常見資訊安全領域分類 (Market Sectors)

在典型的資安解決方案裡面，我們大致會分為幾個區塊，
包含閘道端保護方案 (Gateway Protection) 例如防火牆、IDS/IPS，
或是端點保護方案 (Endpoint Protection) 例如 NGAV 或 EDR。

再來就是針對特殊應用的解決方案，
像是市場很流行的特權帳號管理 (PAM)、
資料庫保護與稽核 (DAM) 或是網路流量可視化的 (NDR) 等，
這些都算是目前業界主流界定與劃分資安領域的方式。

而 SIEM 則是屬於除了閘道端、端點保護以外的第三塊領域分類，
同時也是涵蓋最豐富、最多樣的「威脅管理」(Threat Management) 範疇，
今天主要就會針對 SIEM 在市場光譜位置與威脅管理來談談廣度的面向。

以上分類無參照外部 Market/Sector 定義僅以常見或實務經驗做出大致分類。

關於威脅管理 (Threat Management)

在 SIEM 所處與座落的市場，
通常會歸類在「威脅管理」(Threat Management) 的市場領域，
結合昨天我們介紹到關於 SIEM 三大核心功能：日誌事件(Logger)、
威脅偵測與調查(Detection & Investigation)
以及威脅回應 (Response) 之外，
威脅管理除更廣泛的包含了 SIEM 核心功能外，
同時也針對一般資安維運作業的人員、流程、工具等各個面向進行相關的定義與規劃。

目前主流的網路安全框架 (NIST Cybersecurity Framework, CSF)，
便是為了協助企業組織打造與實施所需的資安管控措施，
讓企業可以依據其安全現況進行風險評鑑，
然後自訂出想要達成的目標輪廓，評估出優先強化的順序以實施計畫，
並藉由框架來持續評估整體的安全成熟度，
而這其實也正是「威脅管理」的核心精神。

威脅管理的內涵

威脅管理，本質上是一個框架，
用以管理整個企業面臨的威脅的生命週期，
以便能夠更快速、準確的識別與回應相關的威脅，
而如何能夠有效的整合人員、流程與與工具 (技術)，
達到無縫接軌的整合，讓組織一直能夠保持優異的威脅偵測與回應的能耐？

我們接下來來看看在實現威脅管理時，
實施一個完整、循環、有效的威脅管理挑戰會有哪些？

1. 如何在組織內實現可視化？

這幾天我們已經談很多的可視化的重要性，
就是首要企業無法打造好的威脅管理的主要核心原因。

比如在內部我們有應用系統、用戶帳號、資料庫或企業採用的 SaaS 等；
而外部則會有 OSINT、威脅情報、社交媒體訊息等資安來源情報，
這些都會需要即時整合在與企業有關的整體威脅監控範圍。

而在企業整體資安架構，通常也是由「孤島式」方案來保護特定資訊系統，
而這會導致技術與工具之間缺乏協調、溝通與整合，
導致資安團隊無法在一個資安事件回應與調查中，
完整的管理與因應企業資安風險的攻擊面 (Attack Surface) 。

2. 如何擁有關於內、外部威脅的洞察分析與報告？

在現代企業裡，資安單位都是後來或最近才獨立編組，
而這無可避免讓資安部門在既有資訊系統著墨的力道與影響力相對弱勢，
多數所做的也就僅能針對「護城河式」保護或端點設備本身監控，
或是就法規稽核面來做控制項稽核與確認，
也就讓資安團隊無法即時獲得與更新企業的威脅態勢 (Security Posture)

而另一面資安單位也常沒有有效的 KPI 來呈現相關資安成效，
包含投報率 (ROI)、平均偵測時間 (MTTD) 或 平均回應時間 (MTTD) 等，
當資安規劃往更高層時提報、爭取更多的資源時，也常遇到績效的課題。

因此資訊與資安部門的之間能否有效的統合與互通性，
也就企業能否有效發揮威脅管理框架機制效益的關鍵所在。

3. 專業度、技能或人員長期不足

最後就是現在資訊安全市場仍處於成長蓬勃的市場，
就像是 2000 年剛開始資訊化的世代到處都需要資安專業人才。
而隨著我國政府法規逐漸趨嚴、開始逐步要求各行業遵守相應資安法規，

原先沒有資安配置與資源投入規劃的公司，
也都慢慢需要開始思考資安單位的籌建與相關人才的聘用。
而這同時也就帶來來人才專業度需要養成的時間，以及一段過渡期的必然性。

IBM X-Force 威脅管理框架

為了有效因應上述實現威脅管理框架的需求與必要性，
IBM Security 在完整參考 CSF 框架方法論之後
結合豐富人員與流程管理經驗與先進科技技術，
規劃出適合企業等級運用的 IBM X-Force 威脅管理框架。

X-Force 威脅管理框架

• 洞察(Insight)：通過 IBM 全球化威脅 7x24 監測，進而對特定企業提供量身打造的監控服務。
• 可見性(Visibility)：提供企業威脅環境的可視性，從內到外整合資訊與資安的各式日誌來源。
• 檢測(Detect)：通過整合人工智能、威脅情報和攻擊模型來偵測組織的資安威脅。
• 調查(Investigate)：由人工智能輔助的調查和支援結構化與非結構化資料來源的進階威脅分析。
• 回應(Response)：針對最常見威脅回應提供自動化操作的回應，包含橫跨人員、流程和技術的協調與整合。

這套威脅管理框架除了在 IBM Global MSS/MDR 運用外，
在 IBM Security 最核心的威脅管理工具 IBM QRadar SIEM，
也是依照這套威脅管理框架進行規劃、設計、開發與實踐的 SIEM 解決方案。
讓無論是採用資安代管服務，或是購置工具自建的企業客戶，
都能夠直接採用在策略、框架、流程與機制都整合完善的的威脅管理解決方案。

明日預告

很高興鐵人賽邁入第四天，
我們花了四篇文章的時間介紹了關於 SIEM 本身的角色、
它的主要核心應用以及它在市場的位置，
以及最重要的：威脅管理框架的適應。

明天開始，我們就會開始進入到 SIEM 的內部，
很深入淺出的介紹它的幾個核心功能的細節與機制，

很高興您的閱讀，我們明天見。

參考資料

1. NIST CSF https://www.nist.gov/cyberframework
2. IBM X-Force https://www.ibm.com/services/threat-management
3. IBM QRadar SIEM https://www.ibm.com/tw-zh/products/qradar-siem