在網路安全的領域裡,不論資安人員花費多少的心血去佈建防線,潛藏在螢幕背後的未知對手卻似乎擁有著無窮無盡的資源一般,總是能夠在那精心佈置的防線中,找出那一絲的破綻。這無疑給了資安人員極大的壓力,使他們必須要無時無刻地評估公司內部的資安防禦計畫。資安人員必須審慎檢查管理流程、技術、甚至是內部人員等各項可能的破口發生點,以確保每個環節都能夠應對那些惡意攻擊。然而,在訊息量如此龐大卻又沒有足夠多的資安人員時,這項理應是進行預防的工作,反而成為撲滅火災的救急工作。
資安威脅情資是現代組織安全策略的重要基本功,若能妥善運用這項武器,將能為組織提供良好的安全保護以及相關的商業決策,協助組織以迅速果斷的措施保障其客戶、數據資訊、以及商譽。然而多數人對於威脅情資一詞有著錯誤的認知,並且也缺乏妥善運用的能力,這使得許多組織忽略且看輕了資安威脅情資的重要性,從而在瞬息萬變的網路攻防戰中落於下風。
由於對資安威脅情資的定義過於簡化、濫用、以及誤解,使得資安管理人員難以正確的運用資安情資提供組織的資訊安全等級。運氣好的話,或許還能誤打誤撞的捕捉到相關威脅,並在月底的報告中向上級大肆吹噓一番。然而多數的狀況下,資安管理人員只會收到成堆的資安“資訊”,但卻無法做出任何進一步的決策。
像這類的資安資訊通常是以數據的形式呈現,像是惡意軟體簽章、file hash、IP、URL、FQDN、或是入侵指標等等。另外也有經過人工處理的資訊,像是統計分析數據或是惡意軟體的活躍度、來源、活動歷程等等。這類型的資訊搭配次世代防火牆、入侵防禦系統、防毒軟體、網路安全設備等等,都可以做出一定的貢獻,同時也能幫助安全維運中心(SOC)鎖定特定的攻擊模式,以快速進行回應與系統修復。
這些以數據為基礎的資安資訊在一定的程度上可以協助阻擋多數已知的威脅攻擊,這是因為這些數據本身就是從已經發生過的攻擊事件中所收集而來的。然而仰賴數據資訊也會面臨到警報過多的狀況,致使管理人員必須花費大量心力去過濾這些警報,從而無法專心在真正重要的警報上。此外,面對未知的攻擊,這類型的資安資訊往往無法起到作用,在面對威脅攻擊組織化的現況下,具備防禦未知攻擊的能力將會是必要且重要的一環。
資安威脅情資不但包含了前述的資安資訊,同時也提供更多有價值的真正意義上的情報。威脅情資是面向全世界去收集資安相關的人物與技術訊息,以特定攻擊或組織為中心提供豐富的前後關聯數據,同時也能夠針對個別組織制定相應的情資運用策略。制定全面的威脅情資策略才能夠主動應對威脅事件,而不是透過新聞報導這樣的二手、甚至是三手資訊來作出回應。
真正意義上的資安威脅情資,是提供重要威脅形成的前因後果來協助組織改善其資安體質,同時讓組織能夠具備面臨未知威脅攻擊時的應變能力。威脅攻擊的技術每分每秒都在進化,因此每一個組織也都應該與時俱進地改善其資安防禦策略,這也表示掌握最新的情資,才算是擁有對抗網路威脅的敲門磚。
竣盟科技是運用資安情資來協助客戶佈建資安防線的資安廠商。其提出的ISAC Wizard解決方案是以資安情資為核心的防禦策略,透過與AT&T的情資共享,不只是提供威脅數據或指標,也進一步提供更多關於威脅攻擊的詳細資訊,像是最有可能受影響的產業類別,能夠協助組織提前部署相關策略,藉以阻擋或捕捉攻擊事件。而在面對未知攻擊的狀況下,也利用Acalvio先進誘捕技術來觀測並捕捉未知攻擊的入侵軌跡,並將其轉換為情資利用。ISAC Wizard能夠將不同來源的情資統合與分享,同時有別於外國產品,其針對國內資安法規環境進行系統調適,並建立資安事件通報機制,能夠讓組織第一時間進行資安通報以符合國內資安法規。
若想得知更多的案例與資訊,歡迎與我們聯繫。