iT邦幫忙

2019 iT 邦幫忙鐵人賽

DAY 14
2
Security

學習網路安全監控的30天系列 第 14

NSM 14:工具導向 v.s. 任務導向

分析人員必須靠工具程式找出入侵者,但處理方式比軟體更重要。工具程式收集與詮釋資料,但方法論提供觀念模式。Analysts need tools to find intruders, but methodology is more important than software. Tools collect and interpret data, but methodology provides the conceptual model.──《實戰網路安全監控入侵偵測與因應之道》

這系列網路安全監控 NSM的文章,介紹概論、佈署方式、地點選擇,也介紹一個好用的免費工具,LogRhythm NetMon Freemium,從安裝、設定、到操作都寫過了,但是網路安全監控並不只如此,我們需要休息一下,在介紹其他工具前跳回一開始的目標,思考我們為什麼需要網路安全監控?希望藉由網路安全監控達到什麼目的?

工具導向 v.s. 任務導向

為什麼要暫停反思呢?因為太多的公司企業團隊屬於工具導向的團隊,希望購買、佈署工具後就天下太平了,然後發現被侷限在這些工具的功能與限制,於是希望買更新更好的工具來解決問題,希望用這些工具建造滴水不漏的資安堡壘,保護公司寶貴的資產,。

英文裡有“Right Tool For The Job”,我們也聽過「工欲善其事,必先利其器」。當我們不確定自己的任務和目標,又怎麼選擇適合的工具呢?

https://ithelp.ithome.com.tw/upload/images/20181029/20084806PImRzrsoJv.jpg
*來自網路截圖

最怕是採購工具後就以為萬事大吉,其實完全沒有解決問題,甚至造成新問題或運作上的麻煩。常見的例子是老闆認為採購DLP﹝Data Loss Prevention資料外洩防護產品﹞可以保護公司資料,但是資料分級Data Classification沒落實,連公司有什麼資料要保護都不知道,結果什麼資料都採取嚴格防護的措施,徒增業務單位日常運作的麻煩;另一個常見的例子是老闆聽從廠商的建議採買EDR ﹝端點偵測與回應Endpoint Detection and Response﹞軟體,以為資安團隊跟上潮流可以進行Threat Hunting,結果只是拿來替代防毒軟體,沒有運用方法和投入人力,根本沒有Threat Hunting啊?

任務導向的團隊,因為有明確的目標/任務,能夠選擇適合的工具達成任務,將工具客制化甚至自建工具,不必盲目花錢也能更有效率地達成任務。像之前介紹的LogRhythm NetMon輕量好用,但它的設計是與自家SIEM產品結合,所以本身不能接收來自其他設備的Log日誌協助分析,在一個完全沒有SIEM的環境裡,即使運用DPA Rule,在偵測和分析上還是有侷限;但是若本身環境有SIEM相配合下,可以發揮功能提升能見度。

接下來會介紹其他工具,希望大家不要誤認「有了某某工具就是網路安全監控」,或是「非要有什麼工具才是網路安全監控」,以任務導向,選擇適合的工具吧!


上一篇
NSM 13: 虛實相濟,VM也可以監控
下一篇
NSM15: 靈活應用,出奇制勝
系列文
學習網路安全監控的30天30

尚未有邦友留言

立即登入留言