建构安全免疫系统 强化防御侦测回应能力
- 周维棻/台北
-
随着信息科技发展日趋成熟,创新应用情境决定了现今的IT基础架构模式,不仅维运思维须随之调整,同时得因应以各式手段发动的攻击威胁。
蒐集来自各个IT领域所产出的数据,确实掌握连线存取行为信息,已成为新兴应用服务不可或缺的一环。统一蒐集数据的网安事件控管平台势必得纳入更多威胁入侵指标信息,才能提升判断能力。
目前最为企业所关心的联合防御机制,也就是在判断为威胁行为当下须触发具备控制能力的防火墙、IPS等网安设备,立即执行阻断,借此降低网安事件造成的损害。
建构安全免疫系统,掌握威胁行径信息
为了协助企业建立网安关键的预防、侦测、回应能力,IBM提出「安全免疫系统」概念,结合IBM的认知技术——Watson,统一整合端点、移动应用、数据与应用程序、云端、身份验证与存取、进阶诈骗、网络、外部威胁情资等各个领域的信息,以QRadar建置网安智能平台执行大数据分析,协助快速侦测威胁,并依据风险等级排列事件处理的优先顺序,辅助网安人员掌握全局,降低威胁事件发生率。
「三重防护」打造企业安全免疫系统
第一重防护——智能的安全平台:可将企业的资产与风险视觉化,同时具备实时的侦测能力,通过关联发现正在发生的威胁,及时回应并执行。对此,IBM有一系列的产品来协助企业建立这样的能力,最具代表性的就是IBM QRadar,它可将使用者行为与日志事件、网络流、威胁情报、漏洞和业务脉络情境相匹配,从而分析和预测风险。
在网络犯罪威胁方面,因应手法多样且复杂,运用IBM BigFix执行端点数据蒐集,用以检查使用者是否误触钓鱼网站,或是否有恶意程序利用漏洞进行渗透入侵;网络层方面,近年来亦增加网络封包解析能力,以提供更多层面的数据辅助分析。
在事后回应方面,IBM Resilient提供网安事件回应与处理平台(Incident Response Platform;IRP),协助建立事件回应程序。以网安事件为导向,整合处理流程、人员、技术,执行后续回应程序,涵盖面相当广泛,包含合规、协调各个部门的端点进行协同防御等方面。
第二重防护——安全营运中心:企业有了智能安全平台和IT架构后,如何保证其发挥作用,安全营运就显得至关重要。如今,网络安全的重点已经在于紧密的检测和及时的相应。这是一个非常专业的领域,必须引入相关的人员、流程、安全性原则,并单独建立安全营运中心。企业既可以自主拥有安全营运中心,也可以托管在专业的安全营运中心上。IBM在全球管理10个SOC,同时在过去5年中,IBM已经为数十个产业的客户建立了300多个SOC。
第三重防护——最新的网络威胁信息。通过在全球运行的10个SOC,IBM会定期将这些信息通过IBM X-Force报告向全球公布。同时IBM X-Force Exchange API也开放给业界,它所拥有的安全情报数据库,也是全世界规模最大、涉及面最广的安全性漏洞目录之一。IBM也将与全球更多夥伴一同合作,共同展开威胁情报研究,协调处理重大网络安全事件。
