近年來勒索病毒攻擊猖獗,攻擊目標廣泛不分企業規模或產業型態,隨著企業受駭程度提升以及營運中斷對社會經濟所造成的衝擊提高,主管機關紛紛要求上市櫃公司或轄下非公務機關需進行資安事件通報應變。也就是企業不能再以防毒軟體或防火牆沒有告警為理由而置身事外,必須採取更積極的防護作為。然而問題來了,許多攻擊事件幾乎讓企業無所察覺,企業如何通報?即使防護系統發出告警,企業的IR事件處理機制通常需耗費數小時,因此如何符合法規成為了每個企業需要處理的課題,答案在於企業須建置一套自動化的資安營運作業(Security Operations, SecOps)。
所謂資安營運作業是指一套資安管理的框架,用於維護企業內系統、網路、資料與資產的安全,避免遭受網路攻擊並導致資料外洩。根據美國國家標準暨技術研究院(NIST)所提出的網路安全框架(Cybersecurity Framework),包括了識別、保護、偵測、回應、復原等五大功能項目。這五大功能涵蓋不同的作業程序,且需結合各項產品技術以及人員來共同達成。
依循網路安全框架建置資安營運作業的效益,在於能儘速偵測資安事件並迅速調查處理,進而能在主管機關要求的30分鐘或1小時內完成事件通報。根據M-Trends 2022調查統計,現今駭客平均潛伏在企業內網作亂的時間比起10年前已大幅縮短至16天,但16天後才被偵測出來對許多企業來說仍然太久。過去企業透過導入資安事件管理(SIEM)平台或委外SOC服務來建置SecOps,然而面對龐大的告警或可疑事件仍然需要仰賴資深資安分析師來進行事件調查與回應處理,如今採用AI/ML技術的雲原生SIEM平台,例如Google Chronicle結合資安協作自動化回應(SOAR),能將分門別類不同事件的應對處理流程自動化,從過去需要數小時大幅縮短至幾分鐘內完成。
此外,威脅情資(Threat Intelligence)的搜集對SecOps來說也是關鍵的一環,能快速及時地將最新的攻擊事件入侵指標(IoC),包括所使用的惡意程式、惡意檔案的Hash值、有關的IP位址等資訊匯入SIEM平台,才能真正做到主動防禦。Google Chronicle的威脅情資來源除了包括VirusTotal等公開的資料,也包括來自Mandiant及Google內部在IR過程中所發現的重要情資。
不論企業規模大小都應建立一套資安營運作業,且這套SeCops作業不是建置好就結束,而是應透過持續監控、評估與優化來不斷提升企業的資安成熟度。CloudMile技術顧問團隊建議大型企業與中小企業可以採用不同形式建置自己的資安營運作業。
對大型企業來說通常擁有複雜且多元的IT環境,且IT部門會分為資安團隊及基礎建設營運團隊。因此,在建立實施SecOps時須更加強調自動化、整合與策略性的管理作業,同時也應組成SecOps團隊,來促成資安與運營團隊緊密合作,以迅速應對資安威脅和事件。尤其大型企業若是上市櫃公司,更需符合「上市櫃公司資通安全管控指引」中對於資安事件通報的具體要求。若是屬於關鍵基礎建設、通訊傳播、交通、醫療、金融、科技園區等特定非公務機關,則需符合《資通安全事件通報及應變辦法》的規定。因此,透過結合SOAR與威脅情資的自動化SIEM平台工具才能滿足法規快速回應。
對中小企業來說,IT環境相對簡單,但也仍然飽受網路攻擊危害。在缺乏資安專業人力及專業工具的情形下,可以選擇靈活、簡易的SecOps解決方案,尤其是可以選擇值得信賴的外部MSSP服務,由專業團隊提供資安防護並協助中小企業建立SecOps程序。
CloudMile萬里雲集團擁有豐富協助企業數位轉型經驗,CloudMile除了擅長公有雲技術與雲端AI策略之外,也深入了解企業在數位轉型過程中所面臨的安全風險與挑戰。結合Google Cloud的服務,CloudMile能提供整合的解決方案,整合多種雲端平台和應用,以及企業既有安全軟體,提供一站式的資安管理服務。也能針對企業的地端、雲端等IT環境與具體需求,提供客製化的資安解決方案及服務,從資安風險評估、制定藍圖、合規需求到資安投資優先順序的建議等,提供最專業完善的雲端資安服務。
