结合战情中心与AI分析 打造极致防御架构
网安议题并非现在才诞生,从过去到现今,已历经多次演进。期初包括防毒、防火墙、Web、E-mail等等闸道端防护,都侧重单点思维,一种设备代表一种防御功能;后来随着恶意攻击手法精进,辅以物联网(IoT)兴起而致联网装置激增、黑客切入点变多,仅凭单点防御不够用,致使协同式防御概念抬头,透过不同类型闸道设备互通信息,再搭配云端、端点等防护机制形成联合防御网。
华电联网资通产品及网安服务处副总经理郑炤仁表示,前述单点式防御、协同式防御,可依序归类为网安演进史的第一、第二阶段,大多数企业仍落在第一阶段,近年开始有愈来愈多企业意识到纵深防御的重要,逐渐启用SOC监控服务。
持平而论,SOC仅能根据企业用户端的设备系统日志,从中过滤异常信息、定义出可疑事件,实时发送告警通报,后续仍取决用户自身的判断与反应,才能做适当处置。然而从信息解读到移动方案的底定,往往耗时甚久,故多数企业企盼有更直觉化的战情中心视觉化平台,不仅蒐集信息,也能经由简单的分析、运算、排列优先顺序,帮助用户快速下达因应对策。
新一代战情中心,助企业随时掌握网安现状
华电联网资通产品及网安服务处资深协理杨仁吉指出,该公司着眼于此,便以Splunk为底层进行加值开发,进而孕育出满足多数企业期盼的战情中心,现阶段已能在事件发生的当下,透过SMS简讯、App推播或E-mail等管道提出警讯,协助管理者知道网安现况、应当做什麽处置,预计待至下个进程,该系统可根据威胁型态与政策发出对应指令到相关网安设备,主动加以拦阻。
尤其值得一提,在IoT时代,愈来愈多装置都有IP,都具有联网能力,以办公室为例,举凡PC、IP Phone、打印机、IP Camera乃至打卡钟皆能联网,个个都可能成为恶意程序的入侵点,亦可能沦为横向扩散感染的帮凶,因此企业除须关注网络(南北向)防护外,亦需重视实体装置与内部的网络行为的防护,尽速建立东西向防御网。
郑炤仁副总经理接着说,显而易见,新一代战情中心的出现,已让网安第二阶段趋于完善,但基本上不管是第一或二阶段,皆根据特徵码查找病毒或恶意程序,伴随黑客或内贼的攻击技巧日益提升,愈来愈懂得规避特徵码检查机制。因此业界开始倡议第三阶段防护思维,意即行为模式分析,一开始偏向网络可视化分析,惟用户反应仅能借此得知发生何等网络异状,仍难以研判威胁轻重,反倒徒然加重管理者的信息判别与处理负担,尔后受惠于人工智能(AI)技术兴起,即可由系统自动学习组织内部行为模式,据此建立行为基准线(Baseline),用以比对人与机器的行为是否异常。
只不过Baseline之产生,仍仰赖基本模式的建立,必须花时间学习琢磨,有时未必能精确研判突如其来的非基本性质行为,更何况有些看似相近的行为模式,发生在不同时间,代表的意义也不见得相同,难免滋生误报;所以开始有业者将AI更加发扬光大,标榜无需借助Baseline,随时都有能力描绘黑客攻击路径,将网安演进推向第四阶段。
华电联网为协助企业抵御顽强的恶意攻击、牢牢守护数码资产,与时俱进顺应前述四阶段脉络,快速建立对应的网安服务供应实力,现今已与擅长网络、端点的多家AI分析方案业者合作,搭配自身的智能化战情中心,汇聚为坚强的网安防御堡垒
[ 华电联网资深协理杨仁吉先生,将于7/19举办的2018云端网安论坛发表「化被动为主动-物联网时代的网安防护思维」,活动完全免费,欲进一步了解如何运用AI建立新一代战情中心,欢迎MIS、数据库、营运E化、稽核与法遵等信息人员报名参加!]