结合战情中心与AI分析 打造极致防御架构

2018/07/10 - 洪千惠

网安议题并非现在才诞生，从过去到现今，已历经多次演进。期初包括防毒、防火墙、Web、E-mail等等闸道端防护，都侧重单点思维，一种设备代表一种防御功能；后来随着恶意攻击手法精进，辅以物联网(IoT)兴起而致联网装置激增、黑客切入点变多，仅凭单点防御不够用，致使协同式防御概念抬头，透过不同类型闸道设备互通信息，再搭配云端、端点等防护机制形成联合防御网。

华电联网资通产品及网安服务处副总经理郑炤仁表示，前述单点式防御、协同式防御，可依序归类为网安演进史的第一、第二阶段，大多数企业仍落在第一阶段，近年开始有愈来愈多企业意识到纵深防御的重要，逐渐启用SOC监控服务。

持平而论，SOC仅能根据企业用户端的设备系统日志，从中过滤异常信息、定义出可疑事件，实时发送告警通报，后续仍取决用户自身的判断与反应，才能做适当处置。然而从信息解读到移动方案的底定，往往耗时甚久，故多数企业企盼有更直觉化的战情中心视觉化平台，不仅蒐集信息，也能经由简单的分析、运算、排列优先顺序，帮助用户快速下达因应对策。

新一代战情中心，助企业随时掌握网安现状

华电联网资通产品及网安服务处资深协理杨仁吉指出，该公司着眼于此，便以Splunk为底层进行加值开发，进而孕育出满足多数企业期盼的战情中心，现阶段已能在事件发生的当下，透过SMS简讯、App推播或E-mail等管道提出警讯，协助管理者知道网安现况、应当做什麽处置，预计待至下个进程，该系统可根据威胁型态与政策发出对应指令到相关网安设备，主动加以拦阻。

尤其值得一提，在IoT时代，愈来愈多装置都有IP，都具有联网能力，以办公室为例，举凡PC、IP Phone、打印机、IP Camera乃至打卡钟皆能联网，个个都可能成为恶意程序的入侵点，亦可能沦为横向扩散感染的帮凶，因此企业除须关注网络(南北向)防护外，亦需重视实体装置与内部的网络行为的防护，尽速建立东西向防御网。

郑炤仁副总经理接着说，显而易见，新一代战情中心的出现，已让网安第二阶段趋于完善，但基本上不管是第一或二阶段，皆根据特徵码查找病毒或恶意程序，伴随黑客或内贼的攻击技巧日益提升，愈来愈懂得规避特徵码检查机制。因此业界开始倡议第三阶段防护思维，意即行为模式分析，一开始偏向网络可视化分析，惟用户反应仅能借此得知发生何等网络异状，仍难以研判威胁轻重，反倒徒然加重管理者的信息判别与处理负担，尔后受惠于人工智能(AI)技术兴起，即可由系统自动学习组织内部行为模式，据此建立行为基准线(Baseline)，用以比对人与机器的行为是否异常。

只不过Baseline之产生，仍仰赖基本模式的建立，必须花时间学习琢磨，有时未必能精确研判突如其来的非基本性质行为，更何况有些看似相近的行为模式，发生在不同时间，代表的意义也不见得相同，难免滋生误报；所以开始有业者将AI更加发扬光大，标榜无需借助Baseline，随时都有能力描绘黑客攻击路径，将网安演进推向第四阶段。

华电联网为协助企业抵御顽强的恶意攻击、牢牢守护数码资产，与时俱进顺应前述四阶段脉络，快速建立对应的网安服务供应实力，现今已与擅长网络、端点的多家AI分析方案业者合作，搭配自身的智能化战情中心，汇聚为坚强的网安防御堡垒

[ 华电联网资深协理杨仁吉先生，将于7/19举办的2018云端网安论坛发表「化被动为主动-物联网时代的网安防护思维」，活动完全免费，欲进一步了解如何运用AI建立新一代战情中心，欢迎MIS、数据库、营运E化、稽核与法遵等信息人员报名参加！]


图说：华电联网资通产品及网安服务处副总经理郑炤仁(图右)指出，该公司奠基于Splunk所打造的战情中心，不仅帮助用户看清网安现况，展望下一步甚至能自动发出指令，绝阻恶意程序；图左为华电联网资通产品及网安服务处资深协理杨仁吉。