TOGETHER, WE
RESPOND
FASTER
2019 臺灣資安大會
臺北國際會議中心 & 世貿一館 2 樓
文/ | 2019/01/08 11:01:14 星期二 發表
吳耿宏/中芯數據股份有限公司 CTO
2018 年立法院正式通過資通安全管理辦法,明確規範除平常具備的防禦性資安設備的建置,更必須背負通報與處理的責任。談到通報,必然要考慮到分析與評估受影響範圍,以及後續的改善方式。如何從偵測、分析,乃至於後續的所以事件處理,都可以一次到位。這就是現今我們一定要考量的資安防護策略。
當攻擊者成功躲過閘道端的設備,後續要進行處理就變得非常困難。
當建設到一定數量的資安防護設備後,考慮到管理與後續處理的效率,很多組織會開始導入 SIME 這種類型的方案,透過集中收集每個資安設備的紀錄,再加上 SIME 本身的關聯分析,以求可以做到集中管理與分析資安風險的目標,但,一旦發出對應的資安事件通報,關於後續協助處理的機制,大多需要依賴使用者自行處理。
Gartner 提出新的 MDR (Managed Detection and Response),強調持續性的威脅偵測與監控機制,就是要改善傳統 MSS 服務的一些盲點,同時提供客戶完善的資安事件處理能力。讓使用者不需要對於排山倒海而來的大量警報疲於奔命。透過MDR服務提供偵測、分析及處理一次到位的服務方案。
為此我們要仔細反思,如何處理當內部可能已經遭到入侵時,我們如何快速的找出可能的潛在後門。傳統的事件處理,有著很大的缺陷,讓傳統事件處理方式無法成為被廣泛採用的一項服務,最主要的原因就是“人力”。透過人力處理的方式,導致這項服務費用非常高昂,所以最後往往只能在資安事件發生後才會使用?!
即時的自動化分析。持續性的威脅偵測與監控機制。
那麼如果可以擷取人力資安事件處理的優點,例如:一旦發現疑似惡意活動,就立刻發出警報,事件處理人員就可以立刻介入分析,發揮人力分析的優勢。這個過程只需要數十分鐘,就可以即刻阻斷後續的攻擊,搶在損失發生前,就完成資安事件的處置。這樣的概念其實就是 Gartner 為何要提出 MDR 這樣的市場報告,因為未來一定是需要這樣的資安服務才能更有效的防止損失造成。
中芯數據是國內目前唯一可提供,從偵測、分析、及包含後續處理的MDR廠商。服務內容可以提供在合約期限內不限次數的資安事件處理與報告,更可以協助客戶進行惡意程式分析,主要特色包含: 端點威脅即時檢測,持續性的檢測、監控及分析,資安事件回應及遠端處理。