上篇文章提到,藉由SIEM安全資訊事件管理系統平台,整合本身公司環境內各項設備,彙整資訊,打造自己的資安艦隊,今天繼續介紹幾項值得招募的艦隊成員。
網路監控一般是監測網路效能,藉著網路監控系統,或者分析路由器和交換器的NetFlow或sFlow等 Flow Data,針對網路故障、中斷、或效能降低等異常情況做出警示,其實在資訊安全上也有重要應用。NetFlow提供封包來源及目的地、網路服務種類、協定等資訊,我們可以依據平時網路監測結果,建立正常網路流量基準,做趨勢分析,當發現異常網路流量時,透過SIEM的整合,比對來自其他設備的日誌和資訊,調查異常原因,或在偵測異常行為後,進一步分析,例如系統感染惡意程式後,橫向感染同網段內的系統時,透過網路監控可以偵測這類異常行為加以警示。
這裡想提醒一點:來自路由器和交換器的Syslog可能和NetFlow資訊重覆,建議仔細閱讀相關官方文件,確定logging level,如果有重覆的資訊,可以調整設定,避免SIEM收到過多訊息,模糊焦點,徒然耗費儲存空間。如果環境內有設置Network Intrusion Detection System (NIDS),也可能從NIDS日誌中得到一些重覆訊息,建議調整設定過濾。
監控Wi-Fi網路,也可以偵測是否有未經允許的AP出現,避免入侵者設置自己的惡意AP,假冒為正常AP,進行man-in-the-middle attack中間人攻擊。
我們甚至可以針對異常流量來源進行Packet Analysis 封包分析。本次鐵人賽,邦友WILLO有介紹知名的Wireshark網路封包分析工具,可以參閱:鯊魚咬電纜:30天玩Wireshark 系列
https://ithelp.ithome.com.tw/users/20107304/ironman/1258
整合Vulnerability Management 弱點掃描管理系統後,當偵測到來自外部的攻擊,SIEM可以交叉比對受攻擊的伺服器是否有該項漏洞,加以警示。一 般的弱點掃描管理系統同時有資產管理的功能,可以偵測、發現環境內新增的電腦系統資產,如前幾篇文章提到,與ITSM系統整合後,當資安事件觸發警示,SIEM便能以script從ITSM系統自動創建ticket 並指派給資安團隊處理,開始調查、處理的流程,指派人員對新增系統或遭受攻擊的系統進行安全更新,或針對弱點掃描管理系統發有弱點的系統補強。
File integrity monitoring 檔案完整性監測通常用於確認檔案是否有改變,進而判斷是經過同意、正常的運作或異常的變更行動,如果資料庫、系統檔案、Registry等等有異常變更,觸發警示後,資安團隊可以進一步調查是否該系統主機被入侵、或被植入惡意程式;或者與Configuration Management組態管理系統結合,同樣加強偵測系統是否有未經同意、不正常的更改變動,警示資安團隊進一步調查。
*攝於RSA Conference Asia Pacific & Japan
上圖展示的四個螢幕是結合SIEM安全資訊事件管理系統和Network Monitoring網路監測系統而成的SOC資通安全防護管理中心。左邊兩個螢幕是RSA NetWitness的SIEM平台,右邊兩個螢幕正是資安團隊運用Cisco StealthWatch進行網路流量監測。只要系統能整合,可以運用其他廠牌的SIEM和不同的網路監測系統結合,甚至Open Source開源軟體,建立自己的管理中心。
以上大略介紹一些整合既有系統設備,建立SOC的方向,但這些都只是硬體設備,有了SOC,還是要依靠資安團隊來進行各項運作,沒有稱職的資安工程師、資安分析師在螢幕後努力,打造的資安艦隊沒有人掌舵指揮,發揮的能力也有限。如果一心想打造完美整合環境,以SIEM的政策自動偵測、鑑識、反應,或者想靠廠商提的Machine Learning機器學習來保護,建議每天還是要花一定時間進行分析,尤其是來自Threat Intelligence資安情資和Honeypot蜜罐的資訊,將會帶來很大的幫助。
「只要你相信你的卡組,卡組就會回應你的希望。」--不動遊星《遊戲王5DS》
如果我有什麼遺漏的地方,歡迎留言補充。