對抗進階攻擊、提升營運安全,SOC轉型勢在必行

  •  
  •  
  •  

隨著疫情開始消退,生活逐漸回歸正軌,但遙距辦公、雲端應用等因應疫情時的數位轉型卻沒有減緩,依然蓬勃發展;彈性的效益讓超過70%的企業願意維持遙距辦公,企業網路管理的樣態也隨之改變。

然而,遙距工作意味著員工必須平日執行業務且相對安全的網路中離開,無法再身處受到控制及保護的環境中;換言之,不同於過去集中化的IT環境,遙距的端點、雲端平台等成了「化外之地」,為企業資安納管帶來的新的挑戰。要如何在新環境中讓資安作業中心 (Security Operation Center, SOC) 持續發揮、保護企業數位環境安全,也成了資安團隊要思考的重點。

疫情加快數位轉型腳步,傳統SOC備受考驗

一場疫情讓全球的公司和企業都歷經了重大考驗,也就是支援工作者以線上、遠端、快速且安全的方式工作。這不僅對於企業的網路安全團隊、通訊協定和系統形成相當大的依賴,還會在公司位置和遠端住家辦公室之間暴露出技術差距;此外,隨著工作者在住家和網路之間的移動,此一高度分散的工作人力仍會持續成為攻擊目標,攻擊者也會不斷利用這個已潛伏多年的情勢。

與此同時,隨著資金充裕的威脅行動者不斷投資在機器學習、自動化和人工智慧等新型工具上,這也讓以傳統安全性資訊和事件管理 (SIEM) 為基礎所建立的資通安全威脅偵測管理 (SOC) 已無法提供具有彈性且可擴充的解決方案來跟上數位轉型、雲端計劃和進階攻擊活動的發展速度。

這使得傳統SOC環境面臨了五大挑戰,分別是欠缺可視性和脈絡、調查複雜度增加、安全控制所產生的大量低真實性警示造成了警示疲勞和「雜訊」導致缺乏系統互通性、缺乏自動化和協調,以及無法收集、處理及脈絡化威脅情報數據。這些都會讓安全分析人員疲於奔命而無法識別、管理及補救重大的威脅。

因此,要如何在新環境中讓資安作業中心持續發揮、保護企業數位環境安全並也支援完全遠端使用者工作人力和生態系統的必要性,已成為無數IT和安全團隊的第一要務。

資安業者Palo Alto Networks便指出,廣泛入侵和居家辦公型態所造成的衝擊,已加速對於更新穎、更靈活SOC營運方法及後續管理的需求。以周邊為中心的策略對於網路安全性來說已經過時,安全基礎結構和系統的位置早已超越了傳統的網際網路周邊,並一直延伸到雲端以及每個連線的裝置或端點,這些都需要對於各自的活動和行為具有某種程度的可視性和控制以有效防禦入侵。

落實四大步驟和三大關鍵技術,SOC轉型更容易

總之,數位環境不斷轉型,企業也需要以新的方法來解決現階段的資安作業挑戰。那麼,該如何塑造前瞻性的SOC?對此,Palo Alto Networks提出四大步驟和三大關鍵技術。

在四大步驟方面,首先是稽核環境有助於降低與工具擴增有關的安全性風險;其次是將工作流程自動化;第三是使用機器學習驅動的智慧增強人員的能力;最後則是成立最佳的安全團隊。

若完成以上四大步驟之後,還需考量三大關鍵技術以制定一個完備的安全營運策略,才能建立一個具備彈性及高效率的SOC。

  • 第一,了解攻擊範圍以強化風險管理功能,畢竟SOC轉型的其中一個基礎組成部分就是強大的風險管理功能。
  • 第二,在產品堆疊中進行協調以提升事件回應效率;意即善用安全協調、自動化和回應 (SOAR) 工具讓企業透過數位工作流程格式來定義事件分析和回應程序。
  • 第三則是導入「擴展 的偵測與回應 (XDR)」提升安全成效;因為建立XDR的基本原因就是為了要更有效率地阻止攻擊、偵測無法防禦的攻擊者技術和策略,並協助SOC團隊針對需要調查的威脅做出更好的回應。

綜上所述,Palo Alto Networks強調新的SOC必須要能做到三大項,分別是已有效的防禦措施遏止威脅、運用AI與機器學習來偵測精密攻擊、採用自動化機制加快調查速度。

整合性高,Cortex套件為SOC轉型添柴加薪

而為協助企業SOC轉型,Palo Alto Networks備有Cortex產品套件 (Cortex XDR、Cortex XSOAR和Cortex Xpanse),能夠相互進行緊密的整合來執行各種安全作業。
Cortex XDR透過適用於Windows和Linux主機的世界級XDR,實現在端點和主機上阻斷各種攻擊,並可自動化證據收集、進行相關警示的分組、將這些警示置於時間表中,揭露根本原因以加快各種技能層級的分析人員進行分類和調查的速度,藉以提供專注在事件上的偵測和回應能力。

Cortex XSOAR則可用於點對點事件及安全作業程序生命週期管理的單一平台。各種規模的安全團隊都可充分利用超過900種預先建立的整合內容套件、以安全性為中心的強大案例管理,並進行即時協作以協調、自動化及加快事件回應以及環境中的任何安全工作流程或安全程序。

至於Cortex Xpanse,可針對企業面向網際網路的全球雲端資產和錯誤設定提供完整且準確的目錄,以持續發現、評估並緩解外部攻擊範圍、標示具風險的通訊、評估供應商風險,或評定M&A目標的安全性。

總之,這三個產品都各自具有其獨特的功能和優勢,但在進行適當的整合之後,其正面效應將呈等比級數提升,可賦予企業最頂級的偵測、調查、自動化與回應能力,以協助降低遭入侵的風險和衝擊,讓SOC團隊可透過Cortex生態系統之間的持續協力合作以消除各種威脅循環。(更多SOC細節詳見Palo Alto Networks官網)


  •  
  •  
  •  

benny

Benny Yeung ~ 企業IT傳媒人,經常四周穿梭科技巨企及論壇,熱愛探討新商機。性格貪玩,但喜歡閱讀沉悶的企業賺蝕數字,最重視辦事效率。