早在2014年,賽門鐵克(Symantec)便宣布:「防毒軟體已死。」惡意軟體的攔截率僅剩下45%;日前,更驚傳賽門鐵克、趨勢科技與McAfee等防毒軟體的程式碼外洩,雖然防毒軟體業者先後表示產品服務不受影響,但從這個事件來看,透過資訊安全監控中心(Security Operation Center;SOC)監測安全威脅,已成為當前企業不可輕忽的重要課題。
隨著雲端、行動、社群、物聯網與人工智慧等數位科技的普及,企業遭遇的安全挑戰越來越嚴峻。除要做好資訊系統與營運系統的安全防禦,還要時刻繃緊神經設法辨識層出不窮的安全攻擊手法,需要專業夥伴給予協助,方能達到縱深防禦。
資安攻擊影響巨大 SOC扮演關鍵角色
根據iThome日前釋出的《2019台灣資安大調查》,資安攻擊引發的災情慘烈,包括業務服務中斷(36.4%)、資安建置成本提高(19.9%)、員工生產力降低(18.8%)、企業資料遺失或遭竊(9.7%)、企業形象受損(8.1%)、金錢損失(5.2%)、產品出貨時間延遲(3.9%)、法律問題增加(3.4%)與營收與商機損失(2.1%)等。
值得特別注意的是,儘管資安攻擊事件造成企業營運的極大挑戰,但是,調查亦指出,台灣企業對於資安感知、防護與復原的能力仍有改善的空間。僅5成企業認為可以在一天內發現公司遭受安全攻擊,3成企業表示可以在一周內發現;其次,在發現安全攻擊後,僅6成企業有把握在一小時內排除問題,3成企業表示需要一周的時間排除問題,甚至有極少數公司表示要花費近半年的時間才有辦法復原系統。
當前的資安攻擊之所以難以防禦,除與「威脅數量遽增」、「攻擊手法多元」、「針對性攻擊成主流」與「攻擊速度暴漲」等四個安全特徵有關,另外一個關鍵是,企業員工的資安意識不足。面對這樣的市場現況,安全防禦的領導廠商數聯資安(遠傳子公司)表示,單純的從端點、網路、應用服務、數據與資料中心等層面進行安全防禦還不夠,需要進一步透過資訊安全監控中心進行全年無休的全球資訊安全監控,例如數聯資安的U–SOC,方能有效感知來自四面八方的資安威脅。
「透過SOC提供的長期網路威脅分析與資安環境趨勢報告,以及即時通報網路入侵事件與應變處理建議,企業將能夠化被動為主動的進行安全防禦。」數聯資安團隊如是說道。
遠傳用人工智慧為SOC賦能 安全防禦就這麼做
科技的推陳出新與產業的快速變動,讓安全防禦工作變得比你我想像都難,想要單憑己力建置一個可以防堵未來5年甚至是10年安全攻擊的防禦機制,幾乎可以說是不可能的任務,但是,也不是全然無跡可尋。數聯資安表示:「傳統的Pattern比對仍然不可或缺,但未來將更著重在行為與數據分析,深掘出你我都沒注意到的新型攻擊。」
換句話說,資安偵測與回應變得十分重要。研究機構Gartner早在2016年就預估,2020年,企業資安預算將有60%會放在「加速偵測與回應的速度」等投資。
為協助企業客戶深化在偵測與回應的速度,數聯資安透過人工智慧等技術優化資訊安全監控中心的服務能量:首先是透過情境感知的方式偵測攻擊行為,並且透過智慧設定監控機制,確保資安事件的即時示警與事後追蹤;其次是藉由演算內部未知威脅的感染途徑的方式分析異常行為;最後是透過人工智慧等先進數據分析技術與智能化引擎,深掘未知的(可能)威脅。
以Apache Struts2安全事件為例,在各大網站進行Struts2漏洞通報後,短短不到兩周的時間,就出現變種病毒與香菇的攻擊工具,導致攻擊者暴增,根據U–SOC偵測與紀錄,平均每天有33個來源對75個目標網站進行609次攻擊。數聯資安表示,在發現Struts2漏洞後,若沒有SOC進行歷史回溯與持續觀察,很難單憑己力發現變種病毒與新的攻擊手法,進行有效防禦。
總的來說,面對不斷演進、防不勝防的安全攻擊,建議企業偕同熟悉各種資安疑難雜症的專業夥伴,如數聯資安,共同打造一個可以快速回應安全攻擊事件的資安防護網。。