建構安全免疫系統 強化防禦偵測回應能力
- 周維棻/台北
-
隨著資訊科技發展日趨成熟,創新應用情境決定了現今的IT基礎架構模式,不僅維運思維須隨之調整,同時得因應以各式手段發動的攻擊威脅。
蒐集來自各個IT領域所產出的資料,確實掌握連線存取行為資訊,已成為新興應用服務不可或缺的一環。統一蒐集資料的資安事件控管平台勢必得納入更多威脅入侵指標資訊,才能提升判斷能力。
目前最為企業所關心的聯合防禦機制,也就是在判斷為威脅行為當下須觸發具備控制能力的防火牆、IPS等資安設備,立即執行阻斷,藉此降低資安事件造成的損害。
建構安全免疫系統,掌握威脅行徑資訊
為了協助企業建立資安關鍵的預防、偵測、回應能力,IBM提出「安全免疫系統」概念,結合IBM的認知技術——Watson,統一整合端點、行動應用、資料與應用程式、雲端、身分驗證與存取、進階詐騙、網路、外部威脅情資等各個領域的資訊,以QRadar建置資安智慧平台執行大數據分析,協助快速偵測威脅,並依據風險等級排列事件處理的優先順序,輔助資安人員掌握全局,降低威脅事件發生率。
「三重防護」打造企業安全免疫系統
第一重防護——智慧的安全平台:可將企業的資產與風險視覺化,同時具備即時的偵測能力,通過關聯發現正在發生的威脅,及時回應並執行。對此,IBM有一系列的產品來協助企業建立這樣的能力,最具代表性的就是IBM QRadar,它可將使用者行為與日誌事件、網路流、威脅情報、漏洞和業務脈絡情境相匹配,從而分析和預測風險。
在網路犯罪威脅方面,因應手法多樣且複雜,運用IBM BigFix執行端點資料蒐集,用以檢查使用者是否誤觸釣魚網站,或是否有惡意程式利用漏洞進行滲透入侵;網路層方面,近年來亦增加網路封包解析能力,以提供更多層面的資料輔助分析。
在事後回應方面,IBM Resilient提供資安事件回應與處理平台(Incident Response Platform;IRP),協助建立事件回應程序。以資安事件為導向,整合處理流程、人員、技術,執行後續回應程序,涵蓋面相當廣泛,包含合規、協調各個部門的端點進行協同防禦等方面。
第二重防護——安全營運中心:企業有了智慧安全平台和IT架構後,如何保證其發揮作用,安全營運就顯得至關重要。如今,網路安全的重點已經在於緊密的檢測和及時的相應。這是一個非常專業的領域,必須引入相關的人員、流程、安全性原則,並單獨建立安全營運中心。企業既可以自主擁有安全營運中心,也可以託管在專業的安全營運中心上。IBM在全球管理10個SOC,同時在過去5年中,IBM已經為數十個產業的客戶建立了300多個SOC。
第三重防護——最新的網路威脅資訊。通過在全球運行的10個SOC,IBM會定期將這些資訊通過IBM X-Force報告向全球公布。同時IBM X-Force Exchange API也開放給業界,它所擁有的安全情報資料庫,也是全世界規模最大、涉及面最廣的安全性漏洞目錄之一。IBM也將與全球更多夥伴一同合作,共同展開威脅情報研究,協調處理重大網路安全事件。
