iT邦幫忙

2018 iT 邦幫忙鐵人賽
DAY 18
1
Security

資安分析師的轉職升等之路系列 第 19

Day 18 指揮挺!組合!打造資安艦隊 (1)

  • 分享至 

  • xImage
  •  

從第15天到第17天都在介紹SIEM安全資訊事件管理系統,雖然它有強大的功能幫助我們偵測攻擊事件,但它不是萬靈丹,若沒有資料來源提供資訊,發揮的效能也有限,如果小公司預算有限,優先投資一個好的UTM或次世代防火牆應該比投資在SIEM效益高;若是本身環境已經有多樣資安設備,除了彙整日誌,提供資料分析比對的引擎,SIEM可以提供一個整合平台,將散布於各處的資安設備合為一隻完整的資安艦隊,打造屬於自己的Security Operation Center(SOC) 資通安全防護管理中心。

沒錯!SOC!提到SOC可能很多人會想起電影裡一間黑黑暗暗的大房間,電視牆上顯示密密麻麻的各種儀表板,房間裡每個人低頭研究眼前螢幕,不時抬頭和電視牆上的儀表板比對,好像是大型資料中心、銀行、大公司等等才有的專權,其實如果將本身環境內已有的各項設備透過SIEM整合,我們也可以打造屬於自己的SOC,進行監控、偵測、分析、反應、鑑識。以下介紹幾樣常見的整合資訊:

  1. Threat Intelligence資安情資
    昨天提到,當匯合資安情資(Threat Intelligence) 後,SIEM可以與資安情資的名單比對,如果寄件人、URL、IP、檔案等等來自資安情資登記的已知惡意來源,能加強偵測,提升判斷準確率。

  2. Honeypot蜜罐
    對於蜜罐的解釋,本次鐵人賽已有邦友Fu-Sheng介紹,可以參閱:
    資安的學習心得及分享系列DAY 23 蜜罐(honeypot)
    https://ithelp.ithome.com.tw/articles/10193941

資安情資(Threat Intelligence)是來自外部的資訊,依照情資來源,可能包含來自全球的資料,當本身環境內有Honeypot,它提供的是直接關於本身環境的情資,告訴我們現在正試著入侵我們系統的人在做什麼,如果發現入侵者正在試Apache Struts,那我們趕緊確認是否相關動都補齊,或者主動阻擋入侵者IP;如果發現入侵者在試cross-site scripting,那趕緊確認WAF有好好擋住。藉由Honeypot誘捕,蒐集入侵者手法資訊,從被動反應轉為主動防禦。

  1. UEBA使用者行為分析系統
    所謂千防萬防,家賊難防,我們千辛萬苦希望把入侵者擋在門外,對於來自內部的威脅自然也不能掉以輕心。UEBA分析使用者行為,對於內部的使用者異常行為提出警示,如果有人短時間內在不同電腦系統插入USB隨身碟,執行批次檔,是不是有點奇怪?也許這只是網管人員在執行正常維護工作,但是若那些主機系統之後出現其他異常行為,例如批次檔和Threat Intelligence 比對是登記在案的惡意檔案,或者主機之後開始對外聯繫,聯繫的IP是比對Threat Intelligence下判斷的C&C Center,那USB隨身碟也許被感染了,必須盡快處理避免感染更多系統。

  2. Network Access Control(NAC)網路存取管制系統
    這類系統通常用於管制內部存取行為,同時在符合安全政策下,提供訪客存取內部網路資源的方便,有時也作Network Access Protection網路存取保護系統。公司有訪客、外部顧問需要暫時存取內部網路資源,常常使用自己的筆電,整合NAC之後,如果發現這些筆電有惡意行為,資安團隊可以從SOC下指令,由NAC設備停止該筆電的網路資源存取,

(未完下篇待續)

https://ithelp.ithome.com.tw/upload/images/20180107/20084806n21RMseoGB.jpg
*攝於RSA Conference Asia Pacific & Japan

以上圖片攝於本次2017年在新加坡舉辦的亞太區RSA Conference,會場旁設置的SOC展場,可以見到大家對於SOC的興趣濃厚。

「聚集的群星化為一體時,新的羈絆將照亮未來,成為光芒閃耀的道路吧!同步招喚!」--不動遊星《遊戲王5DS》

您有建立SOC的經驗嗎?明天將繼續介紹應該整合進SOC的系統設備,歡迎分享經驗。


上一篇
Day 17 機器幫你管日誌: SIEM 安全資訊事件管理系統 (3)
下一篇
Day 19指揮挺!組合!打造資安艦隊 (2)
系列文
資安分析師的轉職升等之路32
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言