果核數位 SOC 結合 AI 聯防,能加速斬斷駭客攻擊,以子之矛、攻子之盾,反制敵方的 AI 攻擊
回顧去年( 2017 ),隨著物聯網( IoT )攻擊、勒索病毒肆虐,令許多企業主或 IT 管理者戒慎恐懼。展望 2018 年,專家預期前述兩項威脅將繼續添亂,因為無論是建立 IoT 僵屍大軍或加密勒贖,對駭客皆有難以割捨的誘惑力,但企業面對的麻煩還不僅於此。
果核數位資訊技術處處長黃韋強認為,2018 年另有一大潛在威脅,攻擊者開始結合人工智慧( AI )、機器學習 (ML )等技術,加上原有駭客工具,得以自動發掘弱點,自動產生攻擊腳本、惡意程式碼,向受駭對象發動奇襲;防守方如同與機器對決,幾乎沒有勝算可言。處於資安多事之秋,企業適時引進第三方專業廠商的 SOC(Security Operations Center)監控服務,無疑是最佳解方。
前身為某知名大型線上遊戲公司 IDC、資安、IT事業部門的果核數位,擁有資安攻防經驗,明瞭駭客攻擊型態與手法,也具備 SIEM (Security Information and Event Management) 平臺開發與營運能力,懂得撰寫最有效的關聯性規則;因此儘管 2014 年才從In-house轉向對外服務,仍是備受矚目的 SOC 尖兵,在去年榮膺行政院國家資通安全會報 技術服務中心的特優評鑑。
果核數位不以 SOC 服務能量為自滿,已正式與奧義智慧合作,引進 AI 防禦工具,期望以子之矛、攻子之盾,反制敵方的 AI 攻擊,用最快速度掌握駭客的攻擊手法、路徑及所欲偷取的資料,即時協助企業轉危為安。
擁有甲方背景,深具駭客攻防歷練
黃韋強表示,駭客攻擊手法日益精緻多變,迫使企業不停佈建多重防禦設備,但在此同時卻苦無對應的多樣化人才,協助各項設備達到最佳配置與調整,以致企業始終未能落實即時發現、完整防護之目標;無奈臺灣資安人才短缺,企業不易延攬專業好手,唯有憑藉 SOC 服務借力使力,協助監控敵軍蹤跡,才能迅速打造完善的資安拼圖。
他接著說,過去在線上遊戲公司服務,向來有自己動手做的風氣,不僅自建機房、維運數以千計的伺服器,也自主開發完成 Log 分析平臺,完整精確地管理龐大設備日誌( Log ),藉此探察可疑跡象,及時遏阻駭客盜寶行徑;如今果核的角色從「甲方」變為「乙方」,為了適切滿足眾多服務對象的需求,引進第三方 SIEM 產品( Micro Focus ArcSight ),儘管 SOC 核心平臺轉變,但從過去甲方定位所累積的攻防歷練依舊管用,開發許多週邊輔助軟體,使 SIEM 得以展現更縝密的監控實力,屢屢從不起眼的細微表象挖掘異常徵兆,消弭可能釀成的資安重災。
引進 AI 防禦工具,大幅縮短事件處理進程
然而駭客技能愈來愈精進,單憑傳統 SOC 側重於閘道端或資安設備端的日誌分析模式,明顯落居下風,充其量只能事後稽查,無力扮演即時發現入侵的守門員。
果核於去年將 AI 設定為下階段發展重點,認為唯有從端點的智能分析下手,才能補傳統 SOC 機制之不足,有效揪出潛藏的惡意程式並掌握其傳播動線;此一經營理念,與專注研發新一代資安自動化技術與 AI 分析平臺的奧義智慧公司,可說是有志一同,於是雙方在去年建立合作共識,彼此投入心力與能量,積極推動技術交流,進而成功補強傳統 SOC 的不足,再轉化為對外服務項目,現已獲得 SOC 用戶提出 POC 需求。
黃韋強進一步說明,SOC 除了肩負資安監控重任,另有一項關鍵使命「事件處理」,當監控系統察覺疑似入侵行為後,SOC 亦須在最短時間內,釐清駭客送進了哪些病毒或後門程式、感染路徑為何、意圖盜取何等資料等等關鍵資訊,據此揪出駭客、填補漏洞,將傷害降至最低;在以往,SOC 業者須動員大量人力、耗費冗長時間,才能從繁雜日誌看出端倪,作業速度不盡理想,如今借助 AI 系統,即可將鑑識人員的經驗轉為機器運作規則,透過人機協同分析,大幅縮短事件調查時程, 加速還原真相。
談及果核相較 SOC 友商的優勢,首先在於憑藉同業少有的甲方歷練,對於解讀資安事件的細膩度或著眼點,顯得獨樹一幟。其次提供完整的滲透測試( PT )、弱點掃瞄、社交工程演練等服務,尤其在 PT 方面,以往果核團隊便擅長模擬駭客思維,提供優質 PT 服務,協助用戶找出可能遭駭客入侵的破口;但如今駭客破壞力大增,潛入企業家門的手法更趨多樣化,故果核提出「後 PT 」概念,假想駭客已經潛入企業內網,分析可能佔領哪些伺服器、竊取哪些資料,協助企業強化危機控管。
換言之,果核可為企業提供兩階段滲透測試,先以 PT 模擬小偷如何潛進家門偷東西,再以後PT推斷小偷進屋後會釀成何等損失,讓企業結合運用兩階段的測試結果,深入發掘過去不知的防禦罩門,進一步加以補強。
再者果核為 IDC 、資安、IT 等三大團隊集結而成,不僅具備資安強項,也能因應用戶在其他資訊管理事項之不足,適時提供補強建議。最後更值得一提的,果核定期舉辦資安社群研討會,不以行銷產品為前提,而是邀請客戶、社團或學生免費參與,引導他們聆聽資安專家分享精闢見解,並與專家對話交流,期望藉此塑造良善的學習環境,協助扶植臺灣資安人才。
原文來源: https://www.ithome.com.tw/pr/121867