果核數位 SOC 結合 AI 聯防，能加速斬斷駭客攻擊，以子之矛、攻子之盾，反制敵方的 AI 攻擊

2018/03/27

回顧去年( 2017 )，隨著物聯網( IoT )攻擊、勒索病毒肆虐，令許多企業主或 IT 管理者戒慎恐懼。展望 2018 年，專家預期前述兩項威脅將繼續添亂，因為無論是建立 IoT 僵屍大軍或加密勒贖，對駭客皆有難以割捨的誘惑力，但企業面對的麻煩還不僅於此。

果核數位資訊技術處處長黃韋強認為，2018 年另有一大潛在威脅，攻擊者開始結合人工智慧( AI )、機器學習 (ML )等技術，加上原有駭客工具，得以自動發掘弱點，自動產生攻擊腳本、惡意程式碼，向受駭對象發動奇襲；防守方如同與機器對決，幾乎沒有勝算可言。處於資安多事之秋，企業適時引進第三方專業廠商的 SOC(Security Operations Center)監控服務，無疑是最佳解方。

前身為某知名大型線上遊戲公司 IDC、資安、IT事業部門的果核數位，擁有資安攻防經驗，明瞭駭客攻擊型態與手法，也具備 SIEM (Security Information and Event Management) 平臺開發與營運能力，懂得撰寫最有效的關聯性規則；因此儘管 2014 年才從In-house轉向對外服務，仍是備受矚目的 SOC 尖兵，在去年榮膺行政院國家資通安全會報技術服務中心的特優評鑑。

果核數位不以 SOC 服務能量為自滿，已正式與奧義智慧合作，引進 AI 防禦工具，期望以子之矛、攻子之盾，反制敵方的 AI 攻擊，用最快速度掌握駭客的攻擊手法、路徑及所欲偷取的資料，即時協助企業轉危為安。

擁有甲方背景，深具駭客攻防歷練

黃韋強表示，駭客攻擊手法日益精緻多變，迫使企業不停佈建多重防禦設備，但在此同時卻苦無對應的多樣化人才，協助各項設備達到最佳配置與調整，以致企業始終未能落實即時發現、完整防護之目標；無奈臺灣資安人才短缺，企業不易延攬專業好手，唯有憑藉 SOC 服務借力使力，協助監控敵軍蹤跡，才能迅速打造完善的資安拼圖。

他接著說，過去在線上遊戲公司服務，向來有自己動手做的風氣，不僅自建機房、維運數以千計的伺服器，也自主開發完成 Log 分析平臺，完整精確地管理龐大設備日誌( Log )，藉此探察可疑跡象，及時遏阻駭客盜寶行徑；如今果核的角色從「甲方」變為「乙方」，為了適切滿足眾多服務對象的需求，引進第三方 SIEM 產品( Micro Focus ArcSight )，儘管 SOC 核心平臺轉變，但從過去甲方定位所累積的攻防歷練依舊管用，開發許多週邊輔助軟體，使 SIEM 得以展現更縝密的監控實力，屢屢從不起眼的細微表象挖掘異常徵兆，消弭可能釀成的資安重災。

引進 AI 防禦工具，大幅縮短事件處理進程

然而駭客技能愈來愈精進，單憑傳統 SOC 側重於閘道端或資安設備端的日誌分析模式，明顯落居下風，充其量只能事後稽查，無力扮演即時發現入侵的守門員。

果核於去年將 AI 設定為下階段發展重點，認為唯有從端點的智能分析下手，才能補傳統 SOC 機制之不足，有效揪出潛藏的惡意程式並掌握其傳播動線；此一經營理念，與專注研發新一代資安自動化技術與 AI 分析平臺的奧義智慧公司，可說是有志一同，於是雙方在去年建立合作共識，彼此投入心力與能量，積極推動技術交流，進而成功補強傳統 SOC 的不足，再轉化為對外服務項目，現已獲得 SOC 用戶提出 POC 需求。

黃韋強進一步說明，SOC 除了肩負資安監控重任，另有一項關鍵使命「事件處理」，當監控系統察覺疑似入侵行為後，SOC 亦須在最短時間內，釐清駭客送進了哪些病毒或後門程式、感染路徑為何、意圖盜取何等資料等等關鍵資訊，據此揪出駭客、填補漏洞，將傷害降至最低；在以往，SOC 業者須動員大量人力、耗費冗長時間，才能從繁雜日誌看出端倪，作業速度不盡理想，如今借助 AI 系統，即可將鑑識人員的經驗轉為機器運作規則，透過人機協同分析，大幅縮短事件調查時程，加速還原真相。

談及果核相較 SOC 友商的優勢，首先在於憑藉同業少有的甲方歷練，對於解讀資安事件的細膩度或著眼點，顯得獨樹一幟。其次提供完整的滲透測試( PT )、弱點掃瞄、社交工程演練等服務，尤其在 PT 方面，以往果核團隊便擅長模擬駭客思維，提供優質 PT 服務，協助用戶找出可能遭駭客入侵的破口；但如今駭客破壞力大增，潛入企業家門的手法更趨多樣化，故果核提出「後 PT 」概念，假想駭客已經潛入企業內網，分析可能佔領哪些伺服器、竊取哪些資料，協助企業強化危機控管。

換言之，果核可為企業提供兩階段滲透測試，先以 PT 模擬小偷如何潛進家門偷東西，再以後PT推斷小偷進屋後會釀成何等損失，讓企業結合運用兩階段的測試結果，深入發掘過去不知的防禦罩門，進一步加以補強。

再者果核為 IDC 、資安、IT 等三大團隊集結而成，不僅具備資安強項，也能因應用戶在其他資訊管理事項之不足，適時提供補強建議。最後更值得一提的，果核定期舉辦資安社群研討會，不以行銷產品為前提，而是邀請客戶、社團或學生免費參與，引導他們聆聽資安專家分享精闢見解，並與專家對話交流，期望藉此塑造良善的學習環境，協助扶植臺灣資安人才。

原文來源: https://www.ithome.com.tw/pr/121867