Dforum0803

结合战情中心与AI分析 打造极致防御架构

  • DIGITIMES企划
华电联网资通产品及资安服务处副总经理郑炤仁(图右)指出,该公司奠基于Splunk所打造的战情中心,不仅帮助用户看清资安现况,展望下一步甚至能自动发出指令,绝阻恶意程序;图左为华电联网资通产品及资安服务处资深协理杨仁吉。

资安议题并非现在才诞生,从过去到现今,已历经多次演进。期初包括防毒、防火墙、Web、E-mail等等闸道端防护,都侧重单点思维,一种设备代表一种防御功能;后来随著恶意攻击手法精进,辅以物联网(IoT)兴起而致连网装置激增、黑客切入点变多,仅凭单点防御不够用,致使协同式防御概念抬头,透过不同类型闸道设备互通信息,再搭配云端、端点等防护机制形成联合防御网。

华电联网资通产品及资安服务处副总经理郑炤仁表示,前述单点式防御、协同式防御,可依序归类为资安演进史的第一、第二阶段,大多数企业仍落在第一阶段,近年开始有愈来愈多企业意识到纵深防御的重要,逐渐启用SOC监控服务。

持平而论,SOC仅能根据企业用户端的设备系统日志,从中过滤异常讯息、定义出可疑事件,实时发送告警通报,后续仍取决用户自身的判断与反应,才能做适当处置。然而从信息解读到行动方案的底定,往往耗时甚久,故多数企业企盼有更直觉化的战情中心视觉化平台,不仅搜集信息,也能经由简单的分析、运算、排列优先顺序,帮助用户快速下达因应对策。

新一代战情中心,助企业随时掌握资安现状

华电联网资通产品及资安服务处资深协理杨仁吉指出,该公司着眼于此,便以Splunk为底层进行加值开发,进而孕育出满足多数企业期盼的战情中心,现阶段已能在事件发生的当下,透过SMS简讯、App推播或E-mail等管道提出警讯,协助管理者知道资安现况、应当做什么处置,预计待至下个进程,该系统可根据威胁型态与政策发出对应指令到相关资安设备,主动加以拦阻。

尤其值得一提,在IoT时代,愈来愈多装置都有IP,都具有连网能力,以办公室为例,举凡PC、IP Phone、打印机、IP Camera乃至打卡钟皆能连网,个个都可能成为恶意程序的入侵点,亦可能沦为横向扩散感染的帮凶,因此企业除须关注网络(南北向)防护外,亦需重视实体装置与内部的网络行为的防护,尽速建立东西向防御网。

郑炤仁副总经理接著说,显而易见,新一代战情中心的出现,已让资安第二阶段趋于完善,但基本上不管是第一或二阶段,皆根据特征码查找病毒或恶意程序,伴随黑客或内贼的攻击技巧日益提升,愈来愈懂得规避特征码检查机制。因此业界开始倡议第三阶段防护思维,意即行为模式分析,一开始偏向网络可视化分析,惟用户反应仅能藉此得知发生何等网络异状,仍难以研判威胁轻重,反倒徒然加重管理者的信息判别与处理负担,尔后受惠于人工智能(AI)技术兴起,即可由系统自动学习组织内部行为模式,据此建立行为基准线(Baseline),用以比对人与机器的行为是否异常。

只不过Baseline之产生,仍仰赖基本模式的建立,必须花时间学习琢磨,有时未必能精确研判突如其来的非基本性质行为,更何况有些看似相近的行为模式,发生在不同时间,代表的意义也不见得相同,难免滋生误报;所以开始有业者将AI更加发扬光大,标榜无需借助Baseline,随时都有能力描绘黑客攻击路径,将资安演进推向第四阶段。

华电联网为协助企业抵御顽强的恶意攻击、牢牢守护数码资产,与时俱进顺应前述四阶段脉络,快速建立对应的资安服务供应实力,现今已与擅长网络、端点的多家AI分析方案业者合作,搭配自身的智能化战情中心,汇聚为坚强的资安防御堡垒

[ 华电联网资深协理杨仁吉先生,将于7/19举办的2018云端资安论坛发表「化被动为主动-物联网世代的资安防护思维」,活动完全免费,欲进一步了解如何运用AI建立新一代战情中心,欢迎MIS、资料库、营运E化、稽核与法遵等信息人员报名参加!]

更多关键字报导: 资安 资安防护