方说,安创资讯有一家客户,透过一年资安资讯的累积,再结合Google Map呈现来源与目标的连线状况,作为一个可以综览全局的雷达图,继而自由依据单位、事件名称、连线事件进行筛选,意外窥见以往看不出的现象,即是每条不同IP连线所构成的曲线过程,都存在若干断点,经过分析,发现造成这些断点的外来IP型态、发动攻击次数皆属一致,有了这个依据後,该企业甚至可透过What If预测未来攻击趋势,并据此抽丝剥茧,逐一详查现行安全设定何者正确、何者错误,从而将企业防御体质调理到更加健全的状态,成效可见一斑。
本文转自:中国大数据
提升卡
置顶卡
沉默卡
变色卡
抢沙发
千斤顶
显身卡
京公网安备 11010802022788号
